Gefälschte Hotels, Flugticketbetrug und touristische KI-Fallen sind ein immer größeres Risiko für Reisende
Digitale Betrugsmaschen im Zusammenhang mit Reisen beschränken sich längst nicht mehr auf verdächtige Anzeigen, nicht existierende Apartments und schlecht übersetzte E-Mail-Nachrichten. Vor der neuen sommerlichen Reisesaison sehen sich Reisende auf der ganzen Welt mit deutlich überzeugenderen Formen von Betrug konfrontiert: gefälschten Hotelseiten, die fast identisch mit den offiziellen aussehen, Unterkunftsanzeigen mit Fotos, die sich mithilfe künstlicher Intelligenz erstellen lassen, Phishing-Nachrichten, die echte Buchungsdaten enthalten, sowie Flugticketangeboten, die verschwinden, sobald die Zahlung ausgeführt wurde.
Nach Warnungen der amerikanischen Federal Trade Commission, bekannt unter der Abkürzung FTC, beginnen Reisebetrugsfälle häufig mit einer Anzeige, einem Telefonanruf, einer Nachricht oder einer E-Mail, in der kostenlose, außergewöhnlich günstige oder zeitlich begrenzte Reisen angeboten werden. Die Kommission warnt, dass hinter solchen Angeboten unseriöse Unternehmen oder kriminelle Gruppen stehen können, und die Folge für Verbraucher kann die Zahlung versteckter Gebühren, der Verlust von Geld oder die Offenlegung persönlicher und finanzieller Daten sein. Besonders hervorgehoben werden Zahlungsaufforderungen per Banküberweisung, Geschenkkarten, Kryptowährungen oder Geldtransfer-Apps, da solche Zahlungsarten den Opfern oft nur geringe oder gar keine Möglichkeiten zur Rückerstattung lassen.
Das Ausmaß des Problems zeigt sich auch in der breiteren Betrugsstatistik. Die FTC hat veröffentlicht, dass Verbraucher im Jahr 2024 Verluste von mehr als 12,5 Milliarden Dollar durch Betrug gemeldet haben, 25 Prozent mehr als im Vorjahr. AARP verweist auf FTC-Daten und gibt an, dass im Jahr 2025 mehr als 64.000 Meldungen über Betrug im Zusammenhang mit Reisen, Urlauben und Timeshare-Arrangements verzeichnet wurden.
Gefälschte Hotelseiten wirken immer professioneller
Eine der am weitesten verbreiteten Betrugsformen betrifft gefälschte oder irreführende Hotelseiten. Better Business Bureau, eine amerikanische Organisation für Verbraucherschutz und die Überwachung geschäftlicher Glaubwürdigkeit, warnt, dass Reisende häufig auf einer Seite landen, die wie die offizielle Seite eines Hotels oder einer bekannten Buchungsagentur aussieht. Zu solchen Seiten gelangt man nicht selten über Suchmaschinen, Anzeigen oder Links, die weit oben in den Suchergebnissen erscheinen. Die Fotos können professionell sein, die Preise überzeugend, und der Buchungsprozess vertraut genug, dass der Nutzer keinen Verdacht schöpft, dass er sich am falschen Ort befindet.
Nach Beispielen, die Better Business Bureau anführt, können Opfer nach der Eingabe von Kartendaten feststellen, dass ihnen ein höherer Betrag als angezeigt berechnet wurde, dass Gebühren hinzugefügt wurden, die nicht klar hervorgehoben waren, oder dass das Hotel überhaupt keinen Eintrag über ihre Buchung hat. In manchen Fällen glaubt der Nutzer, ein Zimmer direkt beim Hotel zu buchen, während es sich in Wirklichkeit um eine dritte Partei handelt, die nicht klar dargestellt wurde, oder um eine vollständig gefälschte Seite. Ein solches Modell ist besonders gefährlich, weil es nicht immer auf offensichtlichem Betrug beruht: Der Nutzer kann eine Bestätigung erhalten, aber sie muss beim tatsächlichen Hotel nicht gültig sein oder kann Bedingungen enthalten, die wesentlich ungünstiger sind als erwartet.
