Bereits im Februar 2025 wurden die ersten Fälle einer neuen, gezielten Cyberangriffswelle gegen die Hotellerie und Reisebranche gemeldet. Seitdem tritt diese Art von Angriff immer wieder in Wellen auf, teils mit mehreren Monaten Abstand, dann erneut verstärkt. Diese mutmaßlichen Hacker-Attacken richtet sich gezielt gegen Vermieter:innen, Hotelmitarbeitende und Gäste. Das Ziel ist, Zugänge zu übernehmen, sensible Daten zu stehlen und betrügerische Zahlungen auszulösen. Die aktuelle Angriffswelle nennt sich “ClickFix”, da durch nur einen Klick eine Schadsoftware unbemerkt installiert wird.
Wichtig: Unsere Software, unsere Systeme und unsere Infrastruktur waren zu keinem Zeitpunkt betroffen.
Es gab kein Datenleck, keinen unautorisierten Zugriff und keinen Abfluss von Kundendaten über unsere Plattform. Die aktuell bekannten Vorfälle stehen nicht im Zusammenhang mit einem Sicherheitsproblem unserer Systeme.
Wie der Angriff zustande kommt – aufseiten der Vermieter:innen
Potenzielle Cyberkriminelle versenden täuschend echte E-Mails. Dabei beschränken sich die Angriffe nicht auf einzelne Buchungsplattformen. Es werden unterschiedlichste Vorwände und Absender genutzt; etwa angebliche Nachrichten von Buchungsportalen, Zahlungsdienstleistern, IT-Dienstleistern etc. Diese E-Mails enthalten typischerweise Warnungen zu angeblichen Stornierungen, negativen Bewertungen oder Kontoproblemen und fordern den Empfänger, also dich als Gastgeber:in, auf, einem Link zu folgen oder eine Aktion durchzuführen.
Wichtig zu verstehen ist dabei:
Es handelt sich nicht um klassische Hackerangriffe auf Server oder Buchungsplattformen, sondern um Social Hacking (auch Social Engineering genannt).
Das eigentliche Angriffsziel sind nicht die Systeme, sondern die Menschen.
Konkret zielen die Angriffe auf:
- den Hotelbetrieb selbst
- Mitarbeiter:innen oder Eigentümer:innen
- und vor allem auf menschliche Schwachstellen wie Stress, Unsicherheit und Angst.
Die Angreifer nutzen gezielt psychologischen Druck, zum Beispiel mit Aussagen wie:
„Du hast eine negative Bewertung erhalten, sie ist bereits öffentlich sichtbar!“
„Es gibt ein Problem mit deiner Buchung!“
„Du musst dich sofort einloggen, um Schaden abzuwenden!“
“Du hast nur 24 Stunden Zeit, sonst…”
Genau diese Angst sorgt dafür, dass Betroffene schnell klicken, ohne lange nachzudenken.
So kann eine solche E-Mail beispielsweise aussehen. Ein Hinweis auf eine Hacker-E-Mail wäre hier zB. die unpersönliche Anrede “Dear Partner”. Prüfe auch immer genau den Absender.
Eine aktuell häufig beobachtete Methode wird als „ClickFix“ bezeichnet:
Ein einziger Klick oder eine scheinbar harmlose Aktion reicht aus, um unbemerkt Schadsoftware zu installieren. (Quelle: security-insider.de)
Was dann passiert:
- Die Betroffenen landen auf Webseiten, die professionell aussehen, aber nicht von dem echten Portal stammen.
- In manchen Fällen erscheint sogar ein gefälschtes Systemfenster oder „CAPTCHA“, das den Nutzer dazu bringt, einen Befehl einzutippen oder Dateien auszuführen.
- Dadurch installiert sich eine Schadsoftware auf dem Gerät, die Zugangsdaten, E-Mails, Passwörter oder Sitzungsinformationen ausliest. Häufig erkennt auch eine klassische Schutzsoftware (Antiviren-Schutz) den Angriff nicht, weil die Nutzer den Prozess selbst ausgelöst haben.
Achtung: Ist ein Gerät erst einmal infiziert, passiert genau das, was diese Angriffe so gefährlich macht: Man sieht nichts, man merkt nichts und das System meldet keinen Fehler. In vielen Fällen findet nicht einmal ein klassisches Virenprogramm Auffälligkeiten. Die eingesetzten Schadprogramme arbeiten im Hintergrund und nutzen sogenannte „Hintertüren“, die gezielt dafür entwickelt wurden, unentdeckt zu bleiben.
Genau deshalb sind Aussagen wie „Unser IT-Techniker hat alles geprüft und nichts gefunden“ keine Entwarnung. Im Gegenteil: Diese Angriffe sind so konzipiert, dass selbst erfahrene IT-Profis und moderne Schutzsoftware keine eindeutigen Hinweise entdecken. Es handelt sich um hochprofessionell organisierte, international agierende Täter, deren zentrales Ziel es ist, möglichst lange unsichtbar im System zu bleiben.
