IT-Notfall

Tourismusbranche leidet unter wachsender Cyber-Bedrohungslage

Check Point Software Technologies GmbH Check Point Software Technologies GmbH   |
  • Cybercrime, Lieferkette, Phishing, Tourismus
  • Experte
Tourismusbranche leidet unter wachsender Cyber-Bedrohungslage

Tourismusbranche leidet unter wachsender Cyber-Bedrohungslage.

Cyber-Angriffe auf Reiseveranstalter und Reisebüros und die gesamte Tourismusbranche haben drastisch zugenommen. Die jüngsten Bedrohungstrends, Beispiele aus der Praxis und Expertenempfehlungen für die Sicherheit in einer feindseligen digitalen Landschaft von Check Point.

Die globale Tourismusbranche erlebt einen neuen Aufschwung, doch mit der Erholung geht auch eine Zunahme digitaler Turbulenzen einher. Angesichts der steigenden Nachfrage von Reisen und der beispiellosen Digitalisierung der Betriebsabläufe nutzen Cyber-Kriminelle neue Möglichkeiten, um Schwachstellen in diesem datenreichen und stark vernetzten Sektor auszunutzen.

Der Check-Point-Bericht The State of Cyber Security 2025 zeigt, dass Cyber-Angriffe auf Reiseveranstalter und Reisebüros zwischen 2023 und 2025 dramatisch zugenommen haben. Distributed-Denial-of-Service-Angriffe (DDoS), Ransomware-Kampagnen, Phishing-Angriffe und Kompromittierungen durch Dritte haben den Markt heimgesucht, oft mit verheerenden Folgen. Die Reisebranche ist stark von Echtzeitdaten, globaler Kommunikation und saisonalen Schwankungen abhängig, was sie zu einem begehrten Ziel für Angreifer macht. Von Fluggesellschaften und Resorts bis hin zu Buchungsplattformen und Verkehrsbetrieben verwalten Unternehmen in diesem Sektor sensible Daten über weit verstreute Netzwerke. Außerdem sind sie bei der Zahlungsabwicklung, Authentifizierung und Cloud-Infrastruktur von Drittanbietern abhängig, was ihre Angriffsfläche vergrößert. Darüber hinaus arbeiten viele Reiseunternehmen mit veralteten Systemen oder verfügen nicht über robuste DevSecOps-Praktiken.