Künstliche Intelligenz erschwert die Erkennung gefälschter Anzeigen zusätzlich. AARP warnt, dass KI-Werkzeuge Kriminellen dabei helfen, legitime Reiseseiten zu klonen, überzeugende Adressen und Designs zu erstellen und Inhalte zu produzieren, die die typischen Betrugszeichen nicht mehr verraten. Fotos von Unterkünften können computergeneriert sein, Beschreibungen professionell, und gefälschte Bewertungen in einem Stil geschrieben, der echten Erfahrungen von Reisenden ähnelt.
Der sicherste Ansatz ist nach den Empfehlungen der FTC und des Better Business Bureau, die Adresse der Seite zu prüfen, den Domainnamen mit den offiziellen Kanälen des Hotels zu vergleichen, die Zahlung nicht zu überstürzen und nach Möglichkeit das Hotel vor der Zahlung direkt zu kontaktieren. Wenn sich die Unterkunft in einem Resort oder Komplex befindet, empfiehlt die FTC, die Rezeption anzurufen und den Standort, die Buchungsbedingungen und das Bestehen des Objekts zu bestätigen. Besondere Vorsicht ist erforderlich, wenn eine Seite eine ungewöhnliche Zahlungsart verlangt, wenn Stornierungsbedingungen nicht schriftlich erhältlich sind oder wenn der Nutzer mit Nachrichten unter Druck gesetzt wird, dass das Angebot nur noch wenige Minuten gilt.
Der Diebstahl einer Buchung nutzt echte Daten von Reisenden
Eine neuere Betrugsform, die in Sicherheitswarnungen immer häufiger erwähnt wird, ist das sogenannte “Hijacking von Buchungen”. In diesem Szenario sendet der Betrüger keine allgemeine Nachricht an Tausende Menschen, sondern wendet sich an eine Person, die tatsächlich eine Buchung für ein Hotel, ein Apartment, einen Mietwagen oder einen Flug hat. Die Nachricht kann den Namen, Reisedaten, den Standort, die Buchungsnummer oder andere Daten enthalten, die den Eindruck erwecken, dass sie vom tatsächlichen Dienstleister stammt. Gerade diese Kombination aus korrekten Informationen und einer dringenden Zahlungsaufforderung macht den Betrug überzeugend.
WIRED beschrieb im Mai 2026, wie solche Betrugsmaschen funktionieren: Kriminelle nutzen Buchungsdaten, an die sie über kompromittierte Konten, Sicherheitsvorfälle, soziale Netzwerke oder andere Quellen gelangen können, und kontaktieren dann den Reisenden mit der Behauptung, es gebe ein Problem mit der Zahlung, der Kartenbestätigung oder der Aufrechterhaltung der Buchung. Ziel ist es, die Person dazu zu bringen, Geld auf das Konto des Betrügers zu überweisen oder Kartendaten auf einer gefälschten Seite einzugeben. Nachrichten führen häufig ein Element der Dringlichkeit ein, zum Beispiel die Behauptung, dass die Buchung storniert werde, wenn die Zahlung nicht sofort ausgeführt wird.
Zusätzliche Sorge löste ein Sicherheitsvorfall aus, den Booking.com im April 2026 bestätigte. Laut einem Bericht des Guardian informierte die Plattform einen Teil der Nutzer darüber, dass unbefugte Dritte auf bestimmte Buchungsdaten zugegriffen hatten. Das Unternehmen gab an, dass Finanzdaten nicht zugänglich gewesen seien, dass zu den potenziell offengelegten Informationen aber Buchungsdetails, Namen, E-Mail-Adressen, physische Adressen, Telefonnummern und Nachrichten gehören konnten, die mit der Unterkunft ausgetauscht wurden. Booking.com änderte laut demselben Bericht die PINs der betroffenen Buchungen und benachrichtigte die Gäste.
