Gefälschte Hotels, Identitätsdiebstahl bei Fluggesellschaften und KI-Betrug werden zu einem immer größeren Risiko für Reisende
Online-Betrugsmaschen im Zusammenhang mit Reisen sind deutlich überzeugender geworden als noch vor einigen Jahren. Gefälschte Hotelseiten, Profile, die sich als offizieller Kundendienst von Fluggesellschaften ausgeben, nicht existierende Apartments und mithilfe künstlicher Intelligenz erstellte Anzeigen zielen immer häufiger auf Personen ab, die Unterkünfte, Flüge oder touristische Arrangements buchen. Laut Warnungen der US-amerikanischen Federal Trade Commission erstellen Betrüger Seiten, die angeblich kostenlose oder ungewöhnlich günstige Reisen bewerben, senden Nachrichten, die so aussehen, als kämen sie von bekannten Hotels und Beförderungsunternehmen, und verlangen persönliche Daten oder Zahlungen außerhalb sicherer Kanäle. Solche Nachrichten stützen sich häufig auf Dringlichkeit: Die Buchung müsse angeblich sofort bestätigt werden, die Karte müsse erneut eingegeben werden oder die Unterkunft werde storniert. Gerade diese Kombination aus bekannter Marke, Zeitdruck und professionell gestaltetem Design macht neue Reisebetrugsmaschen besonders gefährlich.
Betrugsmaschen stützen sich nicht mehr nur auf offensichtliche Fehler
Bis vor Kurzem ließen sich viele Online-Betrugsmaschen an schlechter Sprache, unglaubwürdigen Fotos oder ungewöhnlichen Webseitenadressen erkennen. Heute liegt diese Schwelle deutlich höher. Laut einer Analyse von Help Net Security nutzen Betrüger generative Werkzeuge zur Erstellung fotorealistischer Bilder von Unterkünften, die nicht existieren, von Beschreibungen, die professionell klingen, und von Bewertungen, die so geschrieben sind, dass sie echte Eindrücke von Gästen nachahmen. Solche Anzeigen können in sozialen Netzwerken, auf gefälschten Kopien bekannter Plattformen oder, in einzelnen Fällen, als schädlicher Inhalt erscheinen, der versucht, sich in eine legitime Internetumgebung einzufügen. Deshalb reicht es nicht mehr aus, sich nur auf den Eindruck zu verlassen, dass eine Seite ordentlich aussieht oder dass der Text keine Rechtschreibfehler enthält. Die Überprüfung der offiziellen Domain, der Angaben zum Objekt und der Zahlungsweise ist zu einem notwendigen Bestandteil jeder ernsthaften Online-Buchung geworden.
Gefälschte Hotelseiten imitieren bekannte Marken
Eines der häufigsten Muster ist die Erstellung von Seiten, die wie ein offizielles System zur Bestätigung einer Hotelbuchung aussehen. Laut einem Bericht von Cyber Security News nutzte eine große Phishing-Kampagne, die 2025 entdeckt wurde, mehr als 4300 gefälschte Domains, die sich an Reisende richteten, die einen Urlaub planen oder sich auf die Ankunft in einem Hotel vorbereiten. In solchen Nachrichten erhält das Opfer häufig eine Warnung, dass die Buchung innerhalb von 24 Stunden bestätigt werden müsse, um eine Stornierung zu vermeiden. Nach dem Klick wird der Nutzer über mehrere Seiten weitergeleitet, und die letzte Seite fordert die Kartennummer, das Ablaufdatum, den CVV und weitere Daten an, die zur Belastung des Kontos erforderlich sind. Forschende gaben an, dass die gefälschten Seiten große Reisemarken und Hotelsysteme imitierten, mit Logos, Formularen und Designs, die absichtlich so erstellt wurden, dass sie glaubwürdig wirken.
Besonders gefährlich ist es, wenn Betrüger über einen Teil der echten Buchungsdaten verfügen. Dann kann die Nachricht das genaue Ankunftsdatum, den Namen des Hotels oder den Namen des Gastes enthalten, was beim Empfänger die Vorsicht verringert. Eine solche Form des Betrugs wird häufig als Übernahme oder Missbrauch einer Buchung beschrieben, weil Kriminelle nicht immer die gesamte Reise erfinden müssen; es genügt, bestehende Daten zu nutzen, um eine zusätzliche Zahlung, die erneute Eingabe der Karte oder die Kommunikation über einen inoffiziellen Kanal zu verlangen. Wenn ein Hotel oder eine Plattform tatsächlich eine Aktualisierung der Daten benötigt, besteht das sichere Vorgehen darin, die offizielle Seite oder App selbstständig zu öffnen, ohne auf den Link aus der Nachricht zu klicken. Jede Aufforderung zu einer Banküberweisung, Kryptowährung, Geschenkkarte oder zum Senden von Kartendaten über einen Chat sollte als ernstes Warnzeichen behandelt werden.
