{"id":483172,"date":"2025-10-08T18:05:13","date_gmt":"2025-10-08T18:05:13","guid":{"rendered":"https:\/\/www.europesays.com\/de\/483172\/"},"modified":"2025-10-08T18:05:13","modified_gmt":"2025-10-08T18:05:13","slug":"datenleck-bei-hotelsoftware-tagesschau-de","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/483172\/","title":{"rendered":"Datenleck bei Hotelsoftware | tagesschau.de"},"content":{"rendered":"

exklusiv<\/strong><\/p>\n

Stand: 08.10.2025 18:00 Uhr<\/p>\n

\n Namen, Ausweis- und Kreditkartendetails: Wegen Sicherheitsl\u00fccken in einer Hotelbuchungssoftware waren offenbar Millionen G\u00e4stedaten online abrufbar. Sicherheitsforscherinnen sprechen von einfachen Fehlern mit schwerwiegenden Auswirkungen.<\/strong>\n <\/p>\n

Von Ciara Cesaro-Tadic, Svea Eckert, NDR und Palina Milling, WDR\n <\/p>\n

„Bitte ruhiges Zimmer, nicht an den Fahrst\u00fchlen“, so lautet der Kommentar in der Zimmerreservierung eines Motel One<\/a> am Hackeschen Markt in Berlin, gebucht f\u00fcr einen Bundestagsabgeordneten der CDU. Betroffen sind auch die Daten des Abgeordneten Ralf Stegner (SPD).<\/p>\n

Ohne gr\u00f6\u00dferen Aufwand konnte man Details seiner Hotelbuchung am 22. September 2025 in Berlin online abrufen – inklusive seiner Privatadresse. Auf Anfrage sagt der Politiker, die Sicherheit pers\u00f6nlicher Daten m\u00fcsse ernster genommen werden. \u00c4hnlich reagiert die CDU-Abgeordnete und Vorsitzende des Tourismusausschusses Anja Karliczek, deren Daten ebenfalls einsehbar waren. Sie nennt den Vorfall einen „beunruhigenden Vorgang“, der aufgekl\u00e4rt werden m\u00fcsse.<\/p>\n

Grund f\u00fcr das Datenleck waren mehrere Sicherheitsl\u00fccken bei einem Anbieter f\u00fcr Hotelverwaltungssoftware. NDR, WDR und S\u00fcddeutsche Zeitung (SZ) konnten die Schwachstellen nachvollziehen und stichprobenartig \u00fcberpr\u00fcfen.<\/p>\n

Jugendherbergen und Motel One betroffen<\/p>\n

Von der Sicherheitsl\u00fccke betroffen sind nicht nur einzelne Hotels, sondern die Buchungen ganzer Ketten in Deutschland. Darunter finden sich alle DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz, dem Saarland und am Berliner Ostkreuz. Au\u00dferdem 50 Hotels der Kette Motel One. Die Hotelkette war bereits 2023 Ziel eines Hackerangriffs, damals tauchten Datens\u00e4tze im Darknet auf.<\/p>\n

Die Verb\u00e4nde der betroffenen Jugendherbergen best\u00e4tigten die Sicherheitsl\u00fccke, die ihnen vom Anbieter gemeldet worden sei. Es gebe allerdings „keinerlei Anhaltspunkte auf unberechtigte Zugriffe oder Datenabfl\u00fcsse“, teilten sie mit. Man sch\u00e4tze das Risiko f\u00fcr die G\u00e4ste als gering ein, deshalb werde man Betroffene nicht einzeln informieren, hei\u00dft es von den Jugendherbergen Rheinland-Pfalz und dem Saarland.<\/p>\n

Vom Jugendherbergsverband in Mecklenburg-Vorpommern hei\u00dft es, es handle sich bei Ihnen nur um Namens- und Adressdaten und um eine kleine Menge von G\u00e4sten, die man umgehend informiert habe. Das widerspricht allerdings den Ergebnissen des IT-Sicherheitskollektivs „Zerforschung“. Es gibt an, dass weitaus umfangreichere Daten abrufbar gewesen w\u00e4ren.<\/p>\n

