Phishing, kompromittierte E-Mails und der menschliche Faktor: Die neue Dimension des Cyber-Betrugs bei Reisenden
Der Betrug, der alles über Sie weiß
Sie haben gerade ein Hotel auf Booking.com gebucht. Bestätigung erhalten, alles in Ordnung. Dann, innerhalb weniger Minuten oder einiger Stunden, kommt eine WhatsApp-Nachricht: Die Unterkunft teilt Ihnen mit, dass die Zahlung fehlgeschlagen ist, und fordert Sie auf, auf einen Link zu klicken, um die Kartendaten erneut einzugeben, andernfalls wird die Buchung storniert. Die Nachricht wirkt authentisch — und ist es teilweise auch: Sie kennt Ihren Namen, den Namen des Hotels, die exakten Aufenthaltsdaten und den gezahlten Betrag. In Wirklichkeit handelt es sich um einen der raffiniertesten und am schnellsten wachsenden Cyberbetrugsfälle, die Reisende in Italien und in ganz Europa treffen.
Der Mechanismus ist in der Logik einfach, aber in der Ausführung raffiniert.
Kriminelle greifen Booking.com nicht frontal an, sondern „von der Seite“, indem sie das schwächste Glied in der Kette treffen: die Partner-Beherbergungsbetriebe. Mithilfe von Phishing-E-Mails, die offizielle Mitteilungen der Plattform imitieren, entwenden sie die Zugangsdaten für das Extranet des Hotels – das Verwaltungspanel, in dem alle aktiven Buchungen mit Namen, Kontaktdaten, Daten und Beträgen der einzelnen Kunden zu finden sind. Einmal im System, nutzen die Betrüger das interne Nachrichtensystem von Booking, um Kunden direkt mit Nachrichten zu kontaktieren, die scheinbar von der Unterkunft selbst stammen, und entwenden durch sehr glaubwürdige Nachrichten Geld.
In vielen Fällen liegt der Einstiegspunkt jedoch noch weiter vorne: das E-Mail-Postfach der Unterkunft selbst. Die Betrüger konfigurieren Filter und automatische Weiterleitungen im Postfach, ohne dass der Hotelbesitzer etwas bemerkt. Der psychologische Druck erledigt den Rest: Der Kunde erhält die Nachricht gleichzeitig über mehrere Kanäle — E-Mail und WhatsApp — mit einem knappen Ultimatum: Bestätigung innerhalb von 24 Stunden, sonst wird die Buchung storniert. Wer kurz vor der Abreise steht, neigt dazu, ohne Überprüfung zu handeln. Genau das ist der Mechanismus, den Experten Social Engineering nennen: Man knackt nicht den Code, man knackt die Person.
Die Opfer sind vielfältig: nicht nur ältere Menschen oder Unerfahrene, sondern auch Fachleute und Vielreisende. Altroconsumo berichtet von Verlusten von über 1.500 Euro pro betrügerischer Transaktion.
Euroconsumers — die Gruppe, die Altroconsumo in Italien, Test Achat in Belgien, OCU in Spanien und DECO in Portugal vereint — hat eine Meldung an die niederländische Datenschutzbehörde (wo Booking.com seinen Sitz hat) gesendet mit folgenden Forderungen: Booking zur Einhaltung der DSGVO-Vorschriften aufzufordern und die Rechtswidrigkeit des Verhaltens bei der Datenverarbeitung hervorzuheben; Booking anzuweisen, solide technische und organisatorische Maßnahmen zu implementieren; das Recht des Opfers auf Schadensersatz gemäß Art. 82 DSGVO zu erleichtern.