Fluggesellschaften und Kundendienst sind zu einem häufigen Ziel von Identitätsmissbrauch geworden
Betrugsmaschen betreffen nicht nur Hotels und Apartments. Gefälschte Kundendienstprofile von Fluggesellschaften in sozialen Netzwerken nutzen Situationen aus, in denen Reisende wegen Verspätungen, Flugänderungen, verlorenem Gepäck oder des Bedarfs nach einer schnellen Antwort unter Stress stehen. Laut Warnungen, die in den vergangenen Monaten von Fluggesellschaften und Sicherheitsquellen veröffentlicht wurden, antworten Betrüger häufig auf öffentliche Beiträge von Reisenden, verwenden das Logo des echten Unternehmens und versuchen dann, das Gespräch in private Nachrichten zu verlagern. Dort verlangen sie die Buchungsnummer, persönliche Daten, eine Kopie eines Dokuments oder die Zahlung einer angeblichen Gebühr für eine Flugänderung. Ein Reisender, der bereits in Schwierigkeiten ist, kann wegen der Eile übersehen, dass das Profil kein offizielles Kennzeichen hat, dass der Benutzername ungewöhnlich ist oder dass er zu einer Telefonnummer und einer Seite geleitet wird, die nicht auf der offiziellen Website des Unternehmens aufgeführt sind.
Die Federal Trade Commission warnt, dass in Nachrichten, die wie ein Angebot einer Fluggesellschaft oder eines Hotels aussehen, nicht ohne Überprüfung der tatsächlichen Adresse geklickt werden sollte. Die Empfehlung lautet, die offizielle Seite durch manuelle Eingabe der Adresse oder über eine bereits installierte App zu öffnen, und nicht über einen Link aus einer unerwarteten E-Mail, SMS oder einem Beitrag in einem sozialen Netzwerk. Dasselbe gilt für Anrufe, die angeblich von einem Agenten oder einem Supportdienst kommen, insbesondere wenn sie mit der Aufforderung verbunden sind, die Kommunikation über eine unbekannte App fortzusetzen. Vertrauenswürdige Unternehmen verlangen in der Regel keine sensiblen Kartendaten in unverschlüsselten Nachrichten und machen den Erhalt der Buchung nicht von einer Zahlung über Kanäle abhängig, die nicht nachverfolgt werden können. Wenn eine Nachricht überzeugend, aber ungewöhnlich wirkt, ist es sicherer, die Kommunikation zu beenden und selbstständig das offizielle Kontaktzentrum zu kontaktieren.
Künstliche Intelligenz hat die Erstellung gefälschter Apartments und Bewertungen erleichtert
Generative künstliche Intelligenz hat das Erscheinungsbild von Reisebetrug verändert, weil sie die schnelle Erstellung von Fotos, Beschreibungen und Nutzerbewertungen ermöglicht, die nicht mehr amateurhaft wirken. Laut Help Net Security können Betrüger in kurzer Zeit eine Reihe von Bildern einer luxuriösen Unterkunft erstellen, die in Wirklichkeit nicht existiert, und anschließend eine detaillierte Beschreibung des Standorts, angebliche Ausstattungen und eine Reihe lobender Kommentare hinzufügen. Auf den ersten Blick kann eine solche Anzeige überzeugender aussehen als eine echte, insbesondere wenn die Fotos makellos beleuchtet sind, die Innenräume harmonisch wirken und der Preis günstig genug ist, um eine schnelle Entscheidung anzuregen. Das ist ein Problem für Reisende, aber auch für legitime Plattformen, weil das Vertrauen in digitale Buchungen beschädigt wird, wenn ein Nutzer ein reales Objekt nicht leicht von einem generierten Bild unterscheiden kann. Ein zusätzliches Risiko entsteht, wenn eine gefälschte Anzeige durch bezahlte Werbung oder über Profile beworben wird, die bereits über einen Teil eines Publikums verfügen.
Warnzeichen gibt es dennoch. Wenn eine Unterkunft nur wenige Bewertungen hat, wenn alle in ähnlichem Stil geschrieben sind, wenn konkrete Details zur Umgebung fehlen oder wenn dieselben Fotos keiner realen Adresse zugeordnet werden können, sollte die Buchung zusätzlich überprüft werden. Es ist sinnvoll, das Objekt auf Karten zu suchen, zu prüfen, ob Fotos aus der Straßenansicht existieren, die Beschreibung mit anderen Plattformen zu vergleichen und den offiziellen Kontakt anzurufen, sofern es einen gibt. Wenn der Vermieter darauf besteht, dass die Zahlung außerhalb der Plattform erfolgt, beispielsweise per Banküberweisung oder über eine App zum direkten Geldversand, steigt das Risiko erheblich. Laut FTC stellen Zahlungsaufforderungen per Banküberweisung, Geschenkkarten oder Kryptowährungen bei Reiseangeboten ein typisches Betrugszeichen dar.
