VCC-Betrug, Affiliate-Fallen, Extranet-Infiltration und Fake-Buchungen - Wie Online-Buchungsportale Hotels und Gäste im Stich lassen

Blogpost von Tobias Warnecke zu Problemen und Betrugspraktiken bei Online-Buchungen

Die großen Online-Buchungsportale präsentieren sich gerne als verlässliche Partner der Hotellerie. Doch die Realität, die uns unsere Hotelmitglieder in zunehmender Zahl schildern, zeigt ein anderes Bild: unsichere virtuelle Kreditkarten, Affiliate-Fallen, Extranet-Infiltrationen, manipulierte Buchungswege und Fake-Buchungen verursachen enorme Schäden und die Plattformen übernehmen nur selten Verantwortung. Statt Transparenz und Sicherheit herrscht in vielen Fällen Intransparenz und einseitige Risikoabwälzung auf die Hotelpartner. 

In den letzten Wochen wurden uns von unseren Mitgliedern verschiedene Betrugspraktiken geschildert:

Belastung der virtuellen Kreditkarten (VCC) durch Dritte

Virtuelle Kreditkarten (VCC) werden von den OTAs seit Jahren als „sicheres“ Zahlungsmittel angepriesen. Das Versprechen: Schutz vor Zahlungsausfällen, einfache Handhabung im Extranet, automatische Abwicklung. Viele Hoteliers haben sich deshalb auf die Zahlungsabwicklung durch die Online-Buchungsportale über virtuelle Kreditkarten eingelassen und das Payment in zunehmenden Maß an die Buchungsportale ausgelagert, in der Annahme, damit Betrug und Zahlungsausfälle zu vermeiden (siehe hierzu auch unseren Blogbeitrag „Handel im Wandel – Vom Agenten zum Dealer“. Doch dieses Versprechen scheint aktuell nicht mehr zu gelten.

In den vergangenen Monaten haben uns mehrere Hotels Fälle gemeldet, in denen VCC´s von Booking.com bereits vor Anreise der Gäste durch unbekannte Dritte belastet wurden. Für die Hoteliers bedeutet das: Wenn sie versuchen, die Karte regulär nach Abreise der Gäste zu belasten, steht nur noch ein Bruchteil des Guthabens zur Verfügung, der Rest ist bereits verschwunden. Im Einzelfall summiert sich der Schaden auf mehrere tausend Euro.

Für die betroffenen Hotels ist die Situation dramatisch und sorgt nicht nur für Ärger und Vertrauensverlust bei den Gästen, sondern zwingt die Hoteliers, den Schaden entweder selbst zu tragen oder auf langwierige, oft aussichtslose Klärungen mit Booking.com zu hoffen.

Als Hotelverband haben wir Booking.com nachdrücklich aufgefordert, diese Vorgänge umfassend aufzuklären, die betroffenen Hotels von der finanziellen Verantwortung freizustellen und umgehend verbindliche Maßnahmen zu ergreifen, die die Sicherheit der Virtuellen Kreditkarten gewährleisten. Bis jetzt haben wir keine Reaktion von Booking.com erhalten. 

Die Hotellerie muss sich auf die Funktionsfähigkeit und Sicherheit der von den Buchungsplattformen bereitgestellten Zahlungsmittel verlassen können. Wir erwarten daher von Booking.com zeitnah eine verbindliche Stellungnahme, wie Sie mit den aufgetretenen Betrugsfällen umgehen werden und welche konkreten Maßnahmen Booking.com künftig ergreift, um derartige Vorfälle zu verhindern.

Der Missbrauch zeigt eindrücklich, dass das System der VCC in seiner aktuellen Form kein Schutzinstrument, sondern ein Einfallstor für Betrüger seien kann. Dass Booking.com die Verantwortung bislang zurückweist und die Betriebe mehr oder weniger allein lässt, ist inakzeptabel. Es handelt sich nicht um individuelle Fehler, sondern um ein strukturelles Sicherheitsproblem, das nur Booking.com selbst beheben kann.