Solche Daten müssen an sich keinen direkten Gelddiebstahl ermöglichen, erhöhen aber die Glaubwürdigkeit späterer Betrugsversuche erheblich. Wenn eine Nachricht das korrekte Anreisedatum und den Namen des Objekts enthält, kann der Nutzer leichter glauben, dass es sich um ein echtes Problem mit der Buchung handelt. Booking.com betonte laut Angaben von WIRED, dass es Nutzer nicht telefonisch, per E-Mail oder SMS nach Kreditkartendaten fragt und keine Zahlung per Banküberweisung verlangt, die von den in der Buchung genannten Bedingungen abweicht. Deshalb ist es entscheidend, jede verdächtige Nachricht ausschließlich über die offizielle App, das Nutzerkonto oder die auf offiziellen Seiten veröffentlichten Kontaktdaten zu überprüfen.
Angriffe auf Hotels öffnen den Weg für Betrug an Gästen
Reisebetrug richtet sich nicht nur gegen Endnutzer. Microsoft Threat Intelligence veröffentlichte, dass seit Dezember 2024 eine Phishing-Kampagne beobachtet wurde, die sich fälschlich als Booking.com ausgab und Beschäftigte im Gastgewerbe und in der Hotellerie ins Visier nahm. Laut Microsoft richtete sich die Kampagne an Personen in Organisationen, die wahrscheinlich mit der Buchungsplattform arbeiten, und sie wurde in mehreren Regionen registriert, darunter Europa, Nordamerika, Ozeanien sowie Teile Asiens. Der Angriff nutzte eine Social-Engineering-Technik namens ClickFix, bei der dem Nutzer ein falscher Fehler oder eine Anweisung zur “Behebung” eines Problems angezeigt wird.
Diese Art von Angriff ist für Reisende wichtig, weil ein kompromittiertes Konto eines Hotels oder Vermieters als Sprungbrett für überzeugendere Nachrichten an Gäste dienen kann. Wenn ein Betrüger Zugang zu einem echten Kommunikationskanal oder zu Buchungsdaten erhält, sieht die Nachricht nicht mehr wie typischer Spam aus. Der Gast kann sie im Kontext einer bestehenden Buchung erhalten, mit Details, die eine unbekannte Person sonst nicht wissen sollte. Deshalb hängt die Sicherheit von Reiseplattformen nicht nur von der Vorsicht der Nutzer ab, sondern auch vom Schutz der Konten von Hotels, Apartments, Agenturen und anderen Partnern.
Für Reisende bedeutet das, dass auch eine Nachricht, die in einem bekannten Kommunikationskontext erscheint, nicht automatisch sicher sein muss, wenn sie eine ungewöhnliche Zahlung, eine zusätzliche Autorisierung oder den Wechsel auf einen externen Kanal verlangt. Wenn das angebliche Hotel einen Link außerhalb der Plattform sendet, eine Zahlung auf ein privates Konto verlangt oder behauptet, die Karte müsse auf einer neuen Seite “erneut bestätigt” werden, ist das ein klares Signal für eine zusätzliche Prüfung. Der Nutzer sollte selbstständig die offizielle App oder Seite öffnen, ohne auf den Link aus der Nachricht zu klicken, und dort prüfen, ob eine Warnung vorliegt.
Betrug mit Flugtickets nutzt den Wunsch nach einem niedrigeren Preis aus
Betrugsfälle mit Flugtickets stützen sich häufig auf dieselbe Psychologie wie gefälschte Hotelanzeigen: ein begrenztes Angebot, ein sehr niedriger Preis und Druck, die Entscheidung sofort zu treffen. Die FTC warnt, dass Reiseangebote über Anzeigen, Anrufe, Nachrichten oder E-Mails erscheinen können, wobei Betrüger kostenlose oder deutlich vergünstigte Dienstleistungen versprechen können. Im Zusammenhang mit Flügen kann das gefälschte Agenturen, nicht existierende Tickets, verdächtige Gutscheine, “Sonderrabatte” oder Aufforderungen bedeuten, die Zahlung auf eine Weise zu senden, die für den legalen Ticketverkauf nicht üblich ist.