Ist ein Gerät einmal kompromittiert, hilft in vielen Fällen nur eine konsequente Maßnahme: Das betroffene System vollständig neu aufsetzen.
Wie der Angriff auf Gäste funktioniert
Sobald ein Gerät oder E-Mail-Konto kompromittiert ist, können die potenziellen Hacker laufende Kommunikation mitlesen oder auf gespeicherte Nachrichten zugreifen. Dazu zählen auch Buchungsbestätigungen, Rückfragen oder Zahlungsinformationen von Gästen. Auf diese Weise erhalten Cyberkriminelle die nötigen Daten, um im nächsten Schritt gezielt Gäste zu kontaktieren und weitere Betrugsversuche zu starten.
Beispielsweise enthalten die Admin-Mails, die du bei jeder Buchung automatisch von uns erhältst, sämtliche relevanten Gästedaten. Das reine Auslesen dieser E-Mails liefert Angreifern bereits genügend Daten, um Gäste gezielt anzugreifen – ganz ohne Zugriff auf ein PMS oder eine Buchungsplattform.
Damit wird klar, warum die Daten außerhalb von easybooking abgegriffen wurden und kein Datenleck in unseren Systemen vorliegt: Die Informationen stammen aus kompromittierten E-Mail-Konten einzelner Betriebe, nicht aus unserer Plattform.
So läuft ein Angriff ab:
- Gäste planen eine Reise oder erwarten eine Buchungsbestätigung.
- Sie erhalten eine E-Mail mit einem angeblichen Bestätigungs- oder Verifizierungslink.
- Klickt der Empfänger, wird er durch eine Reihe von Weiterleitungen zu einer gefälschten Seite geführt.
- Dort wird er aufgefordert, Zahlungs- oder persönliche Daten einzugeben, welche direkt bei den Angreifern landen.
Diese Websites sehen täuschend echt aus, inklusive Logos großer Anbieter, und nutzen psychologische Auslöser wie Dringlichkeit („Bestätigung innerhalb von 24 h erforderlich“), um die Opfer zur schnellen Aktion zu bringen.
Gäste werden per Whatsapp kontaktiert. Absender ist meistens “Pathseeker”.
Gäste erhalten eine E-Mail, die im Namen der Unterkunft verschickt wird. Die Mails sehen immer so aus und enthalten einen Link.
Quelle: netcraft.com
Der Link führt auf eine solche Seite, auf der die Gäste aufgefordert werden, nochmal ihre Daten und Kontodaten anzugeben.
Quelle: netcraft.com
Mache deine Gäste unbedingt darauf aufmerksam, dass sie nach einer Buchung auf keine Mail und auf keinen Link klicken, der nicht zu 100% von deinem Betrieb verschickt wird!
Was tun, wenn du betroffen bist?
Solltest du den Verdacht haben, dass ein Gerät oder ein Account kompromittiert wurde, ergreife bitte umgehend folgende Maßnahmen:
1. Geräte isolieren
Trenne das betroffene Gerät sofort vom Netzwerk (LAN/WLAN) und verwende es nicht weiter, bis geprüft wurde, was passiert ist. Falls mehrere Mitarbeitende betroffen sein könnten, alle Arbeitsplätze prüfen.
2. Passwörter und Zugänge zurücksetzen
Ändere alle Passwörter von E-Mail-Konten, administrativen Portalen und genutzten Systemen. Melde aktive Sitzungen ab und aktiviere, wo möglich, Multifaktor-Authentifizierung (MFA/2FA).
Unabhängig von den aktuell beschriebenen Hacking-Vorfällen, empfehlen wir grundsätzlich, den Login zu easybooking mit einer Zwei-Faktor-Authentifizierung (2FA) abzusichern. Diese zusätzliche Schutzmaßnahme erhöht die allgemeine Sicherheit deutlich und verhindert unautorisierten Zugriff selbst dann, wenn Zugangsdaten in falsche Hände geraten. Aktiviere die Zwei-Faktor-Authentifizierung jetzt direkt zum Schutz deiner Daten und die, deiner Gäste. In kurzer Zeit werden wir die zusätzliche Login-Sicherheitsmaßnahme verpflichtend machen. Zur Schritt-für-Schritt-Anleitung: Aktivierung der Zwei-Faktor-Authentifizierung in easybooking
3. E-Mail-Postfach prüfen
Überprüfe Regeln, Weiterleitungen oder unautorisierte Einstellungen in deinem E-Mail Postfach und entferne diese.
4. Geräte bereinigen
Führe umfassende Sicherheits- und Malware-Scans durch oder lasse das Gerät vollständig neu aufsetzen, falls eine Infektion nicht ausgeschlossen werden kann.
