Digitale Sicherheit

Phishing auf Reisen 2026: Betrugserkennung und Schutz

30. Juni 20268 min LesezeitRiskVector Redaktion

Phishing ist die häufigste Cybercrime-Methode weltweit. Laut dem Lagebericht des BSI verzeichnen Phishing-Angriffe auf deutsche Nutzer jährlich zweistellige Wachstumsraten. **Reisende sind besonders gefährdet** — sie sind gestresst, abgelenkt und erwarten E-Mails von Fluglinien, Hotels und Buchungsportalen.

Die häufigsten Phishing-Angriffe auf Reisende

1. Gefälschte Hotel-Buchungsbestätigungen

Das BSI und Europol warnen regelmäßig vor dieser Methode: Der Reisende erhält eine E-Mail, die scheinbar von seiner gebuchten Unterkunft stammt. Die Nachricht bittet um Bestätigung der Buchung über einen Link oder fordert eine "Aktualisierung der Zahlungsdaten". Der Link führt zu einer nachgebauten Seite, die Kreditkartendaten abfängt.

Erkennungsmerkmale:

  • Die Absender-Domain ist leicht abgewandelt (z.B. "booking.hote1.com" statt "booking.hotel.com")
  • Die E-Mail fordert zur Eingabe von Kreditkartendaten per Link auf — seriöse Hotels tun dies nie
  • Grammatik- oder Rechtschreibfehler in der Nachricht
  • Die Verlinkung führt auf eine HTTP-Seite statt HTTPS

    • 2. Fake-Fluglinien-E-Mails

    "Your flight has been cancelled" — diese Nachricht löst bei jedem Reisenden sofortige Aufmerksamkeit aus. Phishing-Mails täuschen Flugausfälle vor und bieten einen "Erstattungs-Link" an. Besonders tückisch: Die Mails enthalten oft echte Buchungsnummern, die durch Datenlecks bei Reiseportalen in die Hände von Kriminellen gelangt sind.

    3. Gefälschte Reise-Apps

    Kriminelle veröffentlichen Apps in offiziellen Stores, die seriöse Reise-Apps imitieren. AV-Test hat 2025 mehrere hundert potenziell schädliche Apps identifiziert, die sich als Hotel- oder Flugbuchungs-Apps ausgaben.

    4. Free-Trip-Betrug

    Gewinnbenachrichtigungen über angeblich gewonnene Reisen dominieren Social-Media-Phishing. "You've won a free cruise!" führt zu Umfrage-Seiten, die persönliche Daten sammeln oder Malware verbreiten.

    5. Wi-Fi-Portal-Phishing

    Viele Hotels und Flughäfen nutzen Captive Portals — Anmeldeseiten für das WLAN. Kriminelle erstellen täuschend echte Kopien dieser Portale und fordern die Eingabe von Hotel-Zimmernummer, Name und Kreditkartendaten.

    So schützen Sie sich

    Grundregel: Niemals über E-Mail-Links auf Konten zugreifen

    Öffnen Sie niemals einen Link in einer E-Mail, um sich in ein Konto einzuloggen oder Daten zu "aktualisieren". Tippen Sie die Adresse der Webseite immer manuell in den Browser ein.

    Domain-Prüfung

    Prüfen Sie bei jeder E-Mail die tatsächliche Absender-Domain. Klicken Sie nicht auf Links, sondern fahren Sie mit der Maus darüber (Desktop) oder drücken Sie lange auf den Link (Mobile), um die Ziel-URL zu sehen. Achten Sie auf:

  • Subdomain-Tricks: "secure.booking.com.evil.com" ist NICHT booking.com
  • IDN-Homograph-Angriffe: kyrillische Buchstaben, die lateinischen gleichen

    • Zwei-Faktor-Authentifizierung

    Selbst wenn ein Angreifer Ihr Passwort erbeutet, kann er ohne den zweiten Faktor nicht auf Ihr Konto zugreifen. **Aktivieren Sie 2FA überall, wo es möglich ist.**

    Antiviren-Software und Browser-Schutz

    Moderne Browser wie Chrome, Firefox und Edge integrieren Phishing-Schutz-Listen. Ergänzen Sie dies durch eine mobile Sicherheits-App — AV-Test zertifiziert regelmäßig Produkte von Bitdefender, Kaspersky und Norton.

    Was tun, wenn Sie auf Phishing hereingefallen sind?

  • **Sofort:** Passwort des betroffenen Kontos ändern
  • **Banking betroffen?** Bank sofort anrufen und Karte sperren
  • **Gerät kompromittiert?** Auf Werkseinstellungen zurücksetzen
  • **Meldung:** Anzeige bei der Polizei erstatten (Cybercrime-Zentrum des BKA)
  • **Report:** Die E-Mail an phishing-report@cert-bund.de weiterleiten (BSI)

    • Die Rolle von KI bei Phishing 2026

    Europol warnt in seinem IOCTA-Bericht davor, dass generative KI Phishing-Angriffe massiv professionalisiert. Kriminelle nutzen KI-Tools, um in Sekunden überzeugende, fehlerfreie E-Mails in jeder Sprache zu generieren. Die klassischen Erkennungsmerkmale — Grammatikfehler, ungelenke Formulierungen — verschwinden. **Die Domain-Prüfung wird damit zum wichtigsten Erkennungsmerkmal.**

    Quellen

  • BSI: Verbraucher-Ratgeber "Phishing erkennen und abwehren"
  • BSI/CERT-Bund: Meldestelle für Phishing (phishing-report@cert-bund.de)
  • Europol: Internet Organised Crime Threat Assessment (IOCTA) 2025/2026
  • BKA: Cybercrime-Bundeslagebild 2025
  • AV-Test: Malware- und Phishing-Statistiken (www.av-test.org)
    • #Phishing#Betrug#Reisesicherheit#Europol#Cybercrime#Social Engineering
    Teilen:
    🛡️

    Kostenlose Risiko-Analyse

    Prüfen Sie Ihr Reiseziel kostenlos auf RiskVector — Echtzeit-Warnungen, Risiko-Scores und Sicherheitstipps für 194 Länder.

    Kostenlos Risikoscore prüfen →Reiseversicherung vergleichen

    🏥 Reisekrankenversicherung ab 11€/Jahr

    Krankenhaus im Ausland kostet bis zu 10.000€/Tag. Schützen Sie sich jetzt.

    HanseMerkur (Testsieger)Alle vergleichen

    Anzeige · Affiliate-Link

    🏨 Sichere Unterkünfte weltweit

    Hotels mit kostenlosem Storno und verified Reviews.

    Hotels auf Booking.com finden

    Anzeige · Affiliate-Link

    🎫 Touren & Aktivitäten sicher buchen

    Geführte Touren mit kostenlosem Storno bis 24h vorher.

    Aktivitäten auf GetYourGuide

    Anzeige · Affiliate-Link

    🛒 Empfehlungen für dich