Gastbeitrag von Kristof Roemer, Geschäftsführer Deutschland bei dem Hospitality-Software-Anbieter Access Guestline
Fake-Hotelbuchungen machen immer wieder Schlagzeilen. Erst kürzlich berichteten Hoteliers, sie hätten über das Portal Booking.com mehrfach Buchungen erhalten, die von den Gästen nicht wahrgenommen, aber auch nicht storniert worden seien. Sicher sitzt niemand vor seinem Rechner und erstellt mal eben schadenfroh 100 Fake-Buchungen. Vielleicht ist es die Anonymität des Internets und das Alle-Optionen-Offenhalten der „Generation Maybe“. Und eine gewisse Ausfallquote ist auch normal. Doch wenn sich solche Vorfälle innerhalb kürzester Zeit häufen, dann liegt der Verdacht des Betrugs nahe. Für den Hotelier sind Fake-Buchungen natürlich mehr als ärgerlich. Denn von den nicht angereisten Kunden im Nachhinein Schadensersatz für den Ausfall zu fordern, ist meist aussichtslos. Fake-Gäste geben in der Regel falsche Daten an, etwa eine falsche Adresse oder eine falsche Kreditkartennummer. Die wahre Identität des Gastes ist so kaum nachweisbar. Auf Unterstützung von Booking.com & Co. können Hotels hier nicht hoffen. Das Portal ermutigt seine Partner lediglich dazu, selbst aktiv zu werden.
Hoteliers müssen sich bei Fake-Buchungen auch an die eigene Nase fassen und prüfen, was sie an ihren Systemen verbessern können, damit dies nicht mehr vorkommt.
Die Hotels stehen Fake-Buchungen bisher gefühlt absolut hilflos gegenüber. Das müssten sie mit der richtigen Technologie allerdings nicht. Bislang tragen vor allem die verwendeten Bezahlsysteme eine Mitschuld an der Betrugsmasche. Denn im Prinzip könnten die Hotels bereits im Vorfeld jede einzelne Buchung genau überprüfen. Das klingt erst einmal nach viel Aufwand, aber: Fake-Gäste lassen sich auch schnell und automatisiert erkennen. Dazu brauchen Hoteliers ein sicheres Buchungsprogramm, das „PCI-compliant“ ist, also den Regeln der Payment Card Industry entspricht. Ein PCI-konformes System speichert und verarbeitet Kreditkartendaten im Sinne der DSGVO. Dazu werden die Kreditkartendaten, die von den OTAs kommen, zunächst von einem Payment-Provider – einer Art Schutzschild – auf Richtigkeit und Gültigkeit überprüft. Erkennt das System die Kreditkarte, wird die Reservierung abgeschlossen. Werden jedoch Falschangaben erkannt, findet die Buchung nicht statt. Die korrekten Daten werden zudem vom Provider verschlüsselt und in sogenannte Token umgewandelt. Erst danach werden die Daten ins PMS des Hotels eingespeist. Das geschieht automatisch und ohne großen Aufwand für den Hotelier. PCI-Konformität kann Betrug also vorbeugen. Außerdem werden so auch Sicherheitslücken wie Datenlecks im Zahlprozess unwahrscheinlicher, da die Daten nicht mehr direkt im System eines Hotels, sondern als verschlüsselter Token gespeichert werden.
Leider ist für die meisten Hoteliers PCI-Compliance noch ein Fremdwort. Bei so großem technischen Unwissen haben Betrüger leichtes Spiel. Wer nicht betrogen werden möchte, der sollte auch keine Angriffsfläche bieten. Oder anders gesagt: Wer Lücken im System hat, wie hier im Bezahlsystem, braucht sich nicht zu wundern, dass diese ausgenutzt werden. Solange die Hotelsysteme unsichere Stellen haben, wird es wohl immer wieder zu Fake-Buchungen kommen.
Über den Autor
Kristof Roemer ist Managing Director Germany bei Guestline. Zuvor besetzte er leitende Positionen im Vertrieb bei führenden Technologie- und Gastronomieunternehmen, darunter Sabre, TrustYou, Marriott, Hyatt und IHG. Roemer hat über 20 Jahre Erfahrung in der Tourismusbranche.