exklusiv
Namen, Ausweis- und Kreditkartendetails: Wegen Sicherheitslücken in einer Hotelbuchungssoftware waren offenbar Millionen Gästedaten online abrufbar. Sicherheitsforscherinnen sprechen von einfachen Fehlern mit schwerwiegenden Auswirkungen.
Von Ciara Cesaro-Tadic, Svea Eckert, NDR und Palina Milling, WDR
„Bitte ruhiges Zimmer, nicht an den Fahrstühlen“, so lautet der Kommentar in der Zimmerreservierung eines Motel One am Hackeschen Markt in Berlin, gebucht für einen Bundestagsabgeordneten der CDU. Betroffen sind auch die Daten des Abgeordneten Ralf Stegner (SPD).
Ohne größeren Aufwand konnte man Details seiner Hotelbuchung am 22. September 2025 in Berlin online abrufen – inklusive seiner Privatadresse. Auf Anfrage sagt der Politiker, die Sicherheit persönlicher Daten müsse ernster genommen werden. Ähnlich reagiert die CDU-Abgeordnete und Vorsitzende des Tourismusausschusses Anja Karliczek, deren Daten ebenfalls einsehbar waren. Sie nennt den Vorfall einen „beunruhigenden Vorgang“, der aufgeklärt werden müsse.
Grund für das Datenleck waren mehrere Sicherheitslücken bei einem Anbieter für Hotelverwaltungssoftware. NDR, WDR und Süddeutsche Zeitung (SZ) konnten die Schwachstellen nachvollziehen und stichprobenartig überprüfen.
Jugendherbergen und Motel One betroffen
Von der Sicherheitslücke betroffen sind nicht nur einzelne Hotels, sondern die Buchungen ganzer Ketten in Deutschland. Darunter finden sich alle DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz, dem Saarland und am Berliner Ostkreuz. Außerdem 50 Hotels der Kette Motel One. Die Hotelkette war bereits 2023 Ziel eines Hackerangriffs, damals tauchten Datensätze im Darknet auf.
Die Verbände der betroffenen Jugendherbergen bestätigten die Sicherheitslücke, die ihnen vom Anbieter gemeldet worden sei. Es gebe allerdings „keinerlei Anhaltspunkte auf unberechtigte Zugriffe oder Datenabflüsse“, teilten sie mit. Man schätze das Risiko für die Gäste als gering ein, deshalb werde man Betroffene nicht einzeln informieren, heißt es von den Jugendherbergen Rheinland-Pfalz und dem Saarland.
Vom Jugendherbergsverband in Mecklenburg-Vorpommern heißt es, es handle sich bei Ihnen nur um Namens- und Adressdaten und um eine kleine Menge von Gästen, die man umgehend informiert habe. Das widerspricht allerdings den Ergebnissen des IT-Sicherheitskollektivs „Zerforschung“. Es gibt an, dass weitaus umfangreichere Daten abrufbar gewesen wären.
Der Münchner Hotelkonzern Motel One wandte sich inzwischen mit einer Pressemitteilung an die Öffentlichkeit, dass der Vorfall untersucht werde. Es sei kein Missbrauch der Daten bekannt und die Daten seien nach derzeitigem Stand nicht an die Öffentlichkeit gelangt. Motel One befinde sich derzeit im Prozess, die betroffenen Gäste zu kontaktieren.
Offenbar Millionen Datensätze leicht abrufbar
Gefunden hat die Lücken das IT-Kollektiv „Zerforschung“, deren ehrenamtliche Mitglieder immer wieder digitale Systeme auf Schwachstellen prüfen und diese dann den Herstellern melden, damit sie geschlossen werden können. Gerade bei Hotels fanden die IT-Sicherheitsaktivisten in der jüngeren Vergangenheit schon mehrfach Sicherheitslücken: „Über diese Schnittstellen wären Millionen Datensätze abrufbar gewesen – Name, wann ich gebucht habe, Adresse, Telefonnummer, teilweise Ausweisnummern oder die letzten vier Ziffern der Kreditkarte“, sagt Kara von Zerforschung.
Teilweise hätten betroffene Buchungen zwanzig Jahre zurück gelegen. Betroffen sein könnten nach Schätzung von „Zerforschung” insgesamt rund 50 Millionen Gästeprofile und mehr als 30 Millionen Reservierungen bei zahlreichen Hotels und anderen Unterkünften. Der Anbieter der Software – die Gubse AG aus Schiffweiler – trifft keine Aussage zur Menge der betroffenen Gästebuchungen und gibt an, es habe keinen generell ungeschützten Zustand gegeben.
