Anfang des Jahres veröffentlichte die Verbraucherorganisation Which? einen Bericht, der zahlreiche Betrugsmaschen und Sicherheitslücken bei Booking.com aufdeckte.
Auf einer Reise buchte ich kürzlich für einen Zwischenstopp in Jakarta ein Flughafenhotel über Booking.com. Ich wählte dabei die Option, dass meine Kreditkarte einige Tage vor der Anreise automatisch belastet wird.
Eine Woche vor der Abreise erhielt ich eine WhatsApp-Nachricht – angeblich vom Hotel. Das Profilbild zeigte mutmaßlich eine Mitarbeiterin. In der Nachricht standen mein vollständiger Name, die Buchungsnummer und die Reisedaten.
Mir wurde mitgeteilt, zur „Sicherung“ der Reservierung müsse ich einige Angaben bestätigen. Dazu solle ich auf einen Link klicken, um meine Zahlungsmethode vorübergehend zu verifizieren. Es werde nichts abgebucht, hieß es. Gleichzeitig wurde Druck aufgebaut: Würde ich den Vorgang nicht innerhalb von 24 Stunden abschließen, könne das System die Buchung automatisch stornieren.
Kurz zuvor hatte Booking.com auf seiner Website verstärkt vor Phishing und gefälschten Nachrichten gewarnt. Diese Hinweise hatte ich gelesen – und die Warnzeichen erkannt: ein externer Link und eine extrem kurze Frist sind klassische Betrugsmaschen.
Ich meldete die Nachricht gemäß den Richtlinien von Booking.com. Am nächsten Tag erhielt ich einen Anruf: Die Nachricht stammte nicht vom Hotel, ich solle sie löschen.
Mein Aufenthalt war damit zwar gesichert. Beunruhigend blieb jedoch, wie viele persönliche Informationen die Betrüger über meine Buchung kannten.
Anfang dieses Jahres veröffentlichte die Verbraucherschutzorganisation Which? einen umfassenden Bericht über Sicherheitslücken und zahlreiche Betrugsfälle bei Booking.com. Meine Erfahrung wirkte im Rückblick wie die Spitze eines sehr unangenehmen Eisbergs.
Der Anstieg von Betrugsinseraten auf Booking.com
Booking.com ist ein globaler Gigant mit mehr als einer Milliarde Buchungen pro Jahr und konkurriert mit Airbnb um die Marktführerschaft bei Ferienunterkünften.
Wie die Recherche von Which? zeigt, liegt ein Teil der Attraktivität der Plattform in der einfachen Möglichkeit, Unterkünfte einzustellen. Die Organisation testete dies selbst und konnte ein Ferienhaus in weniger als 15 Minuten online stellen.
"Wir mussten keinen Identitätsnachweis erbringen. Und anders als bei der Expedia-Tochter Vrbo oder bei Airbnb beim letzten Versuch wollte niemand einen Ausweis oder Reisepass sehen", schreibt der leitende Rechercheur Trevor Baker.
Das fördert zwar das Wachstum von Booking.com – erleichtert aber auch Betrug.
Eine Untersuchung aus dem Jahr 2024 ergab, dass innerhalb weniger Monate Hunderte Menschen meldeten, durch betrügerische Inserate Geld verloren zu haben. Booking.com entfernte die von Which? gemeldeten Angebote und erklärte, es habe sich um Eigentümer gehandelt, die "vergessen hätten, die Verfügbarkeit zu deaktivieren".
Als die Ermittler einige Monate später erneut nachprüften, fanden sie weitere Objekte mit Hunderten negativer Bewertungen, die vor Betrug warnten. Reisende berichteten, sie seien vor Ort angekommen und hätten festgestellt, dass die Unterkünfte gar nicht existierten. Ersatz zu finden war oft teuer – und eine Rückerstattung von Booking.com schwierig.
Wie betrügerische Inserate Bewertungen überstehen
Booking.com erklärte, neue Gastgeber dürften erst dann Vorauszahlungen annehmen, wenn sie Buchungen und Bewertungen vorweisen könnten.
