Follow-up: Phisherman's Friend

Hotelführer

Markus Luthe / 26.07 2023

icon min Lesezeit

icon 1 Kommentare

Zurück

Blogpost von Markus Luthe zur Datenunsicherheit eines Buchungsportals

Bild: Fotomontage

Vor gut zwei Wochen habe ich in meinem Blogpost „Phisherman’s Friend“ über Phishing-Attacken, Fake-Buchungen und Zahlungserschleichungen rund um das interne Kommunikationssystem von Booking.com berichtet, das vermutlich wiederholt als Einfallstor für Betrügereien zu Lasten der Hotels genutzt wurde und wird. Seitdem haben uns enorm viele Fallschilderungen betroffener Hoteliers erreicht, die auf systematische Kriminalität und einen hohen Schaden bei den Hotelpartnern hindeuten.

Als besonders frustrierend erweisen sich Fälle, in denen das Hotel sogar das richtige Gespür für Fake-Buchungen (relativ lange Aufenthaltsdauer, hoher Buchungswert) hat und Booking.com rechtzeitig um eine Überprüfung der hinterlegten Kreditkarte bittet, nur um dann nach ebenso halbherzigem wie misstrauischem Hin und Her in der Korrespondenz mit dem Kundenservice letztlich doch auf der Schein-Buchung sitzen bleibt. Da bleibt mehr als nur ein schaler Beigeschmack zurück, wenn Booking.com gleichzeitig anbietet, gegen eine Zusatzgebühr von round about 1,5 Prozent den Zahlungseinzug selbst vorzunehmen. Zu Risiken und Nebenwirkungen konsultieren Sie Ihren Hotelverband oder einen Blogpost Ihres Vertrauens!

Immer wieder berichten Hotels auch, dass sie von Booking.com zu Phishing-Vorfällen gar keine Rückmeldung erhalten. Von den Betrügern hingegen schon. Oftmals per WhatsApp über immer neue Rufnummern aus Großbritannien oder den USA, unter denen sich die Ganoven gerne auch mal als Mitarbeiter von Booking.com vorstellen und Daten abgreifen wollen.

Noch unangenehmer für Hotels sind Kontaktaufnahmeversuche geschädigter Gäste. Ein Hotel schrieb: Unsere Rezeption und unsere Reservierung wurden mit Anrufen und E-Mails besorgter Gäste geflutet. Das Abschalten der Gästekommunikation im Booking.com Extranet hat geholfen, nach zwei Wochen Wartezeit haben wir die Kommunikation wieder aktiviert und wenige Stunden später sofort erneut Rückfragen von Gästen erhalten. Im Moment ist die Kommunikation wieder abgeschaltet...“

Einen besonders krassen Fall berichtete ein Stadthotel in der vergangenen Woche: Aus dem Booking-Extranet wurden alle zu dem Zeitpunkt rund 800 (!) Buchungen kontaktiert und ersucht, über einen Link (noch einmal) Kreditkartendetails bekannt zu geben, weil andernfalls die Buchung verfallen würde. Das Telefon des Hotels stand daraufhin zwei Stunden lang nicht mehr still, ca. 100 Buchungen wurden storniert. Kreditkarten von Gästen seien belastet worden, nur manchmal habe die Bank die Zahlung blockiert. Das Hotel war über sieben Stunden immer wieder mit mehreren Stellen bei Booking.com in Kontakt, der Support sei jedoch mangelhaft und zögerlich gewesen bis hin zur abwiegelnden Einschätzung, dass gar keine Phishing-Mails vorlägen. Also hat das Hotel angefangen, über das Extranet von Booking.com – es steht ja kein anderer Kommunikationskanal zur Verfügung – jeden einzelnen Gast zu kontaktieren und zu warnen. Erst spät sei dann angeblich seitens Booking.com doch noch eine E-Mail an alle Gäste rausgegangen. Hotelmitarbeiter geben an gesehen zu haben, dass ihre Warnung an den Gast vom Hacker mit dem Hinweis kommentiert worden sei, die Hotelnachricht sei fake...

Für mich ist das ein multiples Sicherheits- und Kommunikationsversagen des marktdominierenden Buchungsportals!

Unstreitig treffen Booking.com besondere Sorgfalts- und Abhilfepflichten. Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Sicherheitsstandards gewährleisten. Und angesichts der Vielzahl der Fälle ist es gänzlich unplausibel, dass das Sicherheitsleck systemisch bei den Hotels liegt. Ich sehe die Erklärungs- und Darlegungslast eindeutig bei Booking.com.

Unabhängig davon, auf welchem Wege die Betrüger an die Login-Daten der Hotels gelangt sind, dürfte jedenfalls der „stiefmütterliche“ Umgang mit der Angelegenheit und das Fehlen unverzüglicher und effektiver Abhilfemaßnahmen durch Booking.com eine Pflichtverletzung darstellen. Und spätestens das muss auch eine entsprechende Haftung nach sich ziehen.

Wenn die Betrüger selbst nach der Anzeige der Phishing-Attacken durch die Hotels noch in der Lage sind, den Kommunikationskanal zu kapern und mit dem Gast zu kommunizieren, dann offenbart dies meines Erachtens eine fehlende Professionalität auf Seiten von Booking.com.

