Follow-up: Phisherman's Friend

Markus Luthe / 26.07 2023

icon min Lesezeit

icon 1 Kommentare

Zurück

Blogpost von Markus Luthe zur Datenunsicherheit eines Buchungsportals

Bild: Fotomontage

Vor gut zwei Wochen habe ich in meinem Blogpost „Phisherman’s Friend“ über Phishing-Attacken, Fake-Buchungen und Zahlungserschleichungen rund um das interne Kommunikationssystem von Booking.com berichtet, das vermutlich wiederholt als Einfallstor für Betrügereien zu Lasten der Hotels genutzt wurde und wird. Seitdem haben uns enorm viele Fallschilderungen betroffener Hoteliers erreicht, die auf systematische Kriminalität und einen hohen Schaden bei den Hotelpartnern hindeuten.

Als besonders frustrierend erweisen sich Fälle, in denen das Hotel sogar das richtige Gespür für Fake-Buchungen (relativ lange Aufenthaltsdauer, hoher Buchungswert) hat und Booking.com rechtzeitig um eine Überprüfung der hinterlegten Kreditkarte bittet, nur um dann nach ebenso halbherzigem wie misstrauischem Hin und Her in der Korrespondenz mit dem Kundenservice letztlich doch auf der Schein-Buchung sitzen bleibt. Da bleibt mehr als nur ein schaler Beigeschmack zurück, wenn Booking.com gleichzeitig anbietet, gegen eine Zusatzgebühr von round about 1,5 Prozent den Zahlungseinzug selbst vorzunehmen. Zu Risiken und Nebenwirkungen konsultieren Sie Ihren Hotelverband oder einen Blogpost Ihres Vertrauens!

Immer wieder berichten Hotels auch, dass sie von Booking.com zu Phishing-Vorfällen gar keine Rückmeldung erhalten. Von den Betrügern hingegen schon. Oftmals per WhatsApp über immer neue Rufnummern aus Großbritannien oder den USA, unter denen sich die Ganoven gerne auch mal als Mitarbeiter von Booking.com vorstellen und Daten abgreifen wollen.

Noch unangenehmer für Hotels sind Kontaktaufnahmeversuche geschädigter Gäste. Ein Hotel schrieb: Unsere Rezeption und unsere Reservierung wurden mit Anrufen und E-Mails besorgter Gäste geflutet. Das Abschalten der Gästekommunikation im Booking.com Extranet hat geholfen, nach zwei Wochen Wartezeit haben wir die Kommunikation wieder aktiviert und wenige Stunden später sofort erneut Rückfragen von Gästen erhalten. Im Moment ist die Kommunikation wieder abgeschaltet...“

Einen besonders krassen Fall berichtete ein Stadthotel in der vergangenen Woche: Aus dem Booking-Extranet wurden alle zu dem Zeitpunkt rund 800 (!) Buchungen kontaktiert und ersucht, über einen Link (noch einmal) Kreditkartendetails bekannt zu geben, weil andernfalls die Buchung verfallen würde. Das Telefon des Hotels stand daraufhin zwei Stunden lang nicht mehr still, ca. 100 Buchungen wurden storniert. Kreditkarten von Gästen seien belastet worden, nur manchmal habe die Bank die Zahlung blockiert. Das Hotel war über sieben Stunden immer wieder mit mehreren Stellen bei Booking.com in Kontakt, der Support sei jedoch mangelhaft und zögerlich gewesen bis hin zur abwiegelnden Einschätzung, dass gar keine Phishing-Mails vorlägen. Also hat das Hotel angefangen, über das Extranet von Booking.com – es steht ja kein anderer Kommunikationskanal zur Verfügung – jeden einzelnen Gast zu kontaktieren und zu warnen. Erst spät sei dann angeblich seitens Booking.com doch noch eine E-Mail an alle Gäste rausgegangen. Hotelmitarbeiter geben an gesehen zu haben, dass ihre Warnung an den Gast vom Hacker mit dem Hinweis kommentiert worden sei, die Hotelnachricht sei fake...

Für mich ist das ein multiples Sicherheits- und Kommunikationsversagen des marktdominierenden Buchungsportals!

Unstreitig treffen Booking.com besondere Sorgfalts- und Abhilfepflichten. Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Sicherheitsstandards gewährleisten. Und angesichts der Vielzahl der Fälle ist es gänzlich unplausibel, dass das Sicherheitsleck systemisch bei den Hotels liegt. Ich sehe die Erklärungs- und Darlegungslast eindeutig bei Booking.com.

Unabhängig davon, auf welchem Wege die Betrüger an die Login-Daten der Hotels gelangt sind, dürfte jedenfalls der „stiefmütterliche“ Umgang mit der Angelegenheit und das Fehlen unverzüglicher und effektiver Abhilfemaßnahmen durch Booking.com eine Pflichtverletzung darstellen. Und spätestens das muss auch eine entsprechende Haftung nach sich ziehen.