Besonders riskant können Angebote für Charterflüge und Arrangements sein, bei denen der Nutzer nicht klar weiß, wer der Veranstalter ist, wer das Ticket ausstellt und welche Regeln im Fall einer Stornierung gelten. Die FTC rät, vor der Zahlung die Bedingungen, die Stornierungs- und Rückerstattungsrichtlinien zu prüfen und bei öffentlichen Charterflügen zu kontrollieren, ob sie beim zuständigen amerikanischen Verkehrsministerium aufgeführt sind. Obwohl sich diese Empfehlung auf den amerikanischen Rechtsrahmen bezieht, gilt die allgemeine Regel weltweit: Der Reisende muss vor der Zahlung wissen, mit wem er einen Vertrag abschließt, wer für die Leistung verantwortlich ist und ob es einen offiziellen Reklamationskanal gibt.
Kriminelle zielen häufig auf Momente, in denen Flugpreise hoch und die Nachfrage groß ist. Unter solchen Umständen reagieren Nutzer leichter auf das Versprechen “letzter Plätze” oder eines “Exklusivpreises”, der nur kurze Zeit gilt. Wenn vom Nutzer verlangt wird, das Ticket mit Kryptowährung, Geschenkkarte, Banküberweisung auf ein privates Konto oder einer App für Sofort-Geldtransfers zu bezahlen, ist das Risiko deutlich höher. Die FTC warnt ausdrücklich, dass solche Forderungen ein typisches Betrugszeichen sind, weil das Geld nach der Zahlung häufig weder nachverfolgt noch zurückgeholt werden kann.
Für eine zusätzliche Prüfung ist es nützlich, den Preis mit mehreren bekannten Quellen zu vergleichen, zu prüfen, ob die Agentur registriert ist, und den Firmennamen zusammen mit Begriffen wie “scam”, “review” oder “complaint” zu suchen. Wenn es sich um eine Seite handelt, die behauptet, Tickets für eine bekannte Fluggesellschaft zu verkaufen, sollte geprüft werden, ob die Buchung mithilfe der offiziellen Buchungsnummer direkt auf den Seiten der Fluggesellschaft gefunden werden kann. Eine gefälschte Bestätigung per E-Mail reicht nicht aus; das echte Ticket muss im System der Fluggesellschaft oder bei einem geprüften Vermittler sichtbar sein.
KI verändert das Aussehen von Betrugsmaschen, aber nicht die grundlegenden Warnzeichen
Künstliche Intelligenz ermöglicht Betrügern, schnell Texte, Bilder, Anzeigen und Seiten zu erstellen, die professioneller aussehen als früher. Das bedeutet nicht, dass jeder Betrug unmöglich zu erkennen ist, aber es bedeutet, dass alte Signale wie Grammatikfehler und schlechtes Design nicht mehr ausreichen. AARP gibt an, dass KI-Werkzeuge Kriminellen beim Klonen legitimer Reiseseiten helfen, während Microsofts Bericht zeigt, wie sich ausgefeilte Phishing-Kampagnen an den geschäftlichen Kontext und gezielte Beschäftigte anpassen können. Betrüger können heute Automatisierung, gestohlene Daten und überzeugende Inhalte zu einem Angriff kombinieren, der personalisiert wirkt.
Dennoch bleiben die grundlegenden Warnzeichen gleich. Das erste ist der Druck zu einer sofortigen Entscheidung. Wenn eine Nachricht behauptet, die Buchung werde in wenigen Minuten storniert, die Karte müsse sofort bestätigt werden oder die Zahlung müsse vor Ablauf einer kurzen Frist ausgeführt werden, sollte man innehalten. Das zweite Zeichen ist die Aufforderung zur Zahlung außerhalb der offiziellen Plattform. Das dritte ist eine Änderung des üblichen Kommunikationskanals, zum Beispiel der Wechsel von der Buchungs-App zu einer privaten WhatsApp-Nummer, einer unbekannten E-Mail-Adresse oder einem Link, der nicht zur offiziellen Domain gehört.
