Datenleck bei Hotelsoftware

exklusiv

Stand: 08.10.2025 18:00 Uhr

Namen, Ausweis- und Kreditkartendaten: Aufgrund von Sicherheitslücken in Hotelbuchungssoftware waren offenbar Millionen von Gästedaten online verfügbar. Sicherheitsforscher sprechen von einfachen Fehlern mit schwerwiegenden Auswirkungen.

Von Ciara Cesaro-Tadic, Svea Eckert, NDR und Palina Milling, WDR

„Bitte ruhige Zimmer, nicht auf den Aufzügen“, heißt es in der Zimmerreservierung eines Motel One am Hackeschen Markt in Berlin, gebucht für einen CDU-Bundestagsabgeordneten. Betroffen sind auch die Daten des Abgeordneten Ralf Stegner (SPD).

Ohne Aufwand konnten die Details seiner Hotelbuchung am 22. September 2025 in Berlin online abgerufen werden – inklusive seiner Privatadresse. Auf Anfrage sagt der Politiker, dass die Sicherheit personenbezogener Daten ernster genommen werden müsse. Ähnlich reagiert die CDU-Abgeordnete und Vorsitzende des Tourismusausschusses Anja Karliczek, deren Daten ebenfalls einsehbar waren. Sie nennt den Vorfall einen „beunruhigenden Vorgang“, über den informiert werden müsse.

Grund für das Datenleck waren mehrere Sicherheitslücken bei einem Anbieter von Hotelmanagement-Software. NDR,, WDR und Süddeutsche Zeitung (SZ) konnten die Schwachstellen nachvollziehen und stichprobenartig überprüfen.

Jugendherbergen und Motel One betroffen

Von der Sicherheitslücke sind nicht nur einzelne Hotels betroffen, sondern die Buchungen ganzer Ketten in Deutschland. Darunter sind alle DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz, im Saarland und am Berliner Ostkreuz. Darüber hinaus 50 Hotels der Motel One-Kette. Die Hotelkette war bereits im Jahr 2023 Ziel eines Hackerangriffs, damals tauchten Datentarife im Darknet auf.

Die Verbände der betroffenen Jugendherbergen bestätigten die ihnen vom Anbieter gemeldete Sicherheitslücke. Es gebe jedoch „keine Hinweise auf unberechtigte Zugriffe oder Datenabflüsse“, hieß es. Die Gefährdung der Gäste wird als gering eingeschätzt, weshalb die Betroffenen nach Angaben der Jugendherbergen Rheinland-Pfalz und Saarland nicht individuell informiert werden.

Vom Jugendherbergsverband Mecklenburg-Vorpommern heißt es, es handele sich lediglich um Namens- und Adressdaten sowie um eine kleine Anzahl von Gästen, die umgehend informiert worden seien. Dies widerspricht jedoch den Ergebnissen des IT-Sicherheitskollektivs „Cabilitation“. Es wären weitaus umfangreichere Daten verfügbar gewesen.

Die Münchner Hotelgruppe Motel One wandte sich nun mit einer Pressemitteilung an die Öffentlichkeit, dass der Vorfall untersucht werde. Ein Missbrauch der Daten ist nicht bekannt und die Daten sind nach derzeitigem Stand auch nicht an die Öffentlichkeit gelangt. Motel One ist derzeit dabei, mit den betroffenen Gästen Kontakt aufzunehmen.

Offenbar Millionen von Datensätzen leicht zugänglich

Die Lücken hat das IT-Kollektiv „Cabilitation“ gefunden, dessen ehrenamtliche Mitglieder digitale Systeme stets auf Schwachstellen überprüfen und diese dann an die Hersteller melden, damit diese geschlossen werden können. Insbesondere bei Hotels haben die IT-Sicherheitsaktivisten in jüngster Vergangenheit bereits Sicherheitslücken festgestellt: „Über diese Schnittstellen wären Millionen von Datensätzen abgerufen worden – Name bei meiner Buchung, Adresse, Telefonnummer, teilweise Ausweisnummern oder die letzten vier Ziffern der Kreditkarte“, sagt Kara von Success.

