Ein Link ist noch keine Rechnung
TL;DR
- Reservierungsdaten machen Betrugsnachrichten glaubwürdiger als gewöhnliche Spam-Mails.
- Zahlungslinks, neue PINs und Kartenprüfungen brauchen an der Rezeption einen zweiten Prüfkanal.
- Plattformchat eignet sich für Servicefragen, aber nicht für Kartendaten oder improvisierte Ersatz-Zahlungen.
- Verdachtsfälle gehören mit Uhrzeit, Kanal, Screenshot und Ergebnis kurz dokumentiert.
Das Handy liegt quer auf dem Empfangstresen. Daneben ein Rollkoffer, ein müder Sommergast, draußen vielleicht noch der Bus vor der Tür. Auf dem Display steht eine Nachricht zur Buchung: neuer Link, neue Prüfung, neue PIN. Es klingt eilig. Es sieht ordentlich aus. Und genau darin liegt das Problem.
Booking.com bestätigte am 13. April 2026 gegenüber Medien einen Sicherheitsvorfall, bei dem unbefugte Dritte auf bestimmte Buchungsinformationen zugreifen konnten. Laut Berichten von The Guardian, El País und TechCrunch wurden betroffene Reservierungs-PINs aktualisiert und Gäste informiert. Booking.com sagte laut Guardian, Finanzinformationen seien nicht abgerufen worden. Eine Zahl betroffener Nutzer nannte das Unternehmen öffentlich nicht.
Für Hotels ist damit weniger die technische Ursache spannend als der Moment am Tresen: Was sagt das Team, wenn ein Gast fragt, ob dieser Link echt ist?
Echte Details, falscher Druck
Eine plumpe Phishing-Mail riecht oft schon nach kaltem Kaffee: falsche Anrede, wilde Rechtschreibung, irgendein Paket, das niemand erwartet. Reservierungsbetrug kann feiner auftreten.
Name. Hotel. Reisedatum. Aufenthaltsdauer. Vielleicht eine Buchungsnummer oder PIN. Dazu ein Hinweis auf eine angeblich fehlerhafte Kreditkarte und ein Link zu einer nachgebauten Zahlungs- oder Verifizierungsseite. So eine Nachricht trifft Gäste nicht irgendwo, sondern mitten in einer echten Reise.
Das macht den Gast nicht leichtgläubig. Es macht die Nachricht besser.
El País berichtete, dass Booking.com Gäste zur Wachsamkeit bei Phishing-Versuchen mahnte. Die Plattform weist in ihren Sicherheitstipps allgemein darauf hin, dass betrügerische Nachrichten überzeugende Angaben zu Aufenthaltsdaten und Kosten enthalten können und oft mit Dringlichkeit zur erneuten Zahlung oder Dateneingabe drängen. Auch HKCERT warnte am 15. Juni 2026 vor Phishing-Nachrichten rund um Booking.com, die mutmaßlich geleakte Buchungsdaten nutzen und auf Fake-Login-, Zahlungs- oder Verifizierungsseiten führen.
Am Empfang sollte deshalb niemand mit einem Schulterzucken antworten. Ein Satz wie „Das wird schon passen“ ist zu wenig für Geld, Karten und Gästedaten.
Was in den Chat gehört
Der Plattformchat ist praktisch. Er kann Anreisezeiten klären, Frühstückszeiten nennen, Parkhinweise schicken oder bestätigen, dass ein Hund mitreist. Auch eine kurze Allergie- oder Wunschabfrage kann dort sinnvoll sein, solange keine sensiblen Details eingesammelt werden.
Heikel wird es bei Geld und Zugangsdaten.
Kreditkartendaten gehören nicht in Chatnachrichten. Neue Bankverbindungen ebenfalls nicht. Externe Zahlungslinks, spontane „Kartenprüfungen“, PIN-Codes, Login-Daten oder Kopien sensibler Dokumente brauchen einen freigegebenen Prozess, keinen schnellen Griff zur Tastatur.
Die einfache Hausregel passt auf einen Rezeptionszettel: Gäste zahlen über den in der Buchungsbestätigung genannten Weg oder vor Ort über den freigegebenen Hotelprozess. Nicht über einen plötzlich auftauchenden Ersatzlink.
