Follow-up: Phisherman's Friend

Hotelführer

Markus Luthe / 26.07 2023

icon min Lesezeit

icon 1 Kommentare

Zurück

Blogpost von Markus Luthe zur Datenunsicherheit eines Buchungsportals

Bild: Fotomontage

Vor gut zwei Wochen habe ich in meinem Blogpost „Phisherman’s Friend“ über Phishing-Attacken, Fake-Buchungen und Zahlungserschleichungen rund um das interne Kommunikationssystem von Booking.com berichtet, das vermutlich wiederholt als Einfallstor für Betrügereien zu Lasten der Hotels genutzt wurde und wird. Seitdem haben uns enorm viele Fallschilderungen betroffener Hoteliers erreicht, die auf systematische Kriminalität und einen hohen Schaden bei den Hotelpartnern hindeuten.

Als besonders frustrierend erweisen sich Fälle, in denen das Hotel sogar das richtige Gespür für Fake-Buchungen (relativ lange Aufenthaltsdauer, hoher Buchungswert) hat und Booking.com rechtzeitig um eine Überprüfung der hinterlegten Kreditkarte bittet, nur um dann nach ebenso halbherzigem wie misstrauischem Hin und Her in der Korrespondenz mit dem Kundenservice letztlich doch auf der Schein-Buchung sitzen bleibt. Da bleibt mehr als nur ein schaler Beigeschmack zurück, wenn Booking.com gleichzeitig anbietet, gegen eine Zusatzgebühr von round about 1,5 Prozent den Zahlungseinzug selbst vorzunehmen. Zu Risiken und Nebenwirkungen konsultieren Sie Ihren Hotelverband oder einen Blogpost Ihres Vertrauens!

Immer wieder berichten Hotels auch, dass sie von Booking.com zu Phishing-Vorfällen gar keine Rückmeldung erhalten. Von den Betrügern hingegen schon. Oftmals per WhatsApp über immer neue Rufnummern aus Großbritannien oder den USA, unter denen sich die Ganoven gerne auch mal als Mitarbeiter von Booking.com vorstellen und Daten abgreifen wollen.

Noch unangenehmer für Hotels sind Kontaktaufnahmeversuche geschädigter Gäste. Ein Hotel schrieb: Unsere Rezeption und unsere Reservierung wurden mit Anrufen und E-Mails besorgter Gäste geflutet. Das Abschalten der Gästekommunikation im Booking.com Extranet hat geholfen, nach zwei Wochen Wartezeit haben wir die Kommunikation wieder aktiviert und wenige Stunden später sofort erneut Rückfragen von Gästen erhalten. Im Moment ist die Kommunikation wieder abgeschaltet...“

Einen besonders krassen Fall berichtete ein Stadthotel in der vergangenen Woche: Aus dem Booking-Extranet wurden alle zu dem Zeitpunkt rund 800 (!) Buchungen kontaktiert und ersucht, über einen Link (noch einmal) Kreditkartendetails bekannt zu geben, weil andernfalls die Buchung verfallen würde. Das Telefon des Hotels stand daraufhin zwei Stunden lang nicht mehr still, ca. 100 Buchungen wurden storniert. Kreditkarten von Gästen seien belastet worden, nur manchmal habe die Bank die Zahlung blockiert. Das Hotel war über sieben Stunden immer wieder mit mehreren Stellen bei Booking.com in Kontakt, der Support sei jedoch mangelhaft und zögerlich gewesen bis hin zur abwiegelnden Einschätzung, dass gar keine Phishing-Mails vorlägen. Also hat das Hotel angefangen, über das Extranet von Booking.com – es steht ja kein anderer Kommunikationskanal zur Verfügung – jeden einzelnen Gast zu kontaktieren und zu warnen. Erst spät sei dann angeblich seitens Booking.com doch noch eine E-Mail an alle Gäste rausgegangen. Hotelmitarbeiter geben an gesehen zu haben, dass ihre Warnung an den Gast vom Hacker mit dem Hinweis kommentiert worden sei, die Hotelnachricht sei fake...

Für mich ist das ein multiples Sicherheits- und Kommunikationsversagen des marktdominierenden Buchungsportals!

Unstreitig treffen Booking.com besondere Sorgfalts- und Abhilfepflichten. Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Sicherheitsstandards gewährleisten. Und angesichts der Vielzahl der Fälle ist es gänzlich unplausibel, dass das Sicherheitsleck systemisch bei den Hotels liegt. Ich sehe die Erklärungs- und Darlegungslast eindeutig bei Booking.com.

Unabhängig davon, auf welchem Wege die Betrüger an die Login-Daten der Hotels gelangt sind, dürfte jedenfalls der „stiefmütterliche“ Umgang mit der Angelegenheit und das Fehlen unverzüglicher und effektiver Abhilfemaßnahmen durch Booking.com eine Pflichtverletzung darstellen. Und spätestens das muss auch eine entsprechende Haftung nach sich ziehen.

Wenn die Betrüger selbst nach der Anzeige der Phishing-Attacken durch die Hotels noch in der Lage sind, den Kommunikationskanal zu kapern und mit dem Gast zu kommunizieren, dann offenbart dies meines Erachtens eine fehlende Professionalität auf Seiten von Booking.com.