5. Kreditkarten bzw. Zahlungsdaten schützen
Wenn Zahlungsdaten eingegeben oder kompromittiert wurden (z. B. durch eine gefälschte Gäste-Buchungsseite), kontaktiere umgehend deine Bank, sperre betroffene Karten und beobachte Kontobewegungen.
Solltest du davon ausgehen, dass auch Gästedaten betroffen sein könnten, empfehlen wir, deine Gäste proaktiv zu informieren. Über die Gästedatenverwaltung in easybooking kannst du relevante Kontaktdaten exportieren und eine Rundmail versenden, um transparent zu warnen und mögliche Folgeschäden zu vermeiden. Zur Anleitung: Export der Gästedaten.
6. Rechtsbeistand
In schwerwiegenden Fällen, etwa bei finanziellem Schaden, möglichem Datenmissbrauch oder rechtlichen Unsicherheiten, kann es sinnvoll sein, zusätzlich rechtlichen Beistand hinzuzuziehen, um das weitere Vorgehen abzusichern.
Phishing 2026: Warum Aufmerksamkeit wichtiger ist als je zuvor
Phishing entwickelt sich ständig weiter. Durch KI-generierte E-Mails oder Fake-Anrufe sind Betrugsversuche kaum noch zu erkennen. Deshalb ist es entscheidend, dass du die typischen Warnsignale kennst und dich regelmäßig über neue Betrugsmethoden informierst. Auskunft gibt beispielsweise auch das Bundesamt für Sicherheit in der Informationstechnik.
Wenn du unsicher bist, ob es sich um eine Phishing-E-Mail oder einen betrügerischen Link handelt, empfehlen wir zusätzlich unseren ausführlichen Leitfaden zum Thema Phishing. Darin zeigen wir typische Merkmale, konkrete Beispiele und praktische Tipps, wie du betrügerische Nachrichten frühzeitig erkennen kannst:
Phishing erkennen – so schützen Sie sich vor betrügerischen E-Mails
Fazit: Kein Angriff auf unsere Systeme
Noch einmal ganz klar: Unsere Software und Infrastruktur wurden nicht gehackt. Es gab kein Datenleck auf unserer Plattform und keinen unautorisierten Zugriff durch Angreifer auf unsere Systeme. Die aktuellen Vorfälle betreffen Phishing-Angriffe auf Geräte und Konten von Einzelpersonen oder Betrieben in ganz Europa, oft ausgelöst durch Social-Engineering-Techniken wie ClickFix oder massenhafte Fake-Domains.
Da es sich um Angriffe außerhalb unserer Plattform handelt, ist in betroffenen Fällen die Zusammenarbeit mit IT-Sicherheitsexperten oder einem Security-Dienstleister zwingend erforderlich, um Systeme zu bereinigen und zukünftige Angriffe zu verhindern.
Weiterführende Informationen & externe Berichte
Die beschriebenen mutmaßlichen Phishing- und Hackerangriffe betreffen aktuell nicht einzelne Betriebe oder Plattformen, sondern die Hotellerie und Reisebranche in ganz Europa. Mehrere unabhängige Medien und IT-Sicherheitsunternehmen berichten über vergleichbare Vorfälle und Angriffsmuster:
- Weitere aktuelle Warnungen zu den Phishing-Attacken finden Sie auch bei der ÖHV und beim Hotelverband Deutschland:
https://www.oehv.at/recht-service/warnungen/
https://www.hotellerie.de/news/warnungen - Hotel vor9 berichtet über neue Cyberangriffe auf Hotels mit gefälschten Booking-Mails:
https://www.hotelvor9.de/inside/neue-cyberangriffe-auf-hotels-mit-falschen-booking-mails - Netcraft analysiert eine groß angelegte Phishing-Kampagne mit tausenden Fake-Domains, die gezielt Hotelgäste angreift:
https://www.netcraft.com/blog/thousands-of-domains-target-hotel-guests-in-massive-phishing-campaign - Tageskarte.io berichtet über europaweite Angriffe auf Hotels mit gefälschten Fehlermeldungen und Systemwarnungen: https://www.tageskarte.io/hotellerie/detail/cyberkriminelle-attackieren-europaeische-hotels-mit-gefaelschten-fehlermeldungen.html
- Security-Insider beschreibt die aktuelle Social-Engineering-Angriffswelle rund um die sogenannte ClickFix-Methode, bei der Nutzer:innen gezielt zu schädlichen Aktionen verleitet werden: https://www.security-insider.de/social-engineering-angriffswelle-clickfix-a-0f1d35d5c67d7e064b5bc9f74f6de5de/
- Booking.com Partner Hub informiert über Online-Sicherheitsbewusstsein, Phishing und Mail-Spoofing und gibt konkrete Hinweise, wie Betrugsversuche erkannt und vermieden werden können: https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/online-sicherheitsbewusstsein-phishing-und-mail-spoofing
Schreibe einen Kommentar