Die Rolle von DMARC: Ein nützlicher, aber nicht unfehlbarer Schutz
Auf technischer Ebene gibt es einen internationalen Standard, der genau zur Bekämpfung von E-Mail-Fälschungen entwickelt wurde: DMARC, die Abkürzung für Domain-based Message Authentication, Reporting and Conformance. Es handelt sich um ein Authentifizierungsprotokoll, das dem Inhaber einer Domain — zum Beispiel booking.com oder nomehotel.it — ermöglicht, festzulegen, welche Server berechtigt sind, E-Mails in seinem Namen zu versenden, und die empfangenden Server anzuweisen, was mit Nachrichten zu tun ist, die die Prüfungen nicht bestehen: sie zu ignorieren, unter Quarantäne zu stellen oder vollständig abzulehnen.
Theoretisch sollte eine E-Mail, die vorgibt, von Booking.com zu stammen, aber von einem nicht autorisierten Server gesendet wird, blockiert oder im Spam-Ordner landen, bevor sie überhaupt das Postfach des Empfängers erreicht. DMARC ist, wenn es korrekt und mit restriktiven Kriterien konfiguriert ist, ein wirksames Instrument gegen Absender-Spoofing — also die Fälschung der E-Mail-Adresse. Aber das System ist nicht unfehlbar: Bei einigen permissiveren Konfigurationen können nicht authentifizierte Nachrichten dennoch regulär zugestellt werden. Und vor allem kann DMARC nichts tun, wenn der Angreifer bereits legitimen Zugang zum E-Mail-Konto der Unterkunft erlangt hat: In diesem Fall wird die Nachricht von einem autorisierten Server mit einer echten Domain versendet, und kein Filter fängt sie ab. Also ein notwendiges, aber nicht ausreichendes Instrument.
Wie Sie sich schützen können: Die wesentlichen Regeln
Die gute Nachricht ist, dass Schutz möglich ist, sofern Sie die Warnsignale kennen und einige einfache Vorsichtsmaßnahmen treffen:
• Misstrauen Sie immer der Dringlichkeit: Jede Nachricht, die Sie drängt, innerhalb weniger Stunden zu handeln und mit dem Verlust der Buchung droht, ist das klassische Zeichen eines Betrugs. Halten Sie inne und überprüfen Sie, bevor Sie handeln.
• Booking nutzt kein WhatsApp: Die Plattform kommuniziert ausschließlich über ihren eigenen internen Chat. Eine WhatsApp-Nachricht, die sich als Booking oder als Unterkunft über Booking ausgibt, ist mit ziemlicher Sicherheit gefälscht.
• Klicken Sie nicht auf Links, die Sie per Nachricht erhalten: Überprüfen Sie den Status der Buchung immer direkt über die App oder die offizielle Website, indem Sie den Browser eigenständig öffnen.
• Überprüfen Sie den tatsächlichen Absender: Der angezeigte Name kann leicht gefälscht werden. Überprüfen Sie die vollständige E-Mail-Adresse und die Telefonnummer und misstrauen Sie unerwarteten ausländischen Vorwahlen (+90, +91, +55 und ähnliche).
• Im Zweifelsfall rufen Sie das Hotel an: Verwenden Sie die Nummer, die Sie selbst bei Google oder auf der Website der Unterkunft gefunden haben, nicht die in der verdächtigen Nachricht angegebene. Melden Sie den Vorfall auch an Booking.com.
Der menschliche Faktor: Das schwache Glied, das wir stärken müssen
Dieser Betrug ist auch ein Spiegel einer unbequemen Wahrheit, die Cybersicherheitsexperten seit Jahren wiederholen, ohne ausreichend gehört zu werden: Technologie allein reicht nicht aus. Firewalls der nächsten Generation, EDR-Systeme, DMARC-Protokoll — alles wertvolle Instrumente, aber alle umgehbar in dem Moment, in dem eine Person der Täuschung erliegt. Die gesamte Architektur des Angriffs beruht auf einem einzigen Einstiegspunkt: einem Hotelmitarbeiter, der auf einen Phishing-Link klickt und seine Zugangsdaten auf einer gefälschten Seite eingibt. Eine Geste von wenigen Sekunden, die die Sicherheit Dutzender Kunden gefährdet.