Und wie kann ein einzelnes Hotel überhaupt auf einen Schlag über die Kommunikationsplattform von Booking.com hunderte von Gästen kontaktieren, noch dazu mit einer Aufforderung über einen Link Zahlungsdaten (erneut) preiszugeben?

Booking.com hat doch immer behauptet, genau deshalb jederzeit Zugriff auf die Kommunikation zwischen Hotel und Gästen haben zu müssen, um „fraudulente Verhaltensweisen“ zu unterbinden. In Booking’s „Datenschutzerklärung für Geschäftspartner“ liest sich das wie folgt:

„Booking.com kann auf die Kommunikation zwischen Geschäftspartnern und Gästen zugreifen. Wir verwenden auch automatisierte Systeme, um Mitteilungen zu den folgenden Zwecken zu überprüfen, zu scannen und zu analysieren:

  • Sicherheit,
  • Verhinderung von Betrug,
  • …“

Dass dieses Überwachungssystem bei einer Massennachricht mit den Schlagwörtern „Buchung verfallen“, „Kreditkartendetails“ und „Link“ nicht anschlägt, wäre ein Armutszeugnis und wenig glaubwürdig.

Betroffenen Hotels ist zu empfehlen, jeden einzelnen Vorgang bestmöglich zu dokumentieren – insbesondere auch unterbliebene bzw. zögerliche oder verspätete Abhilfemaßnahmen durch Booking.com. Geschädigte Hotels können sich an die Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen wenden. Sollten sich geschädigte Gäste mit Schadensersatzforderungen an das Hotel wenden, von dem ja für sie – dem Anschein nach – die Stornierungskommunikation ausging, sollte das Hotel individuelle Rechtsberatung hinzuziehen.

1 Kommentare
Geschrieben von
Markus Luthe
Dipl.-Volkswirt / Hauptgeschäftsführer
Hotelverband Deutschland (IHA)

luthe@hotellerie.de
1 Bemerkungen :

11/08/2023 09:44 von Markus Luthe / Hotelverband Deutschland (IHA)

Gegenüber Tageskarte hat Booking.com sich zu einigen in meinen Blogposts erhobenen Vorwürfen geäußert.


Hier geht's zum Artikel "Kommunikationssystem als 'Sicherheitsrisiko der Branche'? – Wie Booking.com auf die Vorwürfe des Hotelverbandes reagiert".



Kommentar hinzufügen

×
Name ist erforderlich!
Geben Sie einen gültigen Namen ein
Gültige E-Mail ist erforderlich!
Gib eine gültige E-Mail Adresse ein
Kommentar ist erforderlich!

* Diese Felder sind erforderlich.

Weitere
28.06.2024 von Markus Luthe
Eher Turbo denn Torpedo

Am 6. Juni 2024 hat Generalanwalt beim Europäischen Gerichtshof Anthony Collins seine Schlussanträge in der Rechtssache Booking.com (C 264/23) veröffentlicht. Es geht im zugrundeliegenden Fall vor dem Bezirksgericht Amsterdam um Schadensersatzforderungen, die deutsche Hotels mit Unterstützung des Hotelverbandes Deutschland (IHA) von Booking.com für die jahrelange Verwendung kartellrechtswidriger Bestpreisklauseln fordern. Die Stellungnahme von Generalanwalt Collins hat (zu Recht) viel Aufmerksamkeit erregt, und eine Vielzahl von Kommentaren und Zusammenfassungen wurden seitdem veröffentlicht. Den Beitrag „Dutch Torpedo at Work“ von Silke Heinz nehme ich zum Anlass, einige einordnende Anmerkungen aus der Perspektive eines Prozessbeteiligten zu machen und einige Aspekte hervorzuheben, die meines Erachtens eine genauere Betrachtung verdienen.

02.06.2024 von Markus Luthe
Gatekeeper, Green Claims und Kraneburger

Heute in einer Woche haben wir die Wahl, die Europawahl. Und ich mache mir große Sorgen, dass eine geringe Wahlbeteiligung zu einer Destabilisierung der demokratischen Institutionen Europas führen könnte. Auch die Umfragen deuten weiter auf erhebliche Zugewinne populistischer und extremistischer Parteien hin, die äußersten Rechten könnten gar die stärkste Fraktion im Europaparlament stellen. Das Vertrauen darauf, dass diese Gruppierungen in der Regel untereinander so zerstritten sind, dass sie eine Fraktionsbildung schon nicht schaffen werden, ist mir als Brandmauer zu löchrig. Ausgerechnet jetzt, wo sich das Europäische Parlament im Kräftespiel der europäischen Institutionen über die Jahre einiges an Gewicht erobert hat, droht hier der parlamentarische Infarkt, Stillstand und Blockade…

01.04.2024 von Markus Luthe
April, April

Nach drei Corona-bedingten Ausfalljahren, blühten Aprilscherze mit Tourismusbezug im vergangenen Jahr endlich wieder auf. Ich freue mich daher, meine kleine „Tradition“ fortsetzen und die besten Aprilscherze mit Branchenbezug mit einem Ranking-Blogpost gebührend würdigen zu können. Frohe Ostern!

Alle Blog