Bad Bot Report

Bösartige Bots auf Reiseportalen: Thales warnt vor Account Takeover, API-Missbrauch und Vertrauensverlust

Bösartige Bots auf Reiseportalen: Thales warnt vor Account Takeover, API-Missbrauch und Vertrauensverlust

Bot-Schutz muss Teil der digitalen Vertrauensstrategie werden

Wer heute einen Flug sucht, ein Hotel bucht oder Treuepunkte einlösen will, konkurriert längst nicht mehr nur mit anderen Reisenden. Im Hintergrund kämpfen Reiseportale zunehmend gegen automatisierte Angriffe, die Preise, Verfügbarkeiten und Kundenkonten ins Visier nehmen. Der neue Thales Bad Bot Report 2026 zeigt: Bösartige Bots sind für die Reisebranche nicht mehr nur ein IT-Problem, sondern ein direkter Angriff auf Kundenerlebnis, Umsatz und digitales Vertrauen.

Die Reisebranche lebt von Geschwindigkeit, Verfügbarkeit und Vertrauen. Doch genau diese drei Faktoren werden immer stärker von KI-gestützten Bots unter Druck gesetzt. Laut dem aktuellen „Thales Bad Bot Report 2026“ stammen inzwischen 49 Prozent des gesamten Datenverkehrs auf Reise-Websites von bösartigen Bots. Damit gehört die Branche weltweit zu den am stärksten betroffenen Sektoren, wenn es um automatisierte Online-Angriffe geht.

Auf Reiseunternehmen entfallen weltweit jeweils 17 Prozent aller Account-Takeover-Angriffe und 17 Prozent aller Versuche, Geschäftsmodelle gezielt zu missbrauchen. Das zeigt, wie attraktiv Fluggesellschaften, Buchungsplattformen, Bahnunternehmen, Hotelportale und Treueprogramme für Cyberkriminelle geworden sind.

Bots greifen dort an, wo Reisen digital funktionieren muss

Reiseportale sind komplexe digitale Ökosysteme. Preise, Sitzplatzverfügbarkeit, Routen, Buchungen, Kundenprofile, Zahlungsdaten und Bonusprogramme werden über zahlreiche APIs und Backend-Systeme gesteuert. Genau diese technische Vernetzung macht die Branche effizient, aber auch angreifbar.

Security-Analysten beobachten laut Thales, dass Bots wiederholt Tarif-, Sitzplatz- und Routen-APIs in einem Umfang abfragen, der weit über normales Kundenverhalten hinausgeht. Solche automatisierten Zugriffe können nicht nur Systeme belasten, sondern auch Preis- und Nachfragesignale verzerren.

Besonders problematisch sind Methoden wie „Seat Spinning“ oder „Denial-of-Inventory“. Dabei reservieren Angreifer Sitzplätze oder Reisekontingente vorübergehend, kaufen sie aber nicht. Für echte Kunden entsteht dadurch der Eindruck künstlicher Knappheit. Verfügbarkeiten wirken geringer, Preise können dynamisch beeinflusst werden und Buchungssysteme geraten unter zusätzlichen Druck.

Fortgeschrittene Bots imitieren echte Nutzer

Der Report macht deutlich, dass es sich längst nicht mehr nur um einfache Skripte handelt. 42 Prozent der Angriffe auf Reiseunternehmen werden mittlerweile als „fortgeschrittene Bots“ eingestuft. Diese Bots können legitime Nutzer nachahmen, ihr Verhalten anpassen und klassische Sicherheitskontrollen umgehen.

Das ist vor allem für Reiseportale gefährlich, weil die Balance zwischen Sicherheit und Nutzerfreundlichkeit extrem sensibel ist. Wer Kunden bei der Buchung mit zu vielen Prüfungen, Captchas oder Fehlermeldungen ausbremst, riskiert Kaufabbrüche. Wer zu wenig schützt, öffnet automatisiertem Missbrauch Tür und Tor.

Damit entsteht ein klassisches Dilemma der digitalen Customer Experience: Sicherheit darf nicht stören, muss aber immer präziser werden.

Treuekonten werden zum Ziel für Account Takeover

Neben Buchungs- und Preissystemen geraten auch Kundenkonten und Loyalty-Programme stärker ins Visier. Für Angreifer sind solche Konten attraktiv, weil sie oft persönliche Daten, gespeicherte Zahlungsmittel, Reisehistorien und Bonuspunkte enthalten.

