Booking.com informiert aktuell zahlreiche Kundinnen und Kunden per E-Mail über eine Datenpanne. Unbekannte Dritte konnten offenbar auf Buchungsinformationen zugreifen – darunter Namen, E-Mail-Adressen, Telefonnummern und Details aus dem Nachrichtenfeld zwischen Gast und Unterkunft. Als erste Gegenmaßnahme hat der Reiseanbieter die PINs aller betroffenen Buchungen geändert. Zahlungsdaten sollen laut Unternehmen nicht abgeflossen sein.
Was ist bei der Booking.com-Datenpanne passiert?
In der Benachrichtigungsmail spricht Booking.com von „verdächtigen Aktivitäten“, bei denen unbefugte Dritte Zugriff auf bestimmte Reservierungsinformationen erhalten haben. Sobald das Problem entdeckt wurde, habe man sofort reagiert und die Lage eingedämmt, so das Unternehmen in einem offiziellen Statement. Konkrete Zahlen zur Menge der betroffenen Buchungen oder zur genauen Ursache nennt der Konzern bislang nicht – auffällig, denn die DSGVO verlangt eigentlich transparente Angaben zu solchen Vorfällen.
Laut einer Stellungnahme einer Booking-Sprecherin gegenüber mehreren Medien wurden nach erneuter Prüfung keine physischen Adressen geleakt, auch wenn das in den ersten E-Mails zunächst anders dargestellt wurde. Zugegriffen werden konnte demnach nur auf E-Mail-Adressen, Telefonnummern und Buchungsdaten. Finanz- oder Zahlungsinformationen seien nicht betroffen.
Welche Daten sind abgeflossen?
| Datenkategorie | Betroffen? |
|---|---|
| Name | Ja |
| E-Mail-Adresse | Ja |
| Telefonnummer | Ja |
| Buchungsdetails (Hotel, Zeitraum, Buchungsnummer) | Ja |
| Nachrichten an die Unterkunft | Ja |
| Postanschrift | Nein (laut Update) |
| Kreditkarten-/Zahlungsdaten | Nein |
PIN-Codes der Buchungen wurden zurückgesetzt
Zur Absicherung hat Booking.com die PIN-Codes aller betroffenen Reservierungen geändert. Diese PINs gelten als Sicherheitsanker für Änderungen an der Buchung und den Zugriff auf die Reservierung im Kundenkonto. In der E-Mail finden Kundinnen und Kunden die jeweilige Buchungsnummer zusammen mit der neuen PIN – darüber bleibt der Zugang zur Reservierung möglich.
Viele Betroffene berichten in Foren und Blog-Kommentaren allerdings, dass sie schon Wochen vor der offiziellen Mitteilung verdächtige Nachrichten bekommen haben: typischerweise per WhatsApp von indischen Nummern, mit korrektem Namen, echter Buchungsnummer und der Aufforderung, wegen eines angeblichen Zahlungsproblems erneut Daten einzugeben. Die Qualität der Fälschungen ist offenbar hoch genug, dass selbst erfahrene Nutzer drauf hereinfallen.
Das ist die eigentliche Gefahr: gezieltes Phishing
Auch wenn keine Kreditkartendaten abgeflossen sind, sollte man die Panne nicht unterschätzen. Mit echten Buchungsdaten, korrekten Namen und Telefonnummern lassen sich extrem glaubwürdige Phishing-Nachrichten bauen. Angreifer kennen das Hotel, den Reisezeitraum und oft sogar persönliche Anmerkungen aus dem Nachrichtenfeld – kein Wunder, dass viele Nutzer das nicht mehr von einer echten Nachricht der Unterkunft unterscheiden können.
Typische Betrugsmaschen, die aktuell kursieren:
- WhatsApp- oder SMS-Nachrichten mit der Bitte, die Zahlung „erneut zu bestätigen“
- Mails mit Links zu täuschend echt nachgebauten Booking-Seiten
- Anrufe, in denen sich Anrufer als Hotel- oder Booking-Mitarbeiter ausgeben
- Aufforderungen zu Banküberweisungen an abweichende Konten
Booking.com betont ausdrücklich: Das Unternehmen fragt niemals per E-Mail, Telefon, SMS oder WhatsApp nach Kreditkartendaten – und fordert auch keine Überweisungen, die von den in der Buchungsbestätigung genannten Zahlungswegen abweichen. Wer solche Nachrichten oder Anrufe bekommt, sollte zunächst den offiziellen Booking-Support kontaktieren und keine Links anklicken. Grundlegende Tipps, wie man solche Nachrichten zuverlässig entlarvt, haben wir in unserem Ratgeber Achtung: So erkennt man Phishing-Mails zusammengefasst.
Liegt die Ursache bei den Hotels?
Booking.com selbst hat in der Vergangenheit immer wieder darauf verwiesen, dass nicht das eigene System kompromittiert sei, sondern die angeschlossenen Unterkünfte. Das Muster ist bekannt: Hoteliers werden über Phishing zur Herausgabe ihrer Extranet-Zugänge gebracht, Angreifer übernehmen dann die Kommunikation mit den Gästen und verschicken über das offizielle Booking-Messaging-System gefälschte Zahlungsaufforderungen.
Gleichzeitig erklärt Booking in der aktuellen Mitteilung aber auch Partner-Hotels, dass Gäste direkt informiert wurden – inklusive PIN-Reset. Das klingt nach einem systemischen Problem, das sich nicht mehr mit einzelnen gehackten Hotels erklären lässt. Wie schon frühere Vorfälle zeigen, ist das Ausmaß oft größer, als die Unternehmen zunächst zugeben – wir haben etwa über ein Datenleck bei vielen beliebten Online-Plattformen berichtet, bei dem ebenfalls Hunderttausende Kundendaten offen zugänglich waren.
Was solltest du jetzt tun?
- Mail prüfen: Schau, ob du eine offizielle Benachrichtigung von Booking.com bekommen hast. Nutze dafür direkt dein Postfach – nicht über Links in verdächtigen Nachrichten.
- Neue PIN notieren: Die in der Mail genannte PIN ist ab sofort gültig und wird für Änderungen an der Buchung gebraucht.
- Keine Links aus unerwarteten Nachrichten klicken – weder aus WhatsApp, SMS noch aus E-Mails. Im Zweifel immer direkt über die Booking-App oder die offizielle Website einloggen.
- Zahlungsweg prüfen: Offene Zahlungen nur an die in der ursprünglichen Buchungsbestätigung genannten Konten leisten.
- Bei Betrugsverdacht: Karte sperren lassen, Anzeige bei der Polizei erstatten, Hotel und Booking-Support informieren.
Fazit: Die Booking.com-Datenpanne ist vor allem ein Phishing-Problem
Die Booking.com-Datenpanne wirkt auf den ersten Blick überschaubar – keine Kreditkartendaten, Zugang zum Konto weiterhin möglich, neue PINs sind bereits verteilt. Das eigentliche Risiko liegt aber in den abgeflossenen Informationen selbst: Mit echten Buchungsdetails lassen sich beeindruckend glaubwürdige Betrugsversuche bauen. Wer aktuell über Booking gebucht hat oder kürzlich verreist ist, sollte jede Kommunikation außerhalb der offiziellen App mit gesunder Skepsis behandeln. Klarere Informationen seitens Booking.com – insbesondere zur Ursache und zur Anzahl der Betroffenen – wären wünschenswert und nach DSGVO eigentlich auch Pflicht.
