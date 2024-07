Anfang Woche erhielten die Gäste des Hotels Waldstätterhof in Brunnen SZ eine Mail. Abgeschickt von der offiziellen Hoteladresse. Das vermeintlich harmlose Schreiben hat es in sich.

Patrik Berger Reporter Wirtschaft

Andreas Habegger* (38) aus Wallisellen ZH und seine Freundin (31) haben ein spezielles Ritual, um ins neue Jahr zu starten. Die Nacht vom 1. auf den 2. Januar verbringen sie Jahr für Jahr in einem guten Hotel irgendwo in der Schweiz. Und lassen es sich so richtig gut gehen. Entspannung mit Wellness und feines Essen stehen auf dem Programm. Anfang 2025 gehts ins Seehotel Waldstätterhof nach Brunnen SZ. Ein Doppelzimmer im 4-Sterne-Haus mit Seesicht und Balkon soll es sein. Kostenpunkt: 480 Franken.

Vor Monaten hat Habegger das Hotelzimmer gebucht. Er freut sich schon jetzt auf den Aufenthalt. Am Montag hat er dann überraschend eine Mail bekommen. «Sehr geehrter Herr Habegger, leider kann Ihre Reservierung aufgrund eines Fehlers bei der Überprüfung Ihrer Zahlungsmethode storniert werden», steht im Schreiben, das Blick vorliegt.

Dann die Bitte, die Zahlungsdaten einzugeben und die Überprüfung abzuwarten. Über einen prominent platzierten Link. Zum Schluss die eindringliche Warnung: «Wenn Sie Ihre Reservierung speichern möchten, müssen Sie dies innerhalb von 24 Stunden tun, sonst wird die Reservierung automatisch storniert.»

«Habe keinerlei Verdacht geschöpft»

Habegger fällt auf den Betrugsversuch hinein. «Ich war im Stress, nur deshalb hab ich nicht reagiert», sagt er. «Zum Glück! Sonst hätte ich auf den Link geklickt. Die Mail ist dermassen gut gemacht. Ich habe keinerlei Verdacht geschöpft», gibt er zu. Und das, obwohl er durchaus sensibilisiert sei für die Gefahren von Phishing-Mails. Denn: Es handelt sich um ein Fake-Mail, stammt also nicht wirklich vom Hotel. Kriminelle wollen mit dem Schreiben an die Kreditkartendaten der Gäste gelangen – und sich so Geld ergaunern.

Die Betrüger gehen dabei sehr geschickt vor. Die persönliche Anrede habe vertrauenswürdig gewirkt, so Habegger. Das professionelle Foto des Hotels im Mailkopf auch. Erst recht, dass das Schreiben vom Rezeptionisten kommt. Mit Namen und Foto am Ende des Mails, von der offiziellen Hotel-Adresse verschickt. Zudem schreiben die Betrüger, dass es sich nur um eine «Überprüfung der Zahlungsmethode» handle. Und nicht um eine Zahlung oder Anzahlung. «Sie zahlen direkt, wenn Sie im Hotel ankommen», heisst es im Mail. «Das ist besonders perfid», findet Habegger.

Das Hotel reagiert umgehend

Das Seehotel Waldstätterhof reagiert schnell, als es von Betroffenen auf die Attacke hingewiesen wird. Es schreibt alle betroffenen Gäste umgehend persönlich an. «Es wurden heute E-Mails in unserem Namen versendet, welche nicht von uns stammen», schreibt die Direktion. Sie warnt die Betroffenen: «Wir bitten Sie, diese E-Mails zu ignorieren und keine Angaben oder Links zu öffnen. Wir arbeiten auf Hochtouren daran, gemeinsam mit unserer IT dieses Problem zu lösen.»

Die E-Mails hätten keinen Einfluss auf das Reservationssystem. «Ihre Buchung bleibt selbstverständlich bestehen. Bitte entschuldigen Sie die entstandenen Umstände.» In der ersten Hektik passiert dem Hotel ein Fehler: Jeder Gast sieht sämtliche Empfänger des Schreibens. Dadurch ist ersichtlich: Mehrere Hundert Personen aus dem In- und Ausland wurden Opfer des Angriffs. Auch auf der Homepage macht das Haus am Vierwaldstättersee den Hackerangriff publik.

Hacker hat über altes Programm angegriffen

Zwei Tage später informiert das Hotel die Betroffenen erneut – Fragen von Blick beantwortet das Hotel jedoch nicht. Es habe einen Cyber-Angriff auf einen externen Software-Anbieter gegeben – über ein altes Programm. «Vor einigen Jahren haben wir mit diesem Programm unseren Gästen die Möglichkeit gegeben, ihren Aufenthalt zu personalisieren und uns so ihre Wünsche vor Anreise mitzuteilen. Nun wurden wir und Sie durch den Cyber-Angriff auf dieses Programm Opfer eines Phishing-Mails», schreibt der Hoteldirektor.

Er betont: «Der Angreifer hatte keinen Zugang zu Daten auf unserem Server und die des Software-Anbieters. Der Hacker konnte sich in das alte Programm hacken, reaktivieren und somit Ihre E-Mail-Adressen und Ihren zukünftigen Aufenthalt ermitteln», schreibt der Direktor. Weitere sensible Daten wie Kreditkartendetails oder persönlichen Präferenzen seien im gehackten Programm nicht hinterlegt. «Der Angreifer hatte somit keinen Zugang zu weiteren Daten.»

Angreifer wollten Daten der Kreditkarte

Mit dem Zugriff in das Programm habe er E-Mails im Namen des Hotels verschicken können. «Er hat so versucht, an Ihre Kreditkartendetails zu kommen», schreibt der Hoteldirektor seinen Gästen. Er empfiehlt Kunden, die über den Link Kreditkarteninformationen angegeben haben, die Bank zu informieren und die Karte sperren zu lassen. «Es wurden bereits verschiedenste Massnahmen in Absprache mit unseren Partnern getroffen, dass sich so ein Fall nicht wiederholen kann.»

* Name geändert.