Affiliate-Fallen

Ein weiteres wiederkehrendes Problem ist, dass Gäste glauben, auf seriösen Buchungsplattformen oder direkt auf der Hotelwebsite zu buchen, während sie in Wirklichkeit auf Affiliate-Seiten wie Hotelvalue.com (mittlerweile eingestellt) oder guestreservations.com buchen. 

Alle großen Online Travel Agents (OTA) bieten diese so genannten Affiliate-Programme an. Sie ermöglichen Destinationen, Touristikunternehmen, Transportgesellschaften, Bewertungsanbietern, Reise-Communities u.v.m. ein Hotelbuchungstool im Look & Feel unter dem eigenen Branding anzubieten. Manche reichern auch eigene Hotelraten und Verfügbarkeiten mit dem Affiliate-Angebot an. Bis zur Hälfte der von den Hotels vereinnahmten Provisionen treten die Buchungsportale dafür an ihre Affiliates ab. Deren Zahl ist ebenso unüberschaubar wie deren Geschäftsmodelle heterogen sein dürften.

Einige diese Anbieter nutzen die Buchungsmöglichkeit, die sie durch den Anschluss an die Affiliate-Programme haben, allerdings für zweifelhafte Machenschaften. 

Bei guestreservations.com (das seinen Content nach Recherchen des SRF über Priceline, eine Tochterfirma des Booking-Konzerns, erhält) werden den Gästen zum Beispiel massive,  nicht erstattungsfähige Zusatzgebühren aufgeschlagen. Hinzu kommt, dass die Website auf den ersten Blick so aussieht, als sei sie die direkte Buchungspattform der Hotels. Die Folge: Buchende zahlen einen deutlich höheren Preis, während die Hotels mit verärgerten Gästen und Imageschäden zurückbleiben.

Zudem führt dies zu einem Verlust an Transparenz, Kontrolle und Reputation. Affiliates, die mit solchen Methoden operieren, müssen schnell und konsequent von den Affiliate-Programmen der großen Buchungsportale ausgeschlossen werden.

Das Hotel sollte von seinen OTA-Vertragspartnern über alle Vertriebskanäle und potenzielle Affiliates in Kenntnis gesetzt werden und dem Hotel sollte entweder zum Zeitpunkt des Vertragsabschlusses oder im Nachhinein die Möglichkeit gegeben werden, Anpassungen vorzunehmen.

Extranet-Infiltration

In den letzten 3 Jahren haben Cyberkriminelle ausgeklügelte Methoden entwickelt, um die Kontrolle über Hotelkonten bei Online-Hotelbuchungsplattformen wie Booking.com und Expedia zu erlangen.

Aus den Extranet-Hotelkonten der Buchungsportale senden die Betrüger sodann sehr glaubhafte E-Mails und Textnachrichtenüber über die Kommunikationskanäle der OTAs an aktuelle und ehemalige Gäste der Hotels. Da die Kriminellen alle Buchungsdaten einsehen können, wirken die Nachrichten auch für geschulte Augen sehr überzeugend.

Meistens senden diese Betrüger gefälschte Aufforderungen im Namen der Hotels, die eine erneute Eingabe der Kreditkartendaten verlangen oder zu sonstigen Zahlungen auffordern. Kunden, die auf diese Anfragen reagieren und ihre Kreditkartendaten eingeben, werden zu Opfern von Kreditkartenbetrug.

Die Hotels werden auf den Betrug häufig erst dadurch aufmerksam, dass betroffene Gäste direkt im Hotel anrufen und nachfragen, ob die erneute Eingabe der Kreditkartendaten bzw. die erneute Zahlung des Übernachtungspreises wirklich notwendig ist.