Schaden für Reisende und die Tourismusbranche
Der finanzielle Schaden durch Online-Betrug ist breiter als einzelne Fälle verlorener Anzahlungen. Laut FTC-Daten für 2024 meldeten US-Verbraucher mehr als 12,5 Milliarden Dollar an Verlusten im Zusammenhang mit Betrug, was 25 Prozent mehr war als im Vorjahr. In gesonderten Warnungen und Analysen zu Reisebetrug wird angegeben, dass Reisen, Urlaube und Timeshare-Modelle zu den Kategorien gehören, die erhebliche Verluste für Verbraucher verursachen. Das Internet Crime Complaint Center des FBI gab bekannt, dass es 2024 insgesamt 859.532 Meldungen verdächtiger Internetstraftaten erhalten habe und dass die gemeldeten Verluste 16,6 Milliarden Dollar überstiegen. Obwohl sich diese Daten auf ein breiteres Spektrum der Internetkriminalität beziehen, zeigen sie das Ausmaß des Umfelds, in dem auch Reisebetrüger tätig sind.
Für den Tourismussektor bestehen die Folgen nicht nur in direkten Verlusten der Nutzer. Gefälschte Seiten und Identitätsdiebstahl von Marken beschädigen das Vertrauen in Hotels, Fluggesellschaften, Agenturen und Buchungsplattformen. Wenn einem Gast über eine gefälschte Seite, die wie die Seite eines bekannten Hotels aussieht, Geld von der Karte abgebucht wird, kann das Reputationsproblem auch das echte Hotel treffen, obwohl es nicht an dem Betrug beteiligt war. Fachleute für Tourismussicherheit, darunter auch Dr. Peter E. Tarlow, warnen seit Jahren, dass Sicherheit eine der Grundlagen eines nachhaltigen Tourismus ist, und sein Buch sowie seine Facharbeiten verbinden das Gebiet der Tourismussicherheit mit Risikomanagement, Hotellerie, Verkehr und Krisensituationen. In der digitalen Umgebung bezieht sich diese Sicherheit nicht mehr nur auf den physischen Schutz der Gäste, sondern auch auf den Schutz von Daten, Kommunikationskanälen und Buchungsprozessen.
Wie Reisende das Risiko vor der Buchung senken können
Die wichtigste Regel ist, das Angebot vor der Zahlung zu überprüfen, insbesondere wenn der Preis deutlich vom Marktpreis abweicht. Die FTC empfiehlt, den Namen der Seite oder Agentur zusammen mit Begriffen wie Betrug, Bewertung oder Beschwerde zu suchen, weil sich so frühere Warnungen anderer Nutzer finden lassen. Die Adresse der Webseite muss Zeichen für Zeichen überprüft werden, weil Betrüger häufig Domains verwenden, die sich von offiziellen nur durch einen hinzugefügten Buchstaben, Bindestrich, eine Zahl oder eine ungewöhnliche Endung unterscheiden. Bei Hotelbuchungen ist es sinnvoll, die Angaben mit mehreren Quellen zu vergleichen: der offiziellen Webseite des Hotels, einer bekannten Buchungsplattform und Kartendiensten. Bei privaten Unterkünften sollte man vorsichtig sein bei Anzeigen, die keine Bewertungshistorie haben, Luxus zu einem unrealistisch niedrigen Preis anbieten oder Kommunikation außerhalb des Systems verlangen, auf dem die Anzeige veröffentlicht wurde.
Die Zahlungsweise ist häufig der klarste Risikohinweis. Eine Kartenzahlung über eine bekannte und geschützte Plattform bietet in der Regel mehr Möglichkeiten zur Anfechtung einer Transaktion als eine Geldüberweisung an eine unbekannte Person. Die FTC warnt ausdrücklich, dass Reiseangebote, die Banküberweisungen, Geschenkkarten oder Kryptowährungen verlangen, als verdächtig gelten sollten. Auch das FBI rät in breiteren Warnungen zu Cyberbetrug dazu, das Senden von Geld oder digitalen Vermögenswerten an unbekannte Personen zu vermeiden und verdächtige Fälle zu melden. In der Praxis bedeutet das, dass eine Buchung nicht abgeschlossen werden sollte, wenn der Verkäufer Standardzahlungsmethoden ablehnt, den Käufer mit dringenden Fristen unter Druck setzt oder behauptet, dass ein Sonderpreis nur außerhalb der offiziellen Plattform erhältlich sei. Eine vernünftige Verzögerung von wenigen Minuten reicht oft aus, um die Quelle der Nachricht zu überprüfen und einen größeren Verlust zu vermeiden.
Was tun, wenn eine Buchung verdächtig ist
Wenn die Nachricht bereits eingetroffen ist und so wirkt, als käme sie von einem Hotel, einer Agentur oder einer Fluggesellschaft, sollte man vor der Überprüfung nicht über denselben Kanal antworten. Das sicherere Vorgehen ist, die offizielle App oder Webseite zu öffnen und den Buchungsstatus direkt im Nutzerkonto zu prüfen. Wenn im Konto kein Problem sichtbar ist, sollte die Nachricht als mögliches Phishing behandelt werden. Wenn die Zahlung bereits erfolgt ist, sollte man so schnell wie möglich die Bank oder den Kartenaussteller kontaktieren, die Sperrung der Karte verlangen, wenn die Daten auf einer verdächtigen Seite eingegeben wurden, und das Verfahren zur Anfechtung der Transaktion einleiten. Nachrichten, Bestätigungen, Webseitenadressen, Kontonummern und die gesamte Kommunikation sollten aufbewahrt werden, weil diese Daten der Plattform, der Bank oder der Polizei bei der weiteren Bearbeitung helfen können.
Der Betrug sollte auch der Plattform gemeldet werden, auf der sich die Anzeige befand, dem echten Hotel oder der Fluggesellschaft, deren Identität missbraucht wurde, sowie den zuständigen Stellen für die Meldung von Cyberkriminalität oder Verbraucherschutz. Die FTC verweist Verbraucher in den USA auf ReportFraud.ftc.gov, während das FBI für Internetbetrug IC3.gov verwendet. In anderen Staaten wird die Meldung bei der zuständigen Polizei, dem nationalen Zentrum für Cybersicherheit oder der Verbraucherschutzinstitution eingereicht. Eine schnelle Meldung ist wichtig, weil gefälschte Domains und Profile häufig gelöscht werden und unter anderen Namen wieder auftauchen. Je mehr Daten verfügbar sind, desto größer ist die Möglichkeit, andere Nutzer zu warnen und den Schaden zu begrenzen.
Tourismussicherheit wird auch zu einer Frage digitaler Kompetenz
Der Anstieg der Betrugsmaschen bedeutet nicht, dass Online-Buchungen an sich unsicher sind, sondern dass sie mit mehr Überprüfung genutzt werden müssen als früher. Echte Hotels, Fluggesellschaften und Plattformen investieren in Sicherheitssysteme, aber Angreifer nutzen Momente aus, in denen sich der Reisende außerhalb seiner üblichen Routine befindet: Er eilt zu einem Flug, sucht das letzte freie Zimmer oder fürchtet, einen bereits bezahlten Urlaub zu verlieren. Deshalb sind die gefährlichsten Aufforderungen jene, die Dringlichkeit, eine bekannte Marke und eine finanzielle Handlung verbinden. Laut verfügbaren Sicherheitswarnungen werden Betrüger immer häufiger künstliche Intelligenz einsetzen, um früher leicht erkennbare Betrugszeichen zu beseitigen, von schlechter Grammatik bis zu unglaubwürdigen Bildern. Die Verteidigung läuft daher immer stärker auf eine einfache, aber konsequente Regel hinaus: einer Nachricht nicht nur deshalb zu vertrauen, weil sie professionell aussieht, sondern Quelle, Kanal und Zahlungsweise zu überprüfen, bevor Daten eingegeben oder Geld gesendet wird.
Quellen:
- Federal Trade Commission – Tipps zum Erkennen gefälschter Reiseseiten, Phishing-Nachrichten und verdächtiger Zahlungsmethoden (Link)
- Federal Trade Commission – allgemeiner Leitfaden zur Vermeidung von Betrug bei Reisen und Buchungen (Link)
- Federal Trade Commission – Daten des Consumer Sentinel Network zu gemeldeten Betrugsverlusten im Jahr 2024 (Link)
- FBI Internet Crime Complaint Center – Bericht über Internetkriminalität für 2024 und gemeldete Verluste (Link)
- Cyber Security News – Analyse einer Phishing-Kampagne mit mehr als 4300 gefälschten Domains, die Reisemarken imitieren (Link)
- Help Net Security – Überblick über KI-generierte Fotos, gefälschte Anzeigen und Bewertungen bei Reisebetrug (Link)
- ScienceDirect / Elsevier – Beschreibung des Buches Tourism Security von Peter E. Tarlow und des Bereichs Tourismussicherheit (Link)