Teilweise lagen die betroffenen Buchungen zwanzig Jahre zurück. Insgesamt könnten rund 50 Millionen Gästeprofile und mehr als 30 Millionen Reservierungen in zahlreichen Hotels und anderen Unterkünften betroffen sein. Der Anbieter der Software – die Gubse AG aus Schiffweiler – macht keine Aussage über die Anzahl der betroffenen Gästebuchungen und gibt an, dass kein grundsätzlich ungeschützter Zustand vorliege.

Hochsensible Informationen

Wie gefährlich es sein kann, wenn solche Informationen ungeschützt im Netz abrufbar sind, erklärt Jiska Classen, IT-Sicherheitsforscherin vom Hasso-Plattner-Institut: „Für viele handelt es sich dabei um hochsensible Informationen, etwa von Politikern oder Personen mit Geschäftsgeheimnissen. Solche Datensätze sind daher auch auf dem Schwarzmarkt einen Wert – etwa, weil sie für Werbung oder Phishing genutzt werden können.“ IT-Sicherheitsforscherin Jiska Classen zieht ein nüchternes Fazit: „Es gibt Fehler, aber hier deutet alles auf systematische Probleme in den Softwarekomponenten hin.“

Die Sicherheitslücken hätten sich sehr einfach ausnutzen lassen und gehörten zu den „Top Ten“, den bekanntesten Schwachstellen in Webanwendungen weltweit. Das Unternehmen hätte sie leicht beheben können: „Belanglose Fehler in der Software mit schwerwiegenden Folgen“, resümiert der Wissenschaftler.

Der Softwareanbieter Gubse AG widerspricht dieser Einschätzung. Um die Lücken zu nutzen, seien tiefgreifende technische Kenntnisse erforderlich, teilte das Unternehmen auf Anfrage mit.

Hersteller wirbt mit „höchster Datensicherheit“

Die fehlerhafte Buchungssoftware stammte von einem mittelständischen IT-Dienstleister aus dem saarländischen Schiffweiler. Die Gubse AG bietet eine Hotel- und Buchungssuite an, über die Reservierungen, Check-ins und Zahlungen der Hotels ablaufen. Das Unternehmen verspricht auf der Website: „Datensicherheit hat oberste Priorität.“

Tatsächlich hätten ein paar Klicks gereicht, um sensible Daten abzufragen, sagt das IT-Kollektiv „Search“: „Eigentlich müsste man nur die eigene Buchung mit Reservierungsnummer und Nachnamen sehen können. Stattdessen konnte man einfach ein Datum eingeben und bekam alle Reservierungen dieses Tages im Hotel. Das war, als würde man an der Rezeption sagen: ‚Ich überprüfe heute den gesamten Ordner mit allen Buchungen‘“, erklärt Kara von „Carriage“ eine der gefundenen Lücken. Dies gilt auch dann, wenn Gäste beispielsweise über beliebte Buchungsportale gebucht haben.

Auf Anfrage betont der Hersteller, dass es zu keinem unbefugten Zugriff und zu keiner Ableitung personenbezogener Daten gekommen sei. Darüber hinaus wurde die IT-Struktur zuvor von einem externen Prüfer überprüft, der keine Sicherheitsbedenken hatte.

Die Gubse AG bedauert den Vorfall und sieht ihn „als Ansporn, die technische Qualität und Sicherheit Ihrer Anlagen weiter zu optimieren und dauerhaft auf einem hohen Niveau zu gewährleisten.“

Hersteller und Behörden reagieren

Nach Recherchen von NDR,, WDR Und der Hersteller schloss die Lücken, nachdem er von „Review“ informiert wurde. Nach eigenen Angaben informierte er am 12. September 2025 auch die zuständige Datenschutzbehörde im Saarland und informierte betroffene Kunden. Die zuständige Datenschutzbehörde im Saarland gibt an, den Vorfall zu prüfen. Weitere Datenschutzbehörden der Bundesländer mit betroffenen Einrichtungen wurden nicht informiert.

Die neuen Sicherheitslücken reihen sich in zahlreichen Fällen ein, in denen Nutzerdaten abfließen konnten oder von außen leicht zugänglich waren, mehrfach in der Hotellerie. Für Hotelgäste ist es daher auch wichtig, auf die eigenen Daten zu achten. Dies könne auch auf einzelnen Einrichtungen gestrichen werden, rät beispielsweise die Verbraucherzentrale. Seit 2025 müssen deutsche Staatsbürger beim Check-in im Hotel ihre Adresse nicht mehr angeben.