Wenn die Betrüger selbst nach der Anzeige der Phishing-Attacken durch die Hotels noch in der Lage sind, den Kommunikationskanal zu kapern und mit dem Gast zu kommunizieren, dann offenbart dies meines Erachtens eine fehlende Professionalität auf Seiten von Booking.com.

Und wie kann ein einzelnes Hotel überhaupt auf einen Schlag über die Kommunikationsplattform von Booking.com hunderte von Gästen kontaktieren, noch dazu mit einer Aufforderung über einen Link Zahlungsdaten (erneut) preiszugeben?

Booking.com hat doch immer behauptet, genau deshalb jederzeit Zugriff auf die Kommunikation zwischen Hotel und Gästen haben zu müssen, um „fraudulente Verhaltensweisen“ zu unterbinden. In Booking’s „Datenschutzerklärung für Geschäftspartner“ liest sich das wie folgt:

„Booking.com kann auf die Kommunikation zwischen Geschäftspartnern und Gästen zugreifen. Wir verwenden auch automatisierte Systeme, um Mitteilungen zu den folgenden Zwecken zu überprüfen, zu scannen und zu analysieren:

  • Sicherheit,
  • Verhinderung von Betrug,
  • …“

Dass dieses Überwachungssystem bei einer Massennachricht mit den Schlagwörtern „Buchung verfallen“, „Kreditkartendetails“ und „Link“ nicht anschlägt, wäre ein Armutszeugnis und wenig glaubwürdig.

Betroffenen Hotels ist zu empfehlen, jeden einzelnen Vorgang bestmöglich zu dokumentieren – insbesondere auch unterbliebene bzw. zögerliche oder verspätete Abhilfemaßnahmen durch Booking.com. Geschädigte Hotels können sich an die Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen wenden. Sollten sich geschädigte Gäste mit Schadensersatzforderungen an das Hotel wenden, von dem ja für sie – dem Anschein nach – die Stornierungskommunikation ausging, sollte das Hotel individuelle Rechtsberatung hinzuziehen.


1 Kommentare
Geschrieben von
Markus Luthe
Dipl.-Volkswirt / Hauptgeschäftsführer
Hotelverband Deutschland (IHA)

luthe@hotellerie.de
1 Bemerkungen :

11/08/2023 09:44 von Markus Luthe / Hotelverband Deutschland (IHA)

Gegenüber Tageskarte hat Booking.com sich zu einigen in meinen Blogposts erhobenen Vorwürfen geäußert.


Hier geht's zum Artikel "Kommunikationssystem als 'Sicherheitsrisiko der Branche'? – Wie Booking.com auf die Vorwürfe des Hotelverbandes reagiert".



Kommentar hinzufügen

×
Name ist erforderlich!
Geben Sie einen gültigen Namen ein
Gültige E-Mail ist erforderlich!
Gib eine gültige E-Mail Adresse ein
Kommentar ist erforderlich!

* Diese Felder sind erforderlich.

Weitere
18.09.2024 von Markus Luthe
Dutch Torpedo

Morgen entscheidet der Europäische Gerichtshof (EuGH) in der Rechtssache C-264/23. Es geht um die Frage, ob die von Booking.com den Partnerhotels auferlegten Raten- und Konditionenparitätsklauseln mit den Vorgaben des europäischen Kartellrechts vereinbar sind. Nach einer elfjährigen Verfahrensdauer wird das Marktgebaren nun also einer abschließenden Klärung zugeführt werden.

19.08.2024 von Markus Luthe
Und täglich grüßt das Murmeltier

Ich habe ein Déjà vu: Momentan fragen zahlreiche Mitglieder an, ob Booking.com denn immer noch Ratenparität per Vertrag einfordern dürfe? Nein, dürfen die nicht. Definitiv nicht! Aber sie versuchen meines Erachtens dennoch immer wieder, den Gesetzgeber, die EU-Kommission, das Bundeskartellamt und den Bundesgerichtshof vorzuführen, indem sie Hoteliers hierüber so verwirren und einschüchtern, dass sie sich am Ende doch an die Ratenparität halten.

13.08.2024 von Markus Luthe
Erblast

Dieser Richterhammer ging gänzlich unerwartet auf die familiengeführte Hotellerie nieder: Das erst im Juli veröffentlichte Urteil des Bundesfinanzhofs vom 28. Februar 2024 zur erbschaftsteuerrechtlichen Einordnung des Generationenübergangs eines Parkhauses befasst sich weder in den Leitsätzen noch im Tenor mit Beherbergungsbetrieben, doch genau die haben nun einen massiven Erbfolgeschaden.