Hotels und Jugendherbergen betroffen: Millionen Gästedaten wegen Software-Fehler online abrufbar

Aufgrund mehrerer Sicherheitslücken in einer Buchungsplattform waren Gästedaten zahlreicher deutscher Hotels und Jugendherbergen zeitweise ohne großen Aufwand online einsehbar. Der Software-Anbieter hat die Schwachstellen inzwischen behoben, bewertet die Vorfälle jedoch teilweise anders als die beteiligten Sicherheitsforscher.

Viele Einrichtungen betroffen

Auf das Sicherheitsproblem aufmerksam gemacht hatte das IT-Sicherheitskollektiv „Zerforschung“. Nach Angaben der ehrenamtlich tätigen Experten sollen über die Lücken Millionen Datensätze abrufbar gewesen sein, darunter Namen, Privatadressen, Ausweis- und Kreditkartendaten sowie Anmerkungen zu individuellen Kundenwünschen. Betroffen waren demnach unter anderem rund 50 Häuser des Hotelkonzerns „Motel One“, weitere Ketten wie „Fidelis“ und „GSH“, sämtliche DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz, dem Saarland und am Berliner Ostkreuz sowie Einrichtungen der Arbeiterwohlfahrtstochter AWO SANO und des DeHoGa-Campus. Bereits 2023 war es bei Motel One zu Sicherheitsproblemen gekommen, als Angreifer umfangreiche Datensätze entwendeten, die später im Darknet auftauchten.

Laut einer Mitteilung des Kollektivs sollen die einsehbaren Datensätze teilweise bis Anfang der 2000er-Jahre zurückreichen. Nach Schätzungen der Experten könnten über 48 Millionen Profile und mehr als 35 Millionen Reservierungen betroffen gewesen sein, wobei der größte Anteil mit rund 30 Millionen Reservierungen und 40 Millionen Gästeprofilen auf Motel One entfalle.

Bekannte und leicht verhinderbare Lücken

Wie Jiska Classen, IT-Sicherheitsforscherin am Hasso-Plattner-Institut, gegenüber der Tagesschau erklärte, gehören die zugrunde liegenden Sicherheitslücken zu den weltweit „Top Ten“ der bekannten Schwachstellen in Web-Anwendungen und wären entsprechend leicht auszunutzen, aber ebenso leicht zu verhindern gewesen. „Es passieren mal Fehler, aber hier deutet alles auf systematische Probleme in den Software-Komponenten hin“, so die Expertin.

Hersteller widerspricht teilweise

Die Gubse AG, Anbieter der betroffenen Plattform „SIHOT.WEB“ und der zugehörigen App „SIHOT.GO“, machte keine Angaben zur Zahl der betroffenen Gästebuchungen. In einer Stellungnahme erklärte das Unternehmen, es habe „keinen generell ungeschützten Zustand“ gegeben und betonte, dass kein unbefugter Zugriff oder Abfluss personenbezogener Daten erfolgt sei. Zudem widersprach der Hersteller der Einschätzung zur Unsicherheit des Systems und erklärte, für eine Ausnutzung der Lücken seien „tiefgehende technische Kenntnisse erforderlich gewesen“. Die IT-Struktur sei zuvor von einem externen Auditor ohne Beanstandungen überprüft worden.

Sicherheitsexperten widersprechen dem Widerspruch

Dem hält Zerforschung entgegen, dass für den Zugriff auf sensible Daten nur wenige Klicks erforderlich gewesen seien. Statt einer eigenen Reservierungsnummer und des Nachnamens habe es genügt, ein beliebiges Datum einzugeben, um sämtliche Buchungen des betreffenden Tages angezeigt zu bekommen.

Das ist in etwa so, als würden wir an der Hotel-Rezeption statt unserem Namen einfach selbstbewusst »Ich übernachte heute hier!« sagen und als Antwort bekämen wir einen großen Aktenordner mit allen Buchungen von heute. »Suchen sie sich kurz selbst Ihre Buchung raus, ja?«

Zerforschung

Nach Angaben der Forscher habe ein grundlegendes technisches Verständnis ausgereicht, um auf sämtliche im System gespeicherten Daten zuzugreifen. Dies habe nicht nur direkt über die Plattform getätigte Buchungen betroffen, sondern auch Reservierungen über Drittanbieter und Portale wie Expedia, Booking.com oder andere Reiseagenturen. In Jugendherbergen in Rheinland-Pfalz, dem Saarland und am Berliner Ostkreuz hatte über eine weitere Schwachstelle lediglich eine SQL-Injection ausgereicht, um sich als Admin Zugang zum System zu verschaffen.

Keine Datenabflüsse vermutet

Nach der Meldung des Vorfalls durch den Software-Betreiber bestätigten die Jugendherbergsverbände die Sicherheitsprobleme, erklärten jedoch, es gebe „keinerlei Anhaltspunkte auf unberechtigte Zugriffe oder Datenabflüsse“. Die Jugendherbergen in Rheinland-Pfalz und im Saarland stuften das Risiko für Gäste als gering ein und verzichteten daher auf eine individuelle Benachrichtigung. Der Verband in Mecklenburg-Vorpommern erklärte, betroffen seien lediglich Namens- und Adressdaten einer kleinen Zahl von Gästen, während Zerforschung von deutlich umfangreicheren Datensätzen ausgeht.

Auch der Münchner Hotelkonzern Motel One veröffentlichte eine Stellungnahme, in der er über den Vorfall informiert. Derzeit werde untersucht, ob Daten tatsächlich an Dritte gelangt seien. Nach bisherigen Erkenntnissen gebe es dafür keine Hinweise, auch ein Missbrauch sei bislang nicht festgestellt worden. Die betroffenen Gäste sollen zeitnah kontaktiert werden.

Lücke geschlossen, Behörden informiert

Nach Recherchen von NDR, SZ und WDR hat die Gubse AG die Sicherheitslücken inzwischen behoben und am 12. September 2025 die zuständigen Datenschutzbehörden im Saarland und weiteren Bundesländern sowie betroffene Kunden über den Vorfall informiert.

Die Redaktion dankt Community-Mitglied FrAGgi für den Hinweis zu dieser Meldung.