Zentrale Bedrohungen für die Tourismusbranche und Beispiele aus der Praxis

  • DDoS-Störungen legen Buchungssysteme lahm: DDoS-Angriffe, die zeitlich auf die Hochzeiten für Reisen abgestimmt wurden, sind zu einer beliebten Taktik von Angreifern geworden, die maximale Störungen erzielen wollen. Im März 2025 kam der Betrieb eines großen Flugticket-Konsolidierers in Deutschland, Österreich und der Schweiz aufgrund eines DDoS-Angriffs zum Erliegen. Der Ausfall betraf Tausende von Kunden und beeinträchtigte nachgelagerte Reisebüros, die auf dieselbe Plattform angewiesen waren. Diese Angriffe werden zunehmend als Druckmittel für Erpressungen eingesetzt. Hacker, die oft Teil organisierter Gruppen sind, drohen mit längeren Dienstunterbrechungen, sofern keine Lösegeldzahlungen geleistet werden, und setzen damit Unternehmen unter enormen Druck.
  • Fehlkonfigurierter Cloud-Speicher führt zu Datenverletzungen: Im Januar 2025 erlitt ein australisches Reisebüro eine katastrophale Sicherheitsverletzung, nachdem es seinen Amazon AWS-Cloud-Bucket nicht ausreichend gesichert hatte. Mehr als 112 000 sensible Datensätze wurden offengelegt, darunter Scans von Reisepässen, Visa-Dokumente und teilweise Kreditkartennummern. Die Sicherheitsverletzung reichte über die Grenzen Australiens hinaus und betraf Kunden aus Neuseeland, Irland und Großbritannien. Dieser Fall unterstreicht die Notwendigkeit strenger Cloud-Sicherheitsmaßnahmen. Angreifer setzen zunehmend automatisierte Tools ein, um falsch konfigurierte Speicher-Buckets zu durchforsten und nach Dateien wie passwords.txt oder .env zu suchen, mit denen sich noch sensiblere Daten freischalten lassen.
  • Phishing und Diebstahl von Anmeldedaten als Sprungbrett für komplexe Angriffe: Die Zeiten schlecht geschriebener Phishing-E-Mails sind vorbei. Mithilfe von KI-generierten Inhalten und Social Engineering erstellen Angreifer äußerst überzeugende Köder, die sogar technisch versierte Benutzer täuschen können. Im September 2023 wurde eine große US-Resort-Kette von einer ausgeklügelten Social-Engineering-Kampagne angegriffen. Die Hacker gaben sich als Mitarbeiter aus, nachdem sie über LinkedIn Informationen gesammelt hatten, und überzeugten schließlich den IT-Helpdesk, ihre Zugangsdaten zurückzusetzen. Nachdem sie sich Zugang verschafft hatten, bewegten sich die Angreifer lateral durch die IT-Infrastruktur des Resorts, setzten Ransomware ein und stahlen sechs Terabyte an Kundendaten. An diesem Angriff waren zwei berüchtigte Cyber-Kriminelle Gruppen beteiligt, Scattered Spider und ALPHV. Durch den Angriff waren viele Dienste betroffen, von Online-Buchungen bis hin zu den Zimmerschlüsselsystemen.
  • Kompromittierung von Drittanbietern und Lieferketten: Angriffe auf die Lieferkette nehmen in allen Branchen zu und auch der Fremdenverkehr bildet keine Ausnahme. Im Oktober 2023 kompromittierte eine russische Hacker-Gruppe das Zahlungssystem einer europäischen Fluggesellschaft mithilfe von Web-Skimming-Malware. Erste Schadensberichte konzentrierten sich auf gestohlene Kreditkartendaten. Spätere Enthüllungen zeigten, dass auch Kundennamen, Paßnummern, Geburtsdaten und Kontaktdaten offengelegt wurden.  Schwachstellen bei Drittanbietern sind besonders gefährlich, da sie herkömmliche Perimeter-Sicherheitsmaßnahmen umgehen. Angreifer nehmen Software-Anbieter oder -Integrationen ins Visier und nutzen diesen Zugriff, um in gehärtete Umgebungen einzudringen.
  • Geopolitische Bedrohungen und Hacktivismus: Die Grenze zwischen Cyber-Kriminalität und Cyber-Krieg verschwimmt zunehmend. Im August 2024 wurde die deutsche Flugsicherung Opfer einer staatlich geförderten Kampagne, die der APT28, auch bekannt als Fancy Bear, zugeschrieben wird. Der Angriff, der auf administrative IT-Systeme abzielte, kompromittierte die interne Kommunikation und sensible Betriebsdaten. Ähnliche Angriffe wurden gegen Verkehrsbehörden in anderen großen Volkswirtschaften durchgeführt, was darauf hindeutet, dass kritische Infrastrukturen im Reisebereich ins Visier geopolitischer Hacker geraten sind.

Die wichtigsten Taktiken, Techniken und Prozeduren (TTPs)

Der Bericht von Check Point beschreibt die zehn wichtigsten TTPs, die bei diesen Angriffen zum Einsatz kamen. Zu den kritischsten gehören:

  • T1078 – Gültige Benutzerkonten: Werden verwendet, um Persistenz aufrechtzuerhalten und eine Erkennung zu vermeiden.
  • T1190 – Ausnutzung öffentlich zugänglicher Anwendungen: Ein häufiger Einstiegspunkt über VPNs oder veraltete Web-Anwendungen.
  • T1566 – Phishing: Nach wie vor der häufigste Angriffsweg für den ersten Zugriff.
  • T1027 – Verschleierte Dateien oder Informationen: Wird zur Umgehung von Sicherheitsmaßnahmen während der Bereitstellung von Malware verwendet.

Diese TTPs entsprechen den weltweit in verschiedenen Branchen beobachteten Trends, sind jedoch besonders wirksam in einem Sektor, in dem der Zugriff auf Buchungssysteme, Identitätsdokumente und Finanzdaten für Angreifer von enormem Wert ist.

Präventive Verteidigung in der Tourismusbranche

  • Angriffsflächenüberwachung (ASM): Scannt nach exponierten Assets, Fehlkonfigurationen und veralteten Diensten.
  • Überwachung von Bedrohungsinformationen: Verfolgt Dark-Web-Kommunikation, das Verhalten von Akteuren und branchenspezifische Risiken.
  • Spezialisierte Analysten-Unterstützung: Hilft bei der Kontextualisierung von Warnmeldungen und der Abstimmung der Reaktionen, sowie der Analyse von Auswirkungen auf das Geschäft.
Zurück zu allen News

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
Skip to content