Nutzt ein Haus legitime Zahlungslinks, müssen Gäste vorher erkennen können, wie echte Aufforderungen aussehen. Also: Versand nur aus dem PMS oder Payment-System. Nur über dokumentierte Domains. Keine Links per privatem WhatsApp. Klare Rollen im Team. Und ein kurzer Hinweis in der Buchungsbestätigung, welche Zahlungswege das Haus verwendet.
Das nimmt Tempo aus falschen Nachrichten. Ein guter Betrugslink lebt von Hektik.
Telefon schlägt Zeitdruck
Je mehr Druck in einer Nachricht steckt, desto ruhiger sollte die Rezeption werden. Ein neuer Zahlungslink? Eine angeblich ablaufende Frist? Drohung mit Stornierung? Neue PIN? Banküberweisung auf ein anderes Konto? Ungewohnte Sprache, Nachricht nachts, SMS statt Plattformchat, fremde Domain?
Dann reicht der Kanal nicht, in dem die Nachricht kam.
Geprüft wird über PMS-Daten, die offizielle Buchungsbestätigung, die bekannte Hotelnummer, das Booking.com-Extranet oder den offiziellen Supportpfad. Nicht über Telefonnummern, Links oder Mailadressen aus der verdächtigen Nachricht.
Für den Alltag genügt ein knapper Satz: „Bitte nicht auf den Link klicken. Wir prüfen die Buchung in unserem System und melden uns über die bekannte Nummer oder direkt hier am Empfang.“
Für internationale Gäste darf die englische Kurzform griffbereit sein: „Please do not click the link. We will verify your booking in our system first.“
Das Team muss dabei keine IT-Vorlesung halten. Es muss nur sauber bremsen.
Der kleine Vorfallzettel
Ein Verdacht sollte nicht im Teamchat versanden. Ein kleiner Vorfallzettel reicht als Start und ist oft wertvoller als zehn aufgeregte Nachrichten zwischen Früh- und Spätdienst.
Darauf gehören Datum und Uhrzeit, Gastname und Buchungsnummer soweit nötig, Kanal der Nachricht, Absender oder Domain, Screenshot oder Ausdruck, verlangte Aktion, prüfende Person, Ergebnis und die Info, ob Plattform, IT-Dienstleister, Datenschutzkontakt oder Geschäftsführung eingeschaltet wurden.
Falls der Verdacht näher ans eigene Haus rückt, also Extranet-, PMS- oder Mailzugänge betroffen sein könnten, wird es ernster. Dann geht es um Passwortwechsel, aktive Sitzungen, MFA, Nutzerkonten, Dienstleisterzugänge und die Plattformmeldung. Spuren sollten nicht vorschnell gelöscht werden, bevor jemand Fachkundiges daraufgeschaut hat.
Die DSGVO verlangt bei meldepflichtigen personenbezogenen Datenschutzverletzungen grundsätzlich eine Meldung an die Aufsicht ohne unangemessene Verzögerung und möglichst binnen 72 Stunden nach Kenntnis. Auch nicht gemeldete Vorfälle sind zu dokumentieren. Für kleine Betriebe betont der EDPB-Leitfaden genau diese Logik: bewerten, dokumentieren, zuständig bleiben.
Nicht jeder Gast-Hinweis ist automatisch eine meldepflichtige Datenschutzverletzung des Hotels. Bei Verdacht auf eigene kompromittierte Systeme gehört aber Fachprüfung dazu.
Warnen ohne Alarmton
Gäste lassen sich gut vorwarnen, ohne die Reise in eine Sicherheitsübung zu verwandeln. Ein kurzer Hinweis in der Buchungsbestätigung, in der Pre-Arrival-Mail, auf der Website oder in der digitalen Gästemappe genügt oft.
Der Inhalt darf schlicht sein: Das Haus fragt keine Kreditkartendaten per WhatsApp oder SMS ab. Zahlungslinks kommen nur über definierte Kanäle. Bei Zweifeln bitte die Rezeption über die bekannte Telefonnummer kontaktieren. Dringende Zahlungsaufforderungen mit Stornodrohung bitte nicht ungeprüft anklicken.
Für das Team reicht vor der Saison eine Zehn-Minuten-Runde. Zwei echte Beispiel-Screenshots zeigen. Eine zuständige Person pro Schicht benennen. Den Dreisatz üben: nicht klicken, nicht weiterleiten, erst prüfen.
So wird Reservierungssicherheit zu einer Rezeptionsroutine. Nicht laut, nicht kompliziert, aber spürbar. Wie ein kleines Schild am Hoteleingang, das Gäste vor der falschen Tür bewahrt.