Thought Leadership
Hacker hatten über sechs Monate durch ein Datenleck unbemerkten Zugriff auf Reservierungssysteme von BWH Hotels. Betroffen sind zahlreiche Hotelgäste weltweit.
Die Hotelgruppe BWH Hotels hat einen langwierigen Sicherheitsvorfall in ihrer IT-Infrastruktur eingeräumt. Wie das Unternehmen bekannt gab, erhielten unbefugte Akteure über einen Zeitraum von mehr als einem halben Jahr Zugriff auf eine spezifische Webanwendung, in der Reservierungsdaten von Gästen gespeichert waren. BWH Hotels fungiert als Dachorganisation für mehr als 4.000 Beherbergungsbetriebe weltweit und umfasst namhafte Marken wie WorldHotels, Best Western Hotels & Resorts sowie SureStay Hotels. Der Vorfall unterstreicht die anhaltenden Risiken für die globale Reisebranche durch gezielte Cyberangriffe auf Kundendatenbanken.
Hacker waren 190 Tage in System von BWH Hotels
Die Analyse der Logdateien durch Sicherheitsexperten ergab, dass der unbefugte Zugriff bereits am 14. Oktober 2025 begann. Die Angreifer konnten sich somit über 190 Tage lang unbemerkt in dem betroffenen System bewegen. Die Entdeckung des Vorfalls erfolgte laut Unternehmensangaben erst am 22. April 2026 im Rahmen routinemäßiger Sicherheitsüberprüfungen. Unmittelbar nach der Identifizierung der ungewöhnlichen Aktivitäten wurde die kompromittierte Webanwendung vom Netz genommen, um weiteren Datenabfluss zu verhindern.
Nach derzeitigem Stand der Ermittlungen konzentrierten sich die Angreifer auf eine Webanwendung, die für die Verwaltung bestimmter Gästereservierungen zuständig war. In diesem System waren personenbezogene Informationen hinterlegt, die für die Buchungsabwicklung notwendig sind. Dazu gehören die vollständigen Namen der Gäste, E-Mail-Adressen, Telefonnummern sowie spezifische Details zur jeweiligen Reservierung, wie etwa der Aufenthaltszeitraum und das gebuchte Hotel.
Ein wesentlicher Aspekt der Schadensbegrenzung liegt in der Architektur der IT-Systeme von BWH Hotels. Das Unternehmen stellte klar, dass Zahlungsdaten sowie andere sensible Finanzinformationen nicht in der betroffenen Anwendung gespeichert waren. Kreditkartendaten oder Bankverbindungen wurden somit nach aktuellem Kenntnisstand nicht durch diesen spezifischen Vorfall kompromittiert. Diese Daten werden bei BWH Hotels in getrennten, gesondert gesicherten Systemen verarbeitet.
Daten noch nicht geleakt
BWH Hotels hat nach der Entdeckung externe Cybersicherheitsexperten hinzugezogen, um den Vorfall forensisch aufzuarbeiten. Die Untersuchung zielt darauf ab, die genaue Methodik der Angreifer zu verstehen und sicherzustellen, dass keine weiteren Schwachstellen in der betroffenen Anwendung oder angrenzenden Systemen bestehen. Parallel dazu wurde mit der Benachrichtigung der betroffenen Gäste begonnen, deren Daten in der Anwendung verzeichnet waren.
Bisher hat keine bekannte kriminelle Gruppierung die Verantwortung für den Angriff übernommen. Auch wurden die gestohlenen Daten bislang nicht auf einschlägigen Leak-Plattformen im Darknet gesichtet. Dies deutet darauf hin, dass die Daten möglicherweise für spätere, gezielte Social-Engineering-Angriffe vorgehalten oder in kleineren Kreisen gehandelt werden. Die genaue Anzahl der betroffenen Personen wurde von BWH Hotels bislang nicht öffentlich beziffert.
Gefahren für Hotelgäste durch Social Engineering
Sicherheitsexperten warnen davor, dass Buchungsdaten für Kriminelle einen hohen Wert besitzen, auch wenn keine Kreditkartendaten enthalten sind. Die Kombination aus Name, Aufenthaltsort und Datum ermöglicht es Angreifern, extrem glaubwürdige Phishing-Kampagnen zu erstellen. Ein Gast könnte beispielsweise eine E-Mail erhalten, die sich auf seinen tatsächlichen Aufenthalt in einem Best Western Hotel bezieht und unter einem Vorwand, etwa einer angeblichen Rückerstattung oder einer fehlerhaften Rechnung, zur Preisgabe weiterer Daten oder zum Download von Schadsoftware auffordert.
Da der Zugriff über sechs Monate bestand, verfügen die Angreifer über einen umfangreichen historischen Datensatz. Dies ermöglicht es ihnen, auch Personen zu kontaktieren, deren Aufenthalt bereits Wochen oder Monate zurückliegt. BWH Hotels empfiehlt seinen Gästen daher eine erhöhte Wachsamkeit bei unaufgeforderten E-Mails oder Telefonanrufen, die Bezug auf Hotelbuchungen nehmen.
Die Relevanz des Vorfalls ergibt sich aus der Größe des Unternehmens. BWH Hotels ist ein global agierendes Netzwerk mit Präsenz in rund 100 Ländern. Die Kernmarke Best Western Hotels & Resorts allein umfasst tausende Betriebe im Mittelklasse-Segment. Durch die Integration von WorldHotels im Luxussegment und SureStay im Budgetbereich deckt der Konzern die gesamte Breite des Beherbergungsmarktes ab. Die betroffene Webanwendung diente als Schnittstelle für verschiedene Buchungskanäle, weshalb Gäste unterschiedlicher Marken betroffen sein können.
Empfehlungen für Reisende und Kunden nach Datenleck
Der Vorfall reiht sich ein in eine Serie von Datenlecks in der Hotelbranche, die aufgrund der hohen Fluktuation und der Vielzahl an digitalen Schnittstellen ein attraktives Ziel für Cyberkriminelle darstellt. Die lange Verweildauer der Hacker im System von BWH Hotels zeigt zudem die Schwierigkeit auf, moderne, persistente Bedrohungen in komplexen Cloud-Umgebungen zeitnah zu detektieren.
Kunden, die im Zeitraum zwischen Oktober 2025 und April 2026 Buchungen bei Marken der BWH-Gruppe vorgenommen haben, sollten ihre Kommunikation aufmerksam prüfen. Offizielle Anfragen von Hotels fordern in der Regel niemals zur Übermittlung von Passwörtern oder vollständigen Kreditkartendaten per E-Mail auf. Es wird empfohlen, bei Zweifeln direkt Kontakt mit dem jeweiligen Hotel oder der offiziellen Kundenhotline aufzunehmen, statt auf Links in E-Mails zu klicken.
BWH Hotels hat angekündigt, die Sicherheitsmechanismen für seine Webanwendungen weiter zu verschärfen, um künftige unbefugte Zugriffe zu verhindern. Die Behörden wurden über den Datendiebstahl informiert, und die Ermittlungen dauern an.