Das vierte Zeichen ist unklare oder nicht verfügbare Dokumentation. Die FTC rät, nichts zu unterschreiben und nichts zu bezahlen, bis der Nutzer die Bedingungen des Angebots, die Stornierungsregeln und die Rückerstattungsregeln erhalten hat. Wenn der Verkäufer eine schriftliche Spur vermeidet, sich weigert, einen Vertrag zu senden, oder zusätzliche Gebühren nicht erklären kann, ist es besser, darauf zu verzichten. Das fünfte Zeichen ist ein ungewöhnlich niedriger Preis. Rabatte im Tourismus gibt es, aber ein Angebot, das deutlich günstiger ist als alle vergleichbaren Optionen, muss als Signal für eine zusätzliche Prüfung betrachtet werden, besonders wenn es nur auf einer unbekannten Seite erscheint.
Wie man sich vor der Zahlung einer Buchung schützt
Der Schutz vor Reisebetrug beginnt vor der Eingabe von Kartendaten. Der Nutzer sollte die Adresse einer bekannten Seite selbst in den Browser eingeben oder die offizielle App öffnen, statt auf eine Anzeige oder einen Link aus einer Nachricht zu klicken. Bei Hotelbuchungen ist es nützlich, vor der Bestätigung die Domain, den Namen des Unternehmens, das die Zahlung verarbeitet, die Stornierungsbedingungen und den Endpreis zu prüfen. Bei privaten Unterkünften muss geprüft werden, ob eine Adresse vorhanden ist, ob die Fotos mit anderen Quellen übereinstimmen und ob sich das Objekt über den offiziellen Kanal der Plattform bestätigen lässt.
Bei Flugtickets sollte geprüft werden, wer das Ticket ausstellt, ob die Buchung im System der Fluggesellschaft sichtbar ist und ob die Bedingungen für Gepäck, Flugänderungen und Rückerstattung klar angegeben sind. Wenn ein Vermittler behauptet, dass das Ticket existiert, aber keine gültige Buchungsnummer nennen kann, die sich beim Beförderer prüfen lässt, sollte die Zahlung gestoppt werden. Besondere Vorsicht ist bei Anzeigen in sozialen Netzwerken und Seiten erforderlich, die keine klaren Angaben zum Unternehmen, keine Adresse, keinen Kundendienst und keine Rückerstattungsregeln haben.
Nach der Buchung ist es am wichtigsten, nicht impulsiv auf spätere Nachrichten über Zahlungsprobleme zu reagieren. Wenn die Behauptung erscheint, dass die Buchung gefährdet ist, sollte der Nutzer selbstständig das offizielle Konto öffnen und den Status der Buchung prüfen. Für Konten auf Buchungsplattformen wird ein starkes und einzigartiges Passwort sowie die Aktivierung der Zwei-Faktor-Authentifizierung empfohlen, wenn sie verfügbar ist.
Bei Verdacht, dass der Betrug bereits begangen wurde, sollte sofort die Bank oder der Kartenaussteller kontaktiert, versucht werden, die Transaktion zu stoppen, und Passwörter sollten geändert werden, wenn Daten auf einer verdächtigen Seite eingegeben wurden. Es ist nützlich, den Betrug der Plattform, lokalen Verbraucherschutzbehörden und zuständigen Stellen für Cyberkriminalität zu melden. Obwohl eine Rückerstattung nicht immer möglich ist, kann eine schnelle Reaktion den Schaden begrenzen, zusätzliche Transaktionen verhindern und helfen, gefälschte Seiten oder Anzeigen zu entfernen, bevor sie andere Nutzer täuschen.
Quellen:
- Federal Trade Commission – Tipps zum Erkennen und Vermeiden von Reisebetrug (link)
- Federal Trade Commission – Daten zu gemeldeten Betrugsverlusten im Jahr 2024 (link)
- Better Business Bureau – Warnung vor gefälschten Hotelseiten und Buchungsbetrug (link)
- Microsoft Security Blog – Analyse einer Phishing-Kampagne, die sich als Booking.com ausgab (link)
- The Guardian – Bericht über den Sicherheitsvorfall und offengelegte Daten von Booking.com-Nutzern im April 2026 (link)
- WIRED – Erklärung von Betrugsfällen durch Buchungsübernahmen und Empfehlungen für sicherere Kommunikation (link)
- AARP – Überblick über die häufigsten Warnzeichen bei Reisebetrug und die Rolle von KI-Werkzeugen (link)