Alexander HuberAm 13. April 2026 bestätigte Booking.com offiziell: Hacker haben sich Zugang zu Kundendaten verschafft. Betroffen sind vollständige Namen, E-Mail-Adressen, Telefonnummern, Postadressen sowie Buchungsdetails wie genaue Anreisedaten und Unterkunftsnamen. Besonders brisant: Die Angreifer wissen nun genau, wer wann wohin reist — ein ideales Werkzeug für präzise Betrugsangriffe auf Reisende.
Was genau ist passiert?
Laut Unternehmensangaben gegenüber TechCrunch und SecurityWeek entdeckte Booking.com am oder kurz vor dem 13. April 2026 eine unbefugte Zugangnahme auf Kundenbuchungsdaten. Das Unternehmen reagierte unmittelbar: Es setzte alle Reservierungs-PINs zurück und informierte betroffene Nutzer per E-Mail über die Sicherheitslücke.
Nicht kompromittiert wurden laut Booking.com Zahlungsdaten und Kreditkarteninformationen — das bestätigte ein Unternehmenssprecher ausdrücklich. Unklar bleibt jedoch, wie viele Nutzer weltweit betroffen sind: Eine Gesamtzahl wurde bis dato nicht veröffentlicht, was europäische Datenschutzbehörden scharf kritisieren.
Für österreichische Reisende stellt das eine ernste Lage dar. Booking.com zählt zu den meistgenutzten Buchungsplattformen im deutschsprachigen Raum. Die gestohlenen Daten ermöglichen täuschend echte Betrugsversuche — per E-Mail, SMS oder Telefon.
Warum ist dieser Hack besonders gefährlich?
Finanzielle Daten fehlen zwar im Datensatz — doch die erbeuteten Buchungsinformationen sind für Cyberkriminelle außerordentlich wertvoll. Ein Angreifer kennt jetzt den vollen Namen des Opfers, den exakten Buchungszeitraum, den Namen des Hotels sowie die Kommunikation mit der Unterkunft.
Daraus lassen sich hochpräzise Nachrichten konstruieren: "Sehr geehrter Herr Maier, Ihre Buchung im Hotel Wien Mitte vom 18. bis 21. April erfordert eine Zusatzzahlung von 45 Euro für die Gepäckversicherung — bitte bestätigen Sie hier." Die Nachricht klingt so echt, dass selbst aufmerksame Nutzer die Falle nicht erkennen.
IT-Sicherheitsexperten bezeichnen diese Methode als "Spear-Phishing": gezielte Angriffe mit echten persönlichen Daten statt generischer Massen-E-Mails. Die Erfolgsquote solcher Attacken liegt um ein Vielfaches höher als bei klassischem Phishing — denn die Opfer glauben, mit einer bekannten und vertrauten Plattform zu kommunizieren.
Was sollten Betroffene jetzt sofort tun?
IT-Fachleute empfehlen folgende unmittelbaren Maßnahmen:
1. Keine Links in unbekannten Nachrichten anklicken: Booking.com wird Sie in den nächsten Wochen nicht per SMS oder Telefon nach Kartendaten fragen. Jede Aufforderung zur Zahlung oder zum Klicken auf einen Link sollte mit größter Vorsicht behandelt werden — unabhängig davon, wie echt die Buchungsdetails in der Nachricht wirken.
2. Passwort und PIN ändern: Obwohl Passwörter nach aktuellem Stand nicht kompromittiert wurden, empfiehlt sich eine Änderung — insbesondere wenn dasselbe Passwort auf anderen Plattformen verwendet wird.
3. Zwei-Faktor-Authentifizierung aktivieren: Falls noch nicht eingerichtet, sollte die Zwei-Faktor-Authentifizierung bei Booking.com und allen wichtigen Online-Konten sofort aktiviert werden.
4. Kontoauszüge regelmäßig prüfen: Auch ohne kompromittierte Zahlungsdaten besteht das Risiko, dass Betrüger durch Phishing-Angriffe an Bankdaten gelangen. Erhöhte Wachsamkeit bei unbekannten Transaktionen ist in den nächsten Wochen angebracht.