Der M\u00fcnchner Hotelkonzern Motel One wandte sich inzwischen mit einer Pressemitteilung an die \u00d6ffentlichkeit, dass der Vorfall untersucht werde. Es sei kein Missbrauch der Daten bekannt und die Daten seien nach derzeitigem Stand nicht an die \u00d6ffentlichkeit gelangt. Motel One befinde sich derzeit im Prozess, die betroffenen G\u00e4ste zu kontaktieren.<\/p>\n

Offenbar Millionen Datens\u00e4tze leicht abrufbar<\/p>\n

Gefunden hat die L\u00fccken das IT-Kollektiv „Zerforschung“, deren ehrenamtliche Mitglieder immer wieder digitale Systeme auf Schwachstellen pr\u00fcfen und diese dann den Herstellern melden, damit sie geschlossen werden k\u00f6nnen. Gerade bei Hotels fanden die IT-Sicherheitsaktivisten in der j\u00fcngeren Vergangenheit schon mehrfach Sicherheitsl\u00fccken: „\u00dcber diese Schnittstellen w\u00e4ren Millionen Datens\u00e4tze abrufbar gewesen – Name, wann ich gebucht habe, Adresse, Telefonnummer, teilweise Ausweisnummern oder die letzten vier Ziffern der Kreditkarte“, sagt Kara von Zerforschung.<\/p>\n

Teilweise h\u00e4tten betroffene Buchungen zwanzig Jahre zur\u00fcck gelegen. Betroffen sein k\u00f6nnten nach Sch\u00e4tzung von „Zerforschung\u201d insgesamt rund 50 Millionen G\u00e4steprofile und mehr als 30 Millionen Reservierungen bei zahlreichen Hotels und anderen Unterk\u00fcnften. Der Anbieter der Software – die Gubse AG aus Schiffweiler – trifft keine Aussage zur Menge der betroffenen G\u00e4stebuchungen und gibt an, es habe keinen generell ungesch\u00fctzten Zustand gegeben.<\/p>\n

Hochsensible Informationen<\/p>\n

Wie gef\u00e4hrlich es sein kann, wenn solche Informationen ungesch\u00fctzt im Netz abrufbar sind, erkl\u00e4rt Jiska Classen, IT-Sicherheitsforscherin vom Hasso-Plattner-Institut: „F\u00fcr viele ist das eine hochsensible Information, etwa f\u00fcr Politikerinnen, Gesch\u00e4ftsleute oder Menschen mit Gesch\u00e4ftsgeheimnissen. Solche Datens\u00e4tze haben deshalb auch auf dem Schwarzmarkt einen Wert – etwa, weil sich damit gezielt Werbung oder Phishing betreiben l\u00e4sst.“ IT-Sicherheitsforscherin Jiska Classen zieht ein n\u00fcchternes Fazit: „Es passieren mal Fehler, aber hier deutet alles auf systematische Probleme in den Softwarekomponenten hin.“<\/p>\n

Die Sicherheitsl\u00fccken w\u00e4ren sehr leicht ausnutzbar gewesen, geh\u00f6rten zu den „Top Ten“, der am bekanntesten Schwachstellen in Webanwendungen weltweit. Das Unternehmen h\u00e4tte sie leicht beheben k\u00f6nnen: „Triviale Fehler in der Software mit schwerwiegenden Folgen“, res\u00fcmiert die Wissenschaftlerin.<\/p>\n

Der Softwareanbieter Gubse AG widerspricht dieser Einsch\u00e4tzung. F\u00fcr eine Ausnutzung der L\u00fccken seien tiefgehende technische Kenntnisse erforderlich gewesen, teilt die Firma auf Anfrage mit.<\/p>\n

Hersteller wirbt mit „h\u00f6chster Datensicherheit“<\/p>\n

Die fehlerhafte Buchungssoftware stammte von einem mittelst\u00e4ndischen IT-Dienstleister aus dem saarl\u00e4ndischen Schiffweiler. Die Gubse AG bietet eine Hotel- und Buchungssuite an, \u00fcber die Reservierungen, Check-ins und Zahlungen der Hotels laufen. Auf der Webseite verspricht das Unternehmen: „Datensicherheit hat h\u00f6chste Priorit\u00e4t.“<\/p>\n