Das ist keine Ausnahme: Der DBIR 2024 von Verizon zeigt, dass 68 % der Sicherheitsverletzungen ein unbeabsichtigtes menschliches Element beinhalteten, einschließlich Fehler (wie fehlerhafte Cloud-Konfigurationen), Verwendung gestohlener Zugangsdaten oder das Opferwerden von Social Engineering.
Das italienische Bild ist besonders besorgniserregend: Der Clusit-Bericht 2025 bestätigt, dass Italien, obwohl es 0,7 % der Weltbevölkerung ausmacht, im Jahr 2024 10 % der weltweit registrierten Cyberangriffe erlitten hat, gegenüber 4 % in Frankreich und 3 % in Deutschland und Großbritannien. Die ACN — Agenzia per la Cybersicurezza Nazionale — verzeichnete allein im ersten Halbjahr 2025 einen Anstieg der Cyber-Vorfälle um 53 % im Vergleich zum Vorjahr, mit nahezu verdoppelten Vorfällen mit bestätigten Auswirkungen (+98 %) und mit Phishing-Kampagnen unter den am stärksten wachsenden Phänomenen. Ein negativer Rekord, der unter anderem einen kulturellen Rückstand im Umgang mit IT-Sicherheit auf allen Ebenen widerspiegelt.
Menschen schulen: Keine Kosten, sondern die wahre Verteidigung
Im Gastgewerbe — kleine familiengeführte Hotels, B&Bs, Agriturismi — ist die Schulung zur IT-Sicherheit nahezu nicht vorhanden. Es gibt keinen IT-Verantwortlichen, es existieren keine kodifizierten Verfahren zum Umgang mit verdächtigen E-Mails, es werden keine Phishing-Simulationen durchgeführt. Realitäten, die zu idealen Zielen werden, gerade wegen dieser kulturellen Lücke, noch vor der technologischen. Es muss auch ein gefährlicher Irrglaube ausgeräumt werden: Wer in eine Phishing-Falle tappt, ist nicht zwangsläufig naiv. Moderne Angriffe werden von Profis der psychologischen Manipulation entwickelt, auf Tausende von Varianten optimiert und schaffen es, selbst vorbereitete und erfahrene Personen zu täuschen.
Die Organisationen, die die besten Ergebnisse erzielen, verfolgen konkrete und kontinuierliche Ansätze: regelmäßige Phishing-Simulationen, um das Personal mit realen Szenarien zu testen — gefolgt von sofortigen Debriefings für diejenigen, die beim Test hereingefallen sind; Aktualisierungssitzungen zu neuen aufkommenden Bedrohungen und vor allem eine Unternehmenskultur, die die Meldung von Verdachtsfällen belohnt, anstatt diejenigen zu bestrafen, die beinahe einen Fehler gemacht haben. Auf technischer Ebene hätten Mindestmaßnahmen wie die obligatorische Zwei-Faktor-Authentifizierung für alle Zugriffe auf das Extranet von Booking die überwiegende Mehrheit der in diesem Artikel beschriebenen Kompromittierungen verhindert. Es handelt sich nicht um teure oder komplexe Maßnahmen: Es handelt sich um grundlegende digitale Hygiene.
Der menschliche Faktor ist nicht nur eine Schwachstelle: Er kann zur ersten Verteidigungslinie werden. Ein Rezeptionist, der eine Phishing-E-Mail erkennt und meldet, ist mehr wert als jede Firewall. In die Sensibilisierung des Personals zu investieren — mit kontinuierlicher, praxisnaher und auch für kleine Betriebe angepasster Schulung — ist kein optionales Extra mehr. Es ist eine konkrete Verantwortung gegenüber jedem Kunden, der einen Urlaub bucht und dabei seine Daten und sein Geld der Unterkunft anvertraut. Denn der Urlaub muss ein Moment der Entspannung bleiben, nicht der Beginn eines IT-Albtraums.