5. Datenschutzbehörde kontaktieren: Österreichische Nutzer, die durch die Datenpanne einen konkreten Schaden erlitten haben, können eine Beschwerde bei der Österreichischen Datenschutzbehörde unter dsb.gv.at einreichen.
Was ist Booking.com nach DSGVO verpflichtet?
Nach der europäischen Datenschutz-Grundverordnung (DSGVO) ist Booking.com als Datenverarbeiter verpflichtet, Datenpannen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Ob und wann diese Meldung erfolgt ist, hat das Unternehmen bislang nicht kommuniziert.
Für österreichische Nutzer ist die Datenschutzbehörde (DSB) erste Anlaufstelle für Beschwerden. Die DSGVO räumt Betroffenen außerdem das Recht auf Auskunft, Datenlöschung und — bei nachgewiesenem materiellem oder immateriellem Schaden — auch auf Schadensersatz ein.
Warum brauchen Unternehmen professionelle IT-Sicherheitsberatung?
Der Booking.com-Vorfall zeigt: Auch große, gut finanzierte Plattformen mit hunderten IT-Spezialisten sind nicht immun gegen Cyberangriffe. Für kleinere und mittlere österreichische Unternehmen, die selbst Kundendaten verwalten, ist dieser Fall ein Weckruf.
Ein qualifizierter IT-Sicherheitsberater überprüft bestehende Sicherheitsarchitekturen, identifiziert Schwachstellen und implementiert konkrete Schutzmaßnahmen — von der Zugriffssteuerung über Datenverschlüsselung bis hin zu Incident-Response-Plänen für den Ernstfall. Gerade seit der NIS-2-Richtlinie, die für viele österreichische Unternehmen ab Oktober 2026 bindend wird, steigt der Beratungsbedarf erheblich.
Drei sofortige Schutzmaßnahmen für KMU
Auch ohne großes IT-Budget lassen sich kritische Lücken schließen:
- Zugriffsmanagement: Mitarbeitern nur die Berechtigungen gewähren, die sie wirklich benötigen — "Least Privilege"-Prinzip. Wer keinen Zugriff auf Kundendaten braucht, sollte ihn nicht haben.
- Regelmäßige Backups: Offline-Sicherungen schützen vor Ransomware und Datenverlust bei Angriffen. Die Drei-Zwei-Eins-Regel — drei Kopien, zwei Medien, eine Offsite — gilt als Branchenstandard.
- Mitarbeiterschulungen: Rund 80 Prozent der erfolgreichen Cyberangriffe beginnen mit einem menschlichen Fehler. Regelmäßige Phishing-Simulationen und Awareness-Trainings senken das Risiko messbar und sind nach der NIS-2-Richtlinie für viele Unternehmen ab 2026 sogar vorgeschrieben.
Wann sollten Privatpersonen einen IT-Experten hinzuziehen?
Nicht nur Unternehmen sind nach einem Datenleck betroffen. Auch Privatpersonen, die sich fragen, ob ihre Daten für weitere Angriffe missbraucht wurden, profitieren von einer Kurzberatung durch einen IT-Sicherheitsexperten.
Ein Experte kann prüfen, ob E-Mail-Adressen oder Zugangsdaten im Darknet kursieren, gibt konkrete Handlungsempfehlungen und hilft beim Sichern von Online-Konten — in der Regel in einem einzigen Beratungsgespräch.
Auf ExpertZoom finden Unternehmen und Privatpersonen in Österreich erfahrene IT-Sicherheitsberater, die nach einem Datenvorfall schnell reagieren oder präventiv Schwachstellen schließen. Mehr zu aktuellen IT-Sicherheitsthemen in Österreich lesen Sie auch in unserem Artikel über IT-Sicherheit und Quantencomputer in Österreich 2026.
Cyberangriffe passieren täglich. Die Frage ist nicht ob — sondern wie gut Sie vorbereitet sind.
