DatenschutzHackerangriffePhishing

BWH Hotels: Hacker hatten sechs Monate Zugriff auf Reservierungsdaten

Von CyberDeutsch Redaktion
BWH Hotels: Hacker hatten sechs Monate Zugriff auf Reservierungsdaten
Zusammenfassung

Die internationale Hotelgruppe BWH Hotels mit mehr als 4.000 Hotels weltweit, darunter bekannte Marken wie Best Western und WorldHotels, wurde Opfer eines erheblichen Datenschutzvorfalls. Unbekannte Angreifer hatten monatelang unbemerkt Zugriff auf ein Webanwendungssystem mit Reservierungsdaten von Gästen – vom 14. Oktober 2025 bis zur Entdeckung am 22. April dieses Jahres. Die Cyberkriminellen erbeuteten Namen, E-Mail-Adressen, Telefonnummern und Reservierungsdetails einer nicht näher spezifizierten Anzahl von Hotelgästen. Zwar blieben Zahlungsinformationen verschont, doch sind die gestohlenen Daten für Betrüger wertvoll für Phishing- und Scam-Kampagnen. Für deutsche Reisende, die BWH-Hotels gebucht haben, könnte dies bedeuten, dass ihre persönlichen Daten im Umlauf sind und sie verstärkt mit gezielten Betrügereien rechnen müssen. Gleichzeitig unterstreicht der Vorfall ein systemisches Problem in der Tourismusbranche – nach ähnlichen Vorfällen bei Booking.com und anderen Anbietern zeigt sich, dass Hotelgruppen häufig Ziele von Cyberangriffen sind. Deutsche Unternehmen und Behörden sollten diesen Fall als Warnsignal betrachten und ihre eigenen Sicherheitsmaßnahmen überprüfen.

Die Hotelkette BWH Hotels bestätigte gegenüber betroffenen Gästen einen bedeutsamen Sicherheitsvorfall. Der Angriff auf das Reservierungssystem war für sechs Monate unbemerkt, was die Herausforderungen bei der Früherkennung von Cyber-Angriffen unterstreicht. Die Attacke wirft Fragen zur Netzwerk-Überwachung und zum Incident-Response-Prozess auf.

Zugegriffene Daten und Sicherheitsmaßnahmen

Die betroffene Web-Anwendung speicherte Gästedaten wie Namen, E-Mail-Adressen, Telefonnummern und Reservierungsdetails. Finanzielle Informationen waren dem Unternehmen zufolge nicht im betroffenen System gespeichert und konnten daher nicht abgegriffen werden. Immerhin ein Lichtblick, da Zahlungsinformationen von Hotelbuchungen besonders sensibel sind und unter PCI-DSS-Standards fallen. Nach Entdeckung des Vorfalls schaltete BWH Hotels die kompromittierte Anwendung sofort offline und beauftragte externe Sicherheitsexperten mit einer vollständigen Untersuchung.

Risiken und Folgen

BWH Hotels warnt explizit, dass die Angreifer die erbeuteten Daten für Phishing- und Betrugskampagnen missbrauchen könnten. Diese Sorge ist berechtigt: Mit Namen, E-Mail-Adressen und Telefonnummern können Cyberkriminelle gezielte Social-Engineering-Kampagnen durchführen. Gäste könnten gefälschte Kommunikationen erhalten, die vorgeben, von der Hotelkette zu stammen, oder persönliche Daten für Identitätsdiebstahl missbraucht werden.

Beslang und Täterhintergründe

Bislang hat sich keine bekannte Cyberkriminellen-Gruppe zu dem Angriff bekannt. Dies erschwert die Attribution und lässt offen, ob es sich um einen gezielten Angriff auf die Hospitalitybranche oder um opportunistische Hacker handelt. Die Branche ist wiederholt Ziel solcher Angriffe – ähnliche Vorfälle bei Booking.com und dem Nightclub-Betreiber RCI Hospitality verdeutlichen ein systemisches Problem.

Implikationen für Deutschland

Deutsche Geschäftsreisende und Urlauber, deren Daten abgegriffen wurden, sollten wachsam gegenüber verdächtigen E-Mails und Anrufen sein. BWH Hotels sollte in Einklang mit der DSGVO alle betroffenen Personen informieren und eine angemessene Dokumentation des Vorfalls durchführen. Unternehmen der Hospitality-Branche im deutschsprachigen Raum sollten ihre Segmentierung und Überwachung von Reservierungssystemen überprüfen, um ähnliche Szenarien auszuschließen.

Ähnliche Artikel