Account-Takeover-Angriffe können dazu führen, dass Treuepunkte gestohlen, Prämien unbefugt eingelöst oder Kundenkonten für weitere Betrugsversuche missbraucht werden. Für betroffene Unternehmen ist der Schaden nicht nur finanziell. Wenn Reisende das Gefühl bekommen, dass ihr Konto oder ihre Daten nicht sicher sind, leidet das Vertrauen in die gesamte Marke.

Gerade in einer Branche, in der wiederkehrende Buchungen, Kundenbindung und Treueprogramme zentrale Umsatztreiber sind, kann dieser Vertrauensverlust langfristig schwerer wiegen als der einzelne Sicherheitsvorfall.

Verbraucher vertrauen Reiseanbietern nur begrenzt

Wie groß die Herausforderung ist, zeigt der Blick auf den „Thales Digital Trust Index 2026“. Nur 11 Prozent der Verbraucher geben demnach an, dass sie Transport- und Verkehrsunternehmen, darunter Fluggesellschaften und Bahnbetreiber, bei Online-Interaktionen am meisten vertrauen. Damit liegt die Branche deutlich hinter Banken, Behörden und Gesundheitsdienstleistern.

Gleichzeitig ist die Geduld der Nutzer gering. 68 Prozent der Verbraucher haben laut Studie bereits ein Unternehmen aufgrund von Problemen mit der Website oder App aufgegeben oder sind zu einem Wettbewerber gewechselt.

Für Reiseanbieter bedeutet das: Schlechte digitale Erlebnisse werden unmittelbar bestraft. Langsame Buchungsprozesse, fehlerhafte Verfügbarkeiten, Sicherheitsprobleme oder Kontoübernahmen können Kunden direkt zur Konkurrenz treiben.

Bot-Schutz wird Teil der Markenstrategie

Die Zahlen zeigen, dass Bot-Abwehr nicht mehr isoliert als technische Sicherheitsmaßnahme betrachtet werden kann. In der Reisebranche beeinflussen automatisierte Angriffe direkt das Kundenerlebnis: Sie manipulieren Verfügbarkeit, belasten Buchungssysteme, gefährden Kundenkonten und untergraben das Vertrauen in digitale Services.

Grainne McKeever, Application-Security-Expertin bei Thales , bringt es auf den Punkt:

Grainne McKeever, Application-Security-Expertin bei Thales
Grainne McKeever, Application-Security-Expertin bei Thales

Reiseportale konkurrieren zunehmend um digitales Vertrauen. Kunden erwarteten schnelle, zuverlässige und sichere Online-Erlebnisse, während viele Unternehmen gleichzeitig mit hochentwickelten automatisierten Angriffen auf Buchungen, Preisgestaltung und Treueprogramme kämpfen müssten. Wenn Bots Verfügbarkeit manipulieren, Kundenkonten angreifen oder Buchungsinfrastrukturen überlasten, gehe es nicht mehr nur um Cybersicherheit, sondern auch um Markenreputation und langfristige Kundenbindung.

Mit dem zunehmenden Einsatz von KI wird die Lage komplexer. Bots können Verhalten realistischer simulieren, Angriffsstrategien schneller anpassen und Sicherheitsmaßnahmen gezielter umgehen. Dadurch steigen die Anforderungen an moderne Bot-Management-Lösungen.

Klassische Abwehrmechanismen reichen oft nicht mehr aus, wenn Angriffe nicht eindeutig maschinell wirken, sondern menschliches Verhalten imitieren. Reiseunternehmen müssen daher stärker auf kontextbasierte Erkennung, API-Schutz, Verhaltensanalyse und risikobasierte Zugriffskontrollen setzen.

Entscheidend ist, echte Kunden möglichst reibungslos durch den Buchungsprozess zu führen, während schädliche Automatisierung frühzeitig erkannt und blockiert wird.

Fazit: Die Reisebranche muss digitales Vertrauen neu absichern

Der Thales Bad Bot Report 2026 zeigt eine klare Entwicklung: Reiseportale sind zu einem bevorzugten Ziel automatisierter Angriffe geworden. Fast jeder zweite Zugriff auf Reise-Websites stammt inzwischen von bösartigen Bots. Gleichzeitig sind Verbraucher wenig tolerant gegenüber schlechten