Und wie kann ein einzelnes Hotel überhaupt auf einen Schlag über die Kommunikationsplattform von Booking.com hunderte von Gästen kontaktieren, noch dazu mit einer Aufforderung über einen Link Zahlungsdaten (erneut) preiszugeben?

Booking.com hat doch immer behauptet, genau deshalb jederzeit Zugriff auf die Kommunikation zwischen Hotel und Gästen haben zu müssen, um „fraudulente Verhaltensweisen“ zu unterbinden. In Booking’s „Datenschutzerklärung für Geschäftspartner“ liest sich das wie folgt:

„Booking.com kann auf die Kommunikation zwischen Geschäftspartnern und Gästen zugreifen. Wir verwenden auch automatisierte Systeme, um Mitteilungen zu den folgenden Zwecken zu überprüfen, zu scannen und zu analysieren:

  • Sicherheit,
  • Verhinderung von Betrug,
  • …“

Dass dieses Überwachungssystem bei einer Massennachricht mit den Schlagwörtern „Buchung verfallen“, „Kreditkartendetails“ und „Link“ nicht anschlägt, wäre ein Armutszeugnis und wenig glaubwürdig.

Betroffenen Hotels ist zu empfehlen, jeden einzelnen Vorgang bestmöglich zu dokumentieren – insbesondere auch unterbliebene bzw. zögerliche oder verspätete Abhilfemaßnahmen durch Booking.com. Geschädigte Hotels können sich an die Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen wenden. Sollten sich geschädigte Gäste mit Schadensersatzforderungen an das Hotel wenden, von dem ja für sie – dem Anschein nach – die Stornierungskommunikation ausging, sollte das Hotel individuelle Rechtsberatung hinzuziehen.

1 Kommentare
Geschrieben von
Markus Luthe
Dipl.-Volkswirt / Hauptgeschäftsführer
Hotelverband Deutschland (IHA)

luthe@hotellerie.de
1 Bemerkungen :

August 11 2023 9:44 am von Markus Luthe / Hotelverband Deutschland (IHA)

Gegenüber Tageskarte hat Booking.com sich zu einigen in meinen Blogposts erhobenen Vorwürfen geäußert.


Hier geht's zum Artikel "Kommunikationssystem als 'Sicherheitsrisiko der Branche'? – Wie Booking.com auf die Vorwürfe des Hotelverbandes reagiert".



Kommentar hinzufügen

×
Name ist erforderlich!
Geben Sie einen gültigen Namen ein
Gültige E-Mail ist erforderlich!
Gib eine gültige E-Mail Adresse ein
Kommentar ist erforderlich!

* Diese Felder sind erforderlich.

Weitere
18.02.2025 von Markus Luthe
Unter Wikingern
Frontansicht des Hotel Wikingerhof in Kropp. Ein weißes Gebäude mit blauer Beschriftung (Hotelname).

Wieder einmal zählt die Booking Holdings laut fvw-Bericht vom 11. Februar 2025 zu einem illustren Kreis von Online-Portalen, die Verbraucherschützern wegen der Verwendung von „Mondpreisen“ und „Scheinrabatten“ besonders negativ auffallen. Warum verwundert mich das bloß nicht mehr? Das irreführende Vorgehen des Unternehmens hat Methode. Schon vor zehn Jahren beklagte sich unser Mitglied Wikingerhof im schleswig-holsteinischem Kropp über eine unverschämt bis dreiste Preisaktion von Booking.com: Obwohl der Wikingerhof im Sommer 2015 überhaupt keine Preissenkung vornahm, verpasste ihm Booking.com einfach ungefragt einen „50% Rabatt“ Banner. Die Preise waren also trotz des marktschreierischen Solos des Buchungsportals gleichgeblieben und die aufgrund der nun überzogenen Erwartungshaltung der Gäste negativen Bewertungen ließen sich nicht lange auf sich warten: „Bei einem Haus Ihrer Kategorie hätten wir erwartet…“

03.02.2025 von Markus Luthe
Ceci n'est pas un voyage
Auf dem Bild ist ein leeres Bett zu sehen mit dem französischen Untertitel "Ceci n'est pas un voyage." (übersetzt: Dies ist keine Reise.). Aufbau und Farbgebung des Bildes ähneln dem berühmten Bild von René Magritte "Ceci n'est pas une pipe." Es wurde generiert mit Künstlicher Intelligenz von DeepAI.

Von der Hotellerie noch weitgehend unbeachtet treiben in Brüssel die Europäischen Institutionen derzeit die Novellierung der Pauschalreiserichtlinie aus dem Jahr 2015 voran. Der Rat hat seine Position schon fixiert, im Europäischen Parlament stehen die finalen Abstimmungen vor Aufnahme der Trilogverhandlungen an. Es droht der Hotellerie ein neues bürokratisches Ungemach surrealen Ausmaßes.

19.01.2025 von Markus Luthe
Schlichtweg weg

Selten, ganz selten gesteht die Europäische Kommission ein, einen Fehler gemacht zu haben. Bei der von Anfang an – auch von mir – heftig kritisierten „Verordnung über die Online-Streitbeilegung in Verbraucherangelegenheiten (ODR-Verordnung)“ ist das nun der Fall und die EU-Kommission macht den offiziellen Rückzieher.

Alle Blog