"Das stimmt – auch wir konnten für unser Test-Inserat keine Vorauszahlungen akzeptieren", schreibt Baker. "Für Betrüger ist das aber kein echtes Hindernis."
Rutscht ein betrügerisches Angebot dennoch durch, bleibt es oft lange online – auch wegen der Art, wie Bewertungen angezeigt werden.
"Nehmen wir eine Ferienwohnung im Zentrum von Podgorica in Montenegro", erklärt Baker. "Die Gesamtbewertung von 6,4, von Booking.com als ‚angenehm‘ bezeichnet, wirkt zunächst harmlos."
Die zuerst sichtbaren Bewertungen lauten "hervorragend" (9/10) und "gut" (7/10). Erst bei genauerem Hinsehen fällt auf, dass Booking.com diese als "am relevantesten" einstuft. Stellt man hingegen auf "Neueste", zeigt sich ein anderes Bild: Zehn der letzten zwölf Bewertungen sprechen von "Betrug", "Schwindel" und einem "Albtraum".
Nach Kritik von Which? kündigte Booking.com an, neuere Bewertungen künftig stärker zu gewichten. Aktuell ist jedoch weiterhin "Relevanteste" die Standardeinstellung.
Phishing-Nachrichten
Hinzu kommen Phishing-Nachrichten wie in meinem Fall. Viele Reisende berichten von E-Mails, WhatsApp-Nachrichten oder sogar Mitteilungen über das interne Nachrichtensystem von Booking.com, in denen sie zur Bestätigung ihrer Reservierung aufgefordert werden.
Manche enthalten Links zur angeblichen "Datenverifizierung", andere verlangen direkt Zahlungen – fast immer mit einer knappen Frist. Selbst wenn Betroffene Booking.com kontaktieren, kommt eine Antwort oft zu spät. Viele fühlen sich dadurch zum Zahlen gedrängt.
Besonders alarmierend ist, dass Betrüger teils über die offiziellen Kommunikationskanäle von Booking.com agieren konnten.
"Als wir 2017 Airbnb-Betrugsfälle untersuchten, konnten wir guten Gewissens raten, ausschließlich über das Airbnb-Nachrichtensystem zu kommunizieren", schreibt Baker. "Bei Booking.com gilt das nicht. Wenn Hotel- oder Gastgeberkonten gehackt wurden, ist kaum noch zu erkennen, ob eine Nachricht echt ist."
KI und Sicherheitsmaßnahmen – reicht das?
Which? erhielt Berichte von Nutzern, die Hunderte Euro verloren hatten; für manche war die gesamte Reise ruiniert. Ihr Geld bekamen viele erst zurück, nachdem Which? eingeschaltet wurde.
Booking.com verweist auf den Einsatz künstlicher Intelligenz: Man investiere stark in KI- und Machine-Learning-Systeme, um verdächtige Aktivitäten frühzeitig zu erkennen und zu blockieren, erklärte ein Sprecher gegenüber Euronews Travel.
Zudem wurden die Sicherheitsmaßnahmen für Hotels und Gastgeber verschärft. Der Zugang zu Konten und Nachrichten ist nun nur noch mit Zwei-Faktor-Authentifizierung möglich. Auch Gäste können 2FA aktivieren – berichten jedoch teils von Problemen.
Nach Einschätzung von Which? reicht das alles noch nicht aus.
Dass Booking.com bösartige Links nicht zuverlässig blockiere, betrügerische Inserate zu spät entferne und 2FA für Gastgeber lange nicht verpflichtend gemacht habe, deute auf erhebliche Nachlässigkeit beim Schutz der Nutzer hin, heißt es im Bericht.
Auch die Entscheidung, standardmäßig "relevanteste" statt "neueste" Bewertungen anzuzeigen, sei schwer nachvollziehbar. Zwar sei die Plattform heute sicherer als noch im Vorjahr – doch aus Sicht von Which? habe Booking.com zu spät erkannt, wie leicht Betrüger die eigenen Werkzeuge missbrauchen können, um Reisenden Geld abzuknöpfen.