Nach unserer Auffassung treffen Booking.com und Co. hier unstreitig besondere Sorgfalts-, Melde- und Abhilfepflichten. Wer Nutzer und Hotelpartner zwingt, ausschließlich über das plattformeigene Extranet zu kommunizieren, der muss auch entsprechende Sicherheitsstandards gewährleisten. Auch der teils „stiefmütterliche“ Umgang mit der Angelegenheit und das Fehlen unverzüglicher und effektiver Abhilfemaßnahmen durch Booking.com stellt aus unserer Sicht eine Pflichtverletzung dar.

Fake-Buchungen über Partnerplattformen

Hinzu kommt ein weiteres Muster: Immer mehr Hotels berichten über Fake-Buchungen, die über den offiziellen Booking.com-Partner Agoda hereinkommen. Diese Reservierungen erscheinen zunächst seriös. Gebucht werden flexible Raten, abgesichert mit VCC, stornierbar bis 18 Uhr am Anreisetag. Doch in fast allen Fällen werden diese Buchungen wenige Tage vor Anreise storniert.

Dadurch werden Forecasts verfälscht, Verfügbarkeiten blockiert, Umsätze real verhindert. Bei voll belegten Häusern bedeutet das, dass reale Gäste abgewiesen werden mussten – nur damit am Ende eine Fake-Buchung storniert wird. Inzwischen summieren sich die Verluste in einzelnen Betrieben auf mehrere tausend Euro. Gleichzeitig besteht ein Reputationsrisiko: Storniert ein Hotel vorsorglich vermeintliche Fake-Buchungen, könnte es sich im Ausnahmefall um eine echte Buchung handeln – mit entsprechendem Schaden für das Vertrauen der Gäste.

Was die Branche von den Online-Buchungsplattformen erwartet

Die Hotellerie darf mit diesen Problemen nicht allein gelassen werden. Die OTAs müssen Verantwortung übernehmen und handeln:

• Sichere VCC-Standards: Jeder Zugriff auf Kartendetails muss zwingend über Zwei-Faktor-Authentifizierung erfolgen. Bei unautorisierten Abbuchungen müssen die Portale die Betriebe entschädigen.
• Strikte Kontrolle von Affiliate-Partnern: Nur geprüfte, seriöse Partner dürfen Teil des Affiliate-Netzwerks sein. Intransparente Anbieter, die Gäste in die Irre führen, müssen sofort ausgeschlossen werden.
• Transparenz im Vertrieb: Hotels müssen jederzeit nachvollziehen können, über welche Kanäle ihre Buchungen laufen, und die Möglichkeit haben, ungewünschte Affiliate-Pfade auszuschließen.
• Filter gegen Fake-Buchungen: Auffällige Buchungs-Muster müssen automatisiert erkannt und geblockt werden. Mögliche Stornierungen seitens der Hotels sollten von den Buchungsportalen unterstützt und nicht bestraft werden.

Die geschilderten Probleme sind strukturell, nicht individuell. Die OTAs tragen die Verantwortung, ihre Systeme und Affiliates zu kontrollieren. Solange dies nicht geschieht, bleiben Hotels und ihre Gäste einem erheblichen Risiko ausgesetzt. Bis die Online-Buchungsportale ihren Pflichten nachkommen, empfehlen wir VCC-Transaktionen eng zu überwachen, Auffälligkeiten zu dokumentieren und sofort zu melden; Gäste aktiv über die sichere Buchung auf der hoteleigenen Website zu informieren; Fake-Buchungen zu sammeln und alle Betrugsversuche an den Hotelverband Deutschland weiterzugeben.

Um die Dimension und Häufigkeit dieser und möglicherweise weiterer Vorfälle besser einschätzen zu können und unsere Position mit belastbaren Daten zu untermauern, laden der Hotelverband Deutschland (IHA) und die HSMA Deutschland alle Hoteliers ein,  an der hier verlinkten Umfrage zu Problemen und Betrugspraktiken bei Online-Buchungen teilnehmen.

Geschrieben von

Tobias Warnecke

Dipl.-Betriebsw. (FH) / Geschäftsführer
Hotelverband Deutschland (IHA)

warnecke@hotellerie.de