Achtung Phishing: Aktuelle Angriffswelle auf Hotelbetriebe – auch Betriebe in Kärnten betroffen

Sicherheitsexperten warnen derzeit vor einer verstärkten Angriffswelle auf die europäische Hotelbranche. Auch aus Kärnten liegen vermehrt Rückmeldungen von Betrieben vor, die verdächtige Nachrichten im Zusammenhang mit Buchungsplattformen erhalten haben. Ziel der Angriffe ist es, Mitarbeitende gezielt zur Preisgabe von Zugangsdaten zu verleiten oder schädliche Aktionen auszulösen – mit teils erheblichen Folgen für Betriebe und Gäste.

Im Fokus stehen Phishing- und Social-Engineering-Angriffe, bei denen sich die Täter als Buchungsplattformen oder Geschäftspartner ausgeben und professionell gestaltete E-Mails versenden.

Die aktuell beobachteten Angriffe folgen meist einem klaren Muster, unter anderem im Zusammenhang mit Zugängen zu Booking.com:

1. Unauffällige Kontaktaufnahme
   Ausgangspunkt ist häufig eine scheinbar harmlose Reservierungsanfrage mit unvollständigen Angaben, etwa ohne Gästeanzahl oder mit unklaren Reisedaten. Ziel ist es, dass der Betrieb per E-Mail Rückfragen stellt. Dadurch erhalten die Angreifer eine aktive und gültige E-Mail-Adresse eines Mitarbeitenden.
2. Täuschend echte Phishing-Mail
   In einem zweiten Schritt folgt eine professionell gestaltete Nachricht, die vorgibt, von einer Buchungsplattform oder einem Partner zu stammen. Häufig wird ein dringender Handlungsbedarf behauptet – etwa aufgrund einer Beschwerde, einer Rückerstattungsanfrage oder einer angeblichen Sicherheitsüberprüfung.
3. Weiterleitung auf gefälschte Login-Seiten
   Der enthaltene Link führt nicht auf die echte Plattform, sondern auf eine nachgebaute Login-Seite. Werden dort Zugangsdaten eingegeben, verschaffen sich die Angreifer Zugriff auf interne Systeme oder E-Mail-Konten des Betriebs.

Ein häufiges Resultat dieser Angriffe ist, dass bereits gebuchte Gäste im Anschluss Zahlungsaufforderungen erhalten, die optisch und inhaltlich sehr glaubwürdig wirken.

Die dafür verwendeten Buchungsinformationen stammen nicht aus der Buchungsplattform selbst, sondern aus kompromittierten Systemen des jeweiligen Betriebs – etwa aus E-Mail-Postfächern oder lokal genutzten Arbeitsplätzen, auf die sich Angreifer nach erfolgreichem Phishing Zugriff verschafft haben.

Für Betriebe bedeutet dies nicht nur einen erheblichen Vertrauensverlust gegenüber Gästen, sondern unter Umständen auch datenschutzrechtliche Konsequenzen und wirtschaftliche Schäden.

Auch wenn die Nachrichten professionell gestaltet sind, gibt es typische Warnsignale:

• Die Absenderadresse passt nicht zur offiziellen Domain der Plattform.
• Links oder Buttons führen auf ungewöhnliche oder abweichende Webadressen.
• Es wird mit Zeitdruck und Dringlichkeit gearbeitet.
• Empfänger werden per E-Mail zur Eingabe von Zugangsdaten oder Zahlungsinformationen aufgefordert.

Hotel- und Tourismusbetrieben wird dringend empfohlen:

• Zugangsdaten niemals über Links in E-Mails oder auf externen Seiten einzugeben.
• Sich ausschließlich über bekannte, offizielle Zugangswege direkt bei den jeweiligen Plattformen anzumelden.
• Verdächtige Nachrichten nicht zu beantworten, sondern umgehend zu löschen.
• Mitarbeitende regelmäßig über aktuelle Betrugsmaschen zu informieren und zu sensibilisieren.
• Im Verdachtsfall unverzüglich den jeweiligen Plattformanbieter sowie die eigene IT-Betreuung zu kontaktieren.

Mehrere Hotelverbände sowie Anbieter von Hotelsoftware informieren derzeit aktiv über diese Angriffsmuster. Eine erhöhte Aufmerksamkeit und regelmäßige Schulungen der Mitarbeitenden sind derzeit der wirksamste Schutz vor finanziellen Schäden und Vertrauensverlust.

• Typische Phishing-Abläufe im Hotelumfeld (easybooking Blog): phishing-hotellerie-cyberangriffe
• Aktuelle Warnung vor Angriffen auf europäische Hotels (it-daily.net): malware-angriffe-europaeische-hotels
• Warnmeldungen der Österreichischen Hotelvereinigung (ÖHV): warnungen