Tats\u00e4chlich aber h\u00e4tten wenige Klicks ausgereicht, um sensible Daten abzufragen, sagt das IT-Kollektiv „Zerforschung“: „Eigentlich sollte man mit Reservierungsnummer und Nachnamen nur die eigene Buchung sehen k\u00f6nnen. Stattdessen konnte man einfach ein Datum eingeben und bekam alle Reservierungen dieses Tages im Hotel. Das war, als w\u00fcrde man an der Rezeption sagen: ‚Ich checke heute ein‘ und zur Antwort den gesamten Ordner mit allen Buchungen erhalten“, erkl\u00e4rt Kara von „Zerforschung“ eine der gefundenen L\u00fccken. Das gelte auch, wenn G\u00e4ste zum Beispiel \u00fcber beliebte Buchungsportale gebucht h\u00e4tten.<\/p>\n

Der Hersteller betont auf Anfrage, dass es keinen unbefugten Zugriff und keinen Abfluss personenbezogener Daten gegeben habe. Zudem sei die IT-Struktur zuvor von einem externen Auditor \u00fcberpr\u00fcft worden, der keine Sicherheitsbedenken gehabt habe.<\/p>\n

Die Gubse AG bedauere den Vorfall und verstehe ihn „als Ansporn, die technische Qualit\u00e4t und Sicherheit ihrer Systeme weiter zu optimieren und dauerhaft auf einem hohen Niveau zu gew\u00e4hrleisten.“<\/p>\n

Hersteller und Beh\u00f6rden reagieren<\/p>\n

Nach Recherchen von NDR, WDR und SZ hat der Hersteller die L\u00fccken geschlossen, nachdem er von „Zerforschung“ dar\u00fcber informiert wurde. Auch hat er nach eigenen Angaben\u00a0zust\u00e4ndige Datenschutzbeh\u00f6rde im Saarland am 12. September 2025 informiert und betroffene Kunden informiert. Die verantwortliche Datenschutzbeh\u00f6rde im Saarland gibt an, den Vorfall zu untersuchen. Weitere Datenschutzbeh\u00f6rden in den Bundesl\u00e4ndern mit betroffenen Einrichtungen wurden nicht informiert.<\/p>\n

Die neuen Sicherheitsl\u00fccken reihen sich ein in zahlreiche Vorkommnisse, in denen Nutzerdaten abflie\u00dfen konnten oder leicht von au\u00dfen zug\u00e4nglich waren, mehrfach in der Hotellerie. F\u00fcr Hotelg\u00e4ste gilt deshalb auch, auf die eigenen Daten zu achten. Diese k\u00f6nne man auch bei einzelnen Einrichtungen l\u00f6schen lassen, r\u00e4t etwa die Verbraucherzentrale. Seit 2025 m\u00fcssen deutsche Staatsb\u00fcrger ihre Adresse beim Einchecken im Hotel au\u00dferdem nicht mehr angeben.<\/p>\n","protected":false},"excerpt":{"rendered":"exklusiv Stand: 08.10.2025 18:00 Uhr Namen, Ausweis- und Kreditkartendetails: Wegen Sicherheitsl\u00fccken in einer Hotelbuchungssoftware waren offenbar Millionen G\u00e4stedaten…\n","protected":false},"author":2,"featured_media":483173,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[134],"tags":[175,170,169,5398,29,30,6306,171,174,32120,173,172],"class_list":{"0":"post-483172","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-unternehmen-maerkte","8":"tag-business","9":"tag-companies","10":"tag-companies-markets","11":"tag-daten","12":"tag-deutschland","13":"tag-germany","14":"tag-hotel","15":"tag-markets","16":"tag-maerkte","17":"tag-sicherheitsluecke","18":"tag-unternehmen","19":"tag-unternehmen-maerkte"},"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/483172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=483172"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/483172\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/483173"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=483172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=483172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=483172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}