Hochsensible Informationen
Wie gefährlich es sein kann, wenn solche Informationen ungeschützt im Netz abrufbar sind, erklärt Jiska Classen, IT-Sicherheitsforscherin vom Hasso-Plattner-Institut: „Für viele ist das eine hochsensible Information, etwa für Politikerinnen, Geschäftsleute oder Menschen mit Geschäftsgeheimnissen. Solche Datensätze haben deshalb auch auf dem Schwarzmarkt einen Wert – etwa, weil sich damit gezielt Werbung oder Phishing betreiben lässt.“ IT-Sicherheitsforscherin Jiska Classen zieht ein nüchternes Fazit: „Es passieren mal Fehler, aber hier deutet alles auf systematische Probleme in den Softwarekomponenten hin.“
Die Sicherheitslücken wären sehr leicht ausnutzbar gewesen, gehörten zu den „Top Ten“, der am bekanntesten Schwachstellen in Webanwendungen weltweit. Das Unternehmen hätte sie leicht beheben können: „Triviale Fehler in der Software mit schwerwiegenden Folgen“, resümiert die Wissenschaftlerin.
Der Softwareanbieter Gubse AG widerspricht dieser Einschätzung. Für eine Ausnutzung der Lücken seien tiefgehende technische Kenntnisse erforderlich gewesen, teilt die Firma auf Anfrage mit.
Hersteller wirbt mit „höchster Datensicherheit“
Die fehlerhafte Buchungssoftware stammte von einem mittelständischen IT-Dienstleister aus dem saarländischen Schiffweiler. Die Gubse AG bietet eine Hotel- und Buchungssuite an, über die Reservierungen, Check-ins und Zahlungen der Hotels laufen. Auf der Webseite verspricht das Unternehmen: „Datensicherheit hat höchste Priorität.“
Tatsächlich aber hätten wenige Klicks ausgereicht, um sensible Daten abzufragen, sagt das IT-Kollektiv „Zerforschung“: „Eigentlich sollte man mit Reservierungsnummer und Nachnamen nur die eigene Buchung sehen können. Stattdessen konnte man einfach ein Datum eingeben und bekam alle Reservierungen dieses Tages im Hotel. Das war, als würde man an der Rezeption sagen: ‚Ich checke heute ein‘ und zur Antwort den gesamten Ordner mit allen Buchungen erhalten“, erklärt Kara von „Zerforschung“ eine der gefundenen Lücken. Das gelte auch, wenn Gäste zum Beispiel über beliebte Buchungsportale gebucht hätten.
Der Hersteller betont auf Anfrage, dass es keinen unbefugten Zugriff und keinen Abfluss personenbezogener Daten gegeben habe. Zudem sei die IT-Struktur zuvor von einem externen Auditor überprüft worden, der keine Sicherheitsbedenken gehabt habe.
Die Gubse AG bedauere den Vorfall und verstehe ihn „als Ansporn, die technische Qualität und Sicherheit ihrer Systeme weiter zu optimieren und dauerhaft auf einem hohen Niveau zu gewährleisten.“
Hersteller und Behörden reagieren
Nach Recherchen von NDR, WDR und SZ hat der Hersteller die Lücken geschlossen, nachdem er von „Zerforschung“ darüber informiert wurde. Auch hat er nach eigenen Angaben zuständige Datenschutzbehörde im Saarland am 12. September 2025 informiert und betroffene Kunden informiert. Die verantwortliche Datenschutzbehörde im Saarland gibt an, den Vorfall zu untersuchen. Weitere Datenschutzbehörden in den Bundesländern mit betroffenen Einrichtungen wurden nicht informiert.
Die neuen Sicherheitslücken reihen sich ein in zahlreiche Vorkommnisse, in denen Nutzerdaten abfließen konnten oder leicht von außen zugänglich waren, mehrfach in der Hotellerie. Für Hotelgäste gilt deshalb auch, auf die eigenen Daten zu achten. Diese könne man auch bei einzelnen Einrichtungen löschen lassen, rät etwa die Verbraucherzentrale. Seit 2025 müssen deutsche Staatsbürger ihre Adresse beim Einchecken im Hotel außerdem nicht mehr angeben.