Follow-up: Phisherman's Friend

Blogpost von Markus Luthe zur Datenunsicherheit eines Buchungsportals

Vor gut zwei Wochen habe ich in meinem Blogpost „Phisherman’s Friend“ über Phishing-Attacken, Fake-Buchungen und Zahlungserschleichungen rund um das interne Kommunikationssystem von Booking.com berichtet, das vermutlich wiederholt als Einfallstor für Betrügereien zu Lasten der Hotels genutzt wurde und wird. Seitdem haben uns enorm viele Fallschilderungen betroffener Hoteliers erreicht, die auf systematische Kriminalität und einen hohen Schaden bei den Hotelpartnern hindeuten.

Als besonders frustrierend erweisen sich Fälle, in denen das Hotel sogar das richtige Gespür für Fake-Buchungen (relativ lange Aufenthaltsdauer, hoher Buchungswert) hat und Booking.com rechtzeitig um eine Überprüfung der hinterlegten Kreditkarte bittet, nur um dann nach ebenso halbherzigem wie misstrauischem Hin und Her in der Korrespondenz mit dem Kundenservice letztlich doch auf der Schein-Buchung sitzen bleibt. Da bleibt mehr als nur ein schaler Beigeschmack zurück, wenn Booking.com gleichzeitig anbietet, gegen eine Zusatzgebühr von round about 1,5 Prozent den Zahlungseinzug selbst vorzunehmen. Zu Risiken und Nebenwirkungen konsultieren Sie Ihren Hotelverband oder einen Blogpost Ihres Vertrauens!

Immer wieder berichten Hotels auch, dass sie von Booking.com zu Phishing-Vorfällen gar keine Rückmeldung erhalten. Von den Betrügern hingegen schon. Oftmals per WhatsApp über immer neue Rufnummern aus Großbritannien oder den USA, unter denen sich die Ganoven gerne auch mal als Mitarbeiter von Booking.com vorstellen und Daten abgreifen wollen.

Noch unangenehmer für Hotels sind Kontaktaufnahmeversuche geschädigter Gäste. Ein Hotel schrieb: „Unsere Rezeption und unsere Reservierung wurden mit Anrufen und E-Mails besorgter Gäste geflutet. Das Abschalten der Gästekommunikation im Booking.com Extranet hat geholfen, nach zwei Wochen Wartezeit haben wir die Kommunikation wieder aktiviert und wenige Stunden später sofort erneut Rückfragen von Gästen erhalten. Im Moment ist die Kommunikation wieder abgeschaltet...“

Einen besonders krassen Fall berichtete ein Stadthotel in der vergangenen Woche: Aus dem Booking-Extranet wurden alle zu dem Zeitpunkt rund 800 (!) Buchungen kontaktiert und ersucht, über einen Link (noch einmal) Kreditkartendetails bekannt zu geben, weil andernfalls die Buchung verfallen würde. Das Telefon des Hotels stand daraufhin zwei Stunden lang nicht mehr still, ca. 100 Buchungen wurden storniert. Kreditkarten von Gästen seien belastet worden, nur manchmal habe die Bank die Zahlung blockiert. Das Hotel war über sieben Stunden immer wieder mit mehreren Stellen bei Booking.com in Kontakt, der Support sei jedoch mangelhaft und zögerlich gewesen bis hin zur abwiegelnden Einschätzung, dass gar keine Phishing-Mails vorlägen. Also hat das Hotel angefangen, über das Extranet von Booking.com – es steht ja kein anderer Kommunikationskanal zur Verfügung – jeden einzelnen Gast zu kontaktieren und zu warnen. Erst spät sei dann angeblich seitens Booking.com doch noch eine E-Mail an alle Gäste rausgegangen. Hotelmitarbeiter geben an gesehen zu haben, dass ihre Warnung an den Gast vom Hacker mit dem Hinweis kommentiert worden sei, die Hotelnachricht sei fake...

Für mich ist das ein multiples Sicherheits- und Kommunikationsversagen des marktdominierenden Buchungsportals!

Unstreitig treffen Booking.com besondere Sorgfalts- und Abhilfepflichten. Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Sicherheitsstandards gewährleisten. Und angesichts der Vielzahl der Fälle ist es gänzlich unplausibel, dass das Sicherheitsleck systemisch bei den Hotels liegt. Ich sehe die Erklärungs- und Darlegungslast eindeutig bei Booking.com.

Unabhängig davon, auf welchem Wege die Betrüger an die Login-Daten der Hotels gelangt sind, dürfte jedenfalls der „stiefmütterliche“ Umgang mit der Angelegenheit und das Fehlen unverzüglicher und effektiver Abhilfemaßnahmen durch Booking.com eine Pflichtverletzung darstellen. Und spätestens das muss auch eine entsprechende Haftung nach sich ziehen.

Wenn die Betrüger selbst nach der Anzeige der Phishing-Attacken durch die Hotels noch in der Lage sind, den Kommunikationskanal zu kapern und mit dem Gast zu kommunizieren, dann offenbart dies meines Erachtens eine fehlende Professionalität auf Seiten von Booking.com.

Und wie kann ein einzelnes Hotel überhaupt auf einen Schlag über die Kommunikationsplattform von Booking.com hunderte von Gästen kontaktieren, noch dazu mit einer Aufforderung über einen Link Zahlungsdaten (erneut) preiszugeben?

Booking.com hat doch immer behauptet, genau deshalb jederzeit Zugriff auf die Kommunikation zwischen Hotel und Gästen haben zu müssen, um „fraudulente Verhaltensweisen“ zu unterbinden. In Booking’s „Datenschutzerklärung für Geschäftspartner“ liest sich das wie folgt:

„Booking.com kann auf die Kommunikation zwischen Geschäftspartnern und Gästen zugreifen. Wir verwenden auch automatisierte Systeme, um Mitteilungen zu den folgenden Zwecken zu überprüfen, zu scannen und zu analysieren:

• Sicherheit,
• Verhinderung von Betrug,
• …“

Dass dieses Überwachungssystem bei einer Massennachricht mit den Schlagwörtern „Buchung verfallen“, „Kreditkartendetails“ und „Link“ nicht anschlägt, wäre ein Armutszeugnis und wenig glaubwürdig.

Betroffenen Hotels ist zu empfehlen, jeden einzelnen Vorgang bestmöglich zu dokumentieren – insbesondere auch unterbliebene bzw. zögerliche oder verspätete Abhilfemaßnahmen durch Booking.com. Geschädigte Hotels können sich an die Zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen wenden. Sollten sich geschädigte Gäste mit Schadensersatzforderungen an das Hotel wenden, von dem ja für sie – dem Anschein nach – die Stornierungskommunikation ausging, sollte das Hotel individuelle Rechtsberatung hinzuziehen.

Geschrieben von

Markus Luthe

Dipl.-Volkswirt / Hauptgeschäftsführer
Hotelverband Deutschland (IHA)

luthe@hotellerie.de