Der Ausschuss Betrugsbekämpfung im DRV beobachtet, dass organisierte Internetkriminalität verstärkt mittelständische und kleinere Reisebüros ins Visier nimmt und hier gezielt nach leichter zugänglichen Angriffspunkten Ausschau hält – häufig nach wie vor erfolgreich. Der Ausschuss ruft daher alle Reisebüros auf, technische Schutzmaßnahmen mit einem hohen Maß an Aufmerksamkeit im Tagesgeschäft zu verbinden – um so gemeinsam sich selbst und die Branche besser vor kriminellen Angriffen zu schützen und kostspielige Schäden zu vermeiden.
Typische Vorgehensweisen
Zu den aktuellen Betrugsmethoden, die beobachtet werden, zählen unter anderem:
- Buchungen mit gestohlenen Kreditkartendaten, häufig initiiert per E-Mail oder Telefon.
- Phishing-Angriffe, bei denen über gefälschte E-Mails oder täuschend echt nachgebildete Websites Zugangsdaten zu Reservierungssystemen abgegriffen werden.
- Telefonische Manipulationsversuche, bei denen sich Täter als Partnerunternehmen oder Kunden ausgeben, um Änderungen von Passwörtern zu veranlassen.
Sensibilisierung im Arbeitsalltag
Der Ausschuss appelliert an alle Mitarbeitenden in den Reisebüros, bei der Bearbeitung von E-Mails und Telefonanfragen besondere Sorgfalt walten zu lassen und Auffälligkeiten zu hinterfragen. So sollten beispielsweise Anfragen von unbekannten Kunden aus dem Ausland, die ihre Flüge oder Hotels über ein kleines, lokales Reisebüro buchen möchten, aufhorchen lassen. Ebenso wie Anfragen für hochpreisige Buchungen von anonymen Telefonnummern oder E-Mail-Adressen.
Die Mehrheit der Reisebüromitarbeitenden ist sehr aufmerksam bei solchen Betrugsversuchen und reagiert umsichtig auf entsprechende Verdachtsmomente. Dennoch gelingt es Betrügern immer wieder, Einzelne zu täuschen – bei Tausenden von Versuchen reichen wenige erfolgreiche Angriffe aus, um erheblichen Schaden zu verursachen.
Grundsätzliche Empfehlungen für mehr Sicherheit
- Passwörter niemals teilen oder ungeschützt aufbewahren (z. B. auf Haftnotizen am Bildschirm).
- Keine Passwörter oder Zugangsdaten über E-Mail oder Telefon weitergeben, wenn der Absender oder Anrufer nicht zweifelsfrei identifiziert ist.
- Bei verdächtigen Anfragen Rücksprache mit der Geschäftsführung oder dem IT-Dienstleister halten.
