Cyberkriminalität in der Hotellerie

Die Betrugslandschaft

Vielschichtig und digital

Die Ergebnisse der aktuellen Online-Technologieumfrage 2025 der Österreichischen Hotelvereinigung (ÖHV), an der 249 Betrieb teilnahmen, verdeutlichen die Herausforderungen im Bereich IT-Sicherheit. 53 Prozent der Befragten gaben an, dass „Up-to-date bleiben mit stetig wachsender Bedrohungslage“ für sie die größte Aufgabe darstellt. Außerdem fühlen sich 44 Prozent mit der Komplexität der gesetzlichen Anforderungen (DSGVO) unsicher, 37 Prozent beschreiben die Schulung und Sensibilisierung der Mitarbeitenden als herausfordernd (Mehrfachnennungen). Von den befragten Hoteliers gaben 23 Prozent an, Phishing-Angriffe erfahren zu haben (erfolgreich oder versucht), 16 Prozent waren Opfer eines Malware-Befalls, 8 Prozent eines Hackerangriffs (Österreichische Hotelvereinigung, 2025a, S. 10).

Ein weit verbreiteter Irrtum ist die Annahme, dass kleine Betriebe für Cyberangriffe keine Rolle spielen. Doch unabhängig von der Unternehmensgröße gilt: Hotels speichern eine Vielzahl an Daten, was sie zu einem attraktiven Ziel für Cyberkriminelle macht. Durch die zunehmende Digitalisierung und Vernetzung von Systemen, gibt es eine Vielzahl an typischen Cyberrisiken, die Hoteliers kennen sollten.

Was auf den ersten Blick wie eine normale Buchung aussieht, kann sich schnell als teurer Betrug entpuppen. Kreditkartenbetrug gehört zu den häufigsten und kostspieligsten Cybervergehen in der Hotellerie. Dabei nutzen Kriminelle gestohlene, gefälschte oder manipulierte Kreditkartendaten, um Zimmer zu buchen, Zusatzleistungen zu bezahlen oder sogar größere Gruppenreservierungen vorzunehmen, oft ohne dass das Hotel den Betrug sofort erkennt. Ein Klassiker: Der/die Betrüger*in reserviert ein Zimmer unter falschem Namen, erscheint beim Check-in mit gestohlenen Ausweisdokumenten und bezahlt mit einer scheinbar gültigen Kreditkarte. Alles wirkt echt, bis Wochen später die Rückbuchung kommt und das Hotel auf dem Schaden sitzen bleibt. Besonders ärgerlich ist der sogenannte „Friendly Fraud“: Gäste buchen ganz regulär, zahlen mit ihrer eigenen Karte und reklamieren die Zahlung später bei der Bank mit der Behauptung, sie hätten die Leistung nie erhalten. Ohne lückenlose Dokumentation kann das Hotel wenig dagegen tun.
Phishing ist häufig der Ausgangspunkt für viele Betrugsarten. Was aussieht wie eine harmlose E-Mail, kann der Anfang eines folgenschweren Cyberangriffs sein. Phishing ist kein technisches Problem allein, es ist ein psychologisches Spiel mit Vertrauen, Routine und Unachtsamkeit. Und genau deshalb ist es so gefährlich. Es dient oft als Einstiegstor, durch das Angreifer*innen Zugang zu Systemen, Daten oder internen Abläufen erhalten. Es ist der Versuch, über gefälschte E-Mails oder Webseiten sensible Informationen wie Passwörter oder Kreditkartendaten zu erhalten. Ein typisches Szenario: Das Hotelteam erhält eine E-Mail, die angeblich von booking.com stammt. Darin wird zur „Verifizierung“ von Zugangsdaten aufgefordert. Ein Klick genügt, und der/die Betrüger*in übernimmt das Hotelprofil. Von dort aus versenden diese gefälschte Zahlungsaufforderungen, die kaum von echten Nachrichten zu unterscheiden sind, an Gäste. Die Links führen zu manipulierten Seiten, auf denen Kreditkarteninformationen oder Passwörter abgegriffen werden. (Österreichische Hotelvereinigung, 2025).
Ransomware zielt darauf ab, Daten oder ganze IT-Systeme zu verschlüsseln. Auch hier ist Phishing oft der erste Schritt hin zum Betrug. Die betroffenen Unternehmen verlieren dadurch den Zugriff auf ihre eigenen Informationen und werden anschließend mit einer Lösegeldforderung konfrontiert. Erst nach Zahlung eines meist hohen Betrags in Kryptowährung versprechen die Angreifer*innen, die Daten wieder freizugeben. Besonders perfide: Auch Backups werden häufig mitverschlüsselt, sodass eine Wiederherstellung ohne Zahlung kaum möglich ist, es sei denn, es existieren offline gesicherte Datenkopien (HOGAPAGE Media GmbH, 2025). Ein deutscher Hotelbetreiber musste Anfang 2025 Insolvenz anmelden, nachdem ein Ransomware-Angriff sämtliche Buchungs-, Zahlungs- und Verwaltungssysteme lahmgelegt hatte. Selbst die elektronische Schließanlage war betroffen. Die Täter*innen forderten als Lösegeld eine sechsstellige Summe in Bitcoin, die sich das Unternehmen nicht leisten konnte. Auch der Versuch der Wiederherstellung der Daten über Backups gelang nicht, da sie ebenfalls verschlüsselt wurden (Verbraucherschutzforum.berlin, 2025).
Statt sich mühsam in Systeme zu hacken, setzen Angreifer*innen auf Charme, Überzeugungskraft und ein bisschen psychologische Manipulation. Und das funktioniert erschreckend gut. Dabei bringen Angreifer*innen Mitarbeitende dazu, vertrauliche Informationen preiszugeben oder sicherheitsrelevante Handlungen auszuführen. Dies geschieht oft, ohne dass die Betroffenen dies selbst bemerken. Ein Klassiker ist das sogenannte Pretexting oder wie man es nennen könnte: „Hollywood am Hotelempfang“. Es ruft plötzlich „der/die Kolleg*in aus der Zentrale“ an, spricht fließend „Hotel-Deutsch“ und kennt interne Begriffe. Er/Sie behauptet, es gebe ein Problem mit dem Reservierungssystem und er/sie benötige dringend die Zugangsdaten, um einen Systemabsturz zu verhindern und in der nächsten Sekunde ist das System bereits kompromittiert. Gästedaten weg, Kreditkarten missbraucht und der/die Mitarbeiter*in merkt erst später, dass er/sie gerade einem/einer digitalen Schauspieler*in aufgesessen ist. Verwendet wird außerdem Baiting: Angreifer*innen versuchen, Mitarbeiter*innen durch einen „Köder“ (engl. bait) dazu zu bringen, eine unsichere Handlung vorzunehmen. Ein scheinbar verlorener USB-Stick wird im Hotel platziert, z. B. an der Rezeption oder im Gäste-Wlan-Bereich. Mitarbeitende oder Gäste stecken ihn neugierig in einen Computer, woraufhin Schadsoftware aktiviert wird. Vishing ist die akustische Variante. Ein Anruf von der „Bank“, der „Polizei“ oder dem „IT-Support“ – ganz dringend wird etwas gebraucht. Die Stimme klingt vertrauenswürdig, die Story plausibel und schon sind sensible Informationen gehackt (Wirtschaftskammer Österreich, 2023).
Die Bedrohungslage für Hotels verschärft sich insbesondere durch den Einsatz sogenannter Deepfake-Technologien. Moderne KI-Software ist bereits in der Lage, eine Stimme nach nur wenigen Sekunden Audioaufnahme täuschend echt zu imitieren. Für Hotelinhaber*innen ist das besonders riskant, da ihre Stimmen häufig öffentlich zugänglich sind, z. B. in Interviews, auf Websites oder in sozialen Netzwerken. Cyberkriminelle nutzen diese Aufnahmen, um realistisch klingende Anrufe zu fälschen: „Ich brauche dringend eine Überweisung für einen wichtigen Lieferanten. Können Sie das bitte sofort erledigen?“. Die Kombination aus vertrauter Stimme, Zeitdruck und Autorität führt dazu, dass Mitarbeitende in solchen Situationen oft ohne Rückfrage hohe Summen überweisen. Unabhängig von der Technologie ist diese Form des Betruges auch als CEO Fraud bekannt (Falstaff Profi GmbH, 2025).

Cyberangriff

Was ist im Ernstfall zu tun?

Meist ist ein Cyberangriff nicht nur ein IT-Problem und mit hohem finanziellen Schaden verbunden, es ist außerdem ein Datenschutzvorfall im Sinne der DSGVO. Rechtliche Anforderungen haben sich drastisch verschärft. Betroffene Hotels müssen im konkreten Fall lückenlos dokumentieren können, welche technischen und organisatorischen Maßnahmen sie zum Schutz der Gästedaten im Vorfeld getroffen haben. Die Folgen können gravierend sein: Bußgelder, Reputationsverlust und Vertrauensbruch bei Gästen.

Sofortmaßnahmen nach einem Vorfall

Systeme isolieren: Trennen der betroffenen Systeme vom Netz, um weitere Datenabflüsse zu verhindern.
Forensische Analyse starten und externe Partner einbeziehen: IT-Sicherheitsexpert*innen informieren, um den Angriff zu analysieren und die Schwachstelle zu identifizieren. Kontakt zur Bank und Meldung des Vorfalls, ggf. Meldung bei der Polizei und Erstattung einer Anzeige.
Passwörter und Zugriffsrechte ändern: Zugangsdaten müssen sofort aktualisiert werden, auch bei Drittanbietern.
Kommunikation vorbereiten: Transparente Kommunikation mit Gästen ist entscheidend, um Vertrauen zurückzugewinnen. Auch die Außenkommunikation ist zu berücksichtigen.
Betroffene informieren: Gemäß DSGVO muss die Datenschutzbehörde innerhalb von 72 Stunden informiert werden. Betroffene Gäste sind im Falle eines voraussichtlich hohen Risikos unverzüglich über die Datenschutzverletzung zu benachrichtigen.

Wenn Sie Opfer eines Betrugs werden, ist Ihr erster Ansprechpartner bei bankrelevanten Themen Ihr/Ihre BTV Betreuer*in oder das BTV Kundenkontaktcenter. Gemeinsam klären wir den Vorfall und veranlassen sofort alle notwendigen Sperren, um weiteren Schaden zu verhindern. Wir unterstützen Sie bei der Meldung an die zuständigen Stellen und empfehlen in der Regel eine polizeiliche Anzeige. Außerdem versuchen wir, den abgebuchten Betrag zurückzuholen. Wir begleiten Sie, bis alle Schritte abgeschlossen und unsere Möglichkeiten als Bank ausgeschöpft sind.

Mehr zu Sicherheit

Maßnahmen

Konkrete Schutzmaßnahmen und Zusammenarbeit mit externen Partnern

Um sich wirksam zu schützen, sollten Betriebe auf eine Kombination aus technologischen, personellen und organisatorischen Maßnahmen setzen. Die Implementierung von 3D-Secure-Zahlungen und Zwei-Faktor-Authentifizierung erhöht die Sicherheit bei Online-Transaktionen erheblich. KI-gestützte Systeme helfen dabei, verdächtige Buchungsmuster frühzeitig zu erkennen und automatisiert zu überprüfen. Beim Check-in können automatische Dokumentenprüfungen die Echtheit von Ausweisen und Reisedokumenten sicherstellen. Darüber hinaus sind regelmäßige Penetrationstests, verschlüsselte Datenübertragungen sowie starke Firewalls und Zugriffskontrollen essenziell, um die IT-Infrastruktur gegen Angriffe abzusichern.

Neben der Technik sind Mitarbeiterschulungen ein entscheidender Faktor. Hotelteams sollten regelmäßig im Erkennen von Social Engineering und verdächtigen Zahlungsversuchen geschult werden. Die Sensibilisierung für Phishing-Mails und gefälschte Links ist ebenso wichtig wie die Einhaltung klarer Prozesse: Passwörter und sensible Daten dürfen niemals telefonisch oder per E-Mail weitergegeben werden, auch nicht an vermeintliche Kolleg*innen. Klare Eskalationsstufen helfen, im Ernstfall schnell und richtig zu reagieren. Buchungen mit hohem Risiko sollten stets manuell und im 4-Augen-Prinzip überprüft werden, um potenzielle Betrugsversuche frühzeitig zu erkennen.

Auch bei umfassenden internen Sicherheitsmaßnahmen bleibt das Risiko eines Cyberangriffs bestehen. Umso wichtiger ist die strategische Zusammenarbeit mit externen Partnern wie Banken, IT-Sicherheitsdienstleistern und Versicherungen. Diese Kooperationen können entscheidend zur Risikominimierung und Schadensbegrenzung beitragen.

IT-Sicherheitsdienstleister verfügen über spezialisierte Tools und Know-how zur Erkennung von Sicherheitslücken und potenziellen Bedrohungen. Ein wichtiger Bestandteil der Sicherheitsstrategie können simulierte Angriffe sein, sogenannte Penetrationstests. Sie helfen dabei, Schwachstellen im System aufzudecken, bevor echte Angreifer*innen sie ausnutzen. In Kombination mit externen Audits durch IT-Sicherheitsexpert*innen entsteht ein ganzheitlicher Blick auf die Sicherheitslage.
Eine Cyberversicherung kann Hotels vor den finanziellen Folgen eines Cyberangriffs schützen, setzt jedoch voraus, dass grundlegende IT-Sicherheitsmaßnahmen bereits umgesetzt sind. Dazu zählen unter anderem eine Risikobewertung der IT-Infrastruktur, der Einsatz von Firewalls und Antivirensoftware, regelmäßige Updates, Schulungen der Mitarbeitenden sowie klare Datenschutzrichtlinien und Notfallpläne. Beim Abschluss einer Cyberversicherung sollten Hoteliers darauf achten, dass alle relevanten Risiken abgedeckt sind, die Versicherungssumme angemessen gewählt ist und zusätzliche Leistungen wie rechtliche Unterstützung oder Krisenmanagement im besten Fall durch eigene Partnerunternehmen enthalten sind. Typische Leistungen umfassen die Wiederherstellung von Daten, Entschädigungen bei Betriebsunterbrechungen und Kosten im Zusammenhang mit Datenschutzverletzungen.
Im Falle eines Cyberangriffs zählt jede Minute. Ein Incident-Response-Plan legt verbindliche Abläufe und Verantwortlichkeiten fest, um im Ernstfall schnell und effektiv handeln zu können. Er sollte in jedem Unternehmen einsatzbereit sein. Ein gut vernetztes System aus externen Partnern ermöglicht eine koordinierte Reaktion, z. B. die sofortige Sperrung von Zahlungsströmen über die Bank, die Aktivierung von Maßnahmen durch IT-Dienstleister oder die umgehende Kommunikation mit Behörden und Kund*innen.
Gerade im Tourismus, wo internationale Gäste und Datenströme eine Rolle spielen, ist die Einhaltung gesetzlicher Vorgaben wie der DSGVO essenziell. Eine juristische Beratung durch externe Partner hilft, Compliance-Risiken zu minimieren und Haftungsfragen zu klären.

Als Bank tragen wir eine besondere Verantwortung, unsere Kund*innen vor Betrug zu schützen. Deshalb setzen wir bei der BTV auf ein umfassendes Anti-Fraud-Management. Unsere Maßnahmen beginnen bei der Sensibilisierung: Wir informieren über aktuelle Betrugsrisiken sowohl im persönlichen Gespräch als auch direkt über unsere Produkte. Darüber hinaus greifen je nach Betrugsart und betroffenem Zahlungsinstrument spezielle Schutzmechanismen. Dazu gehören zum Beispiel automatisierte Prüfungen, die verdächtige Transaktionen sofort stoppen, Darknet-Scans, um ausgespähte Kundendaten frühzeitig zu erkennen, Empfängerüberprüfung bei Überweisungen oder die seit Oktober 2025 verpflichtend ist.

Fazit

Sicherheit ist kein Luxus, sondern eine unternehmerische Notwendigkeit

In einer zunehmend digitalisierten Welt sind Cyberangriffe wie Phishing, Datenmanipulation und Betrugsversuche keine Ausnahme mehr, sie gehören zur Realität. Besonders in der Hotellerie, wo sensible Gästedaten verarbeitet und Vertrauen großgeschrieben wird, kann ein Sicherheitsvorfall gravierende Folgen haben: finanzielle Verluste, Reputationsschäden und rechtliche Konsequenzen. Ein unachtsamer Klick auf einen manipulierten Link oder eine unzureichend gesicherte IT-Infrastruktur kann bereits ausreichen, um Schaden anzurichten. Die Kosten für die Wiederherstellung, Schadensbegrenzung und den Vertrauensverlust übersteigen meist bei Weitem die Investitionen in präventive Maßnahmen. Wer heute in Sicherheit investiert, schützt nicht nur Daten, sondern auch das Vertrauen der Gäste und die Zukunft deseigenen Betriebes. 

Das könnte Sie auch interessieren

BTV Expertengespräch: Kampf gegen Cyberangriffe

Im Interview mit Marc Nimmerrichter, Geschäftsführer des Cyber-Security-Spezialisten Certitude Consulting, und Katharina Schöche, Tourismus-Expertin bei der BTV Vier Länder Bank, beleuchten wir, wie Hotels sich schützen können.

Auswirkungen des Klimawandels auf den Tourismus

Der Klimawandel verändert den Alpentourismus. Während die Wintersaisonen kürzer werden und die Kosten für Schneesicherheit steigen, profitiert der Sommertourismus.

Energetische Sanierung von Einrichtungen

Durch intelligente Steuerungssysteme und eine nachhaltige Energieversorgung können Tourismusbetriebe Kosten senken und Emissionen reduzieren.

Nachhaltige Verpflegung und Waste Management

Ziel ist, die Lebensmittelverschwendung und Abfälle durch regionale Beschaffung, Zero-Waste-Praktiken und optimierte Recyclingprozesse zu reduzieren.

Nachhaltige Transformation im Tourismus

Unternehmen können durch erneuerbare Energien, digitale Lösungen und nachhaltige Ernährungskonzepte ihren ökologischen Fußabdruck reduzieren.

Wenn Hacker einchecken

Die Betrugslandschaft

Vielschichtig und digital

Manipulation von Zahlungsprozessen

Phishing: Wenn der Betrug ins Postfach kommt

Ransomeware-Angriffe - eine besonders gefährliche Form von Schadsoftware

Social Engineering – die hohe Kunst des digitalen Schauspiels

Deepfake Technologie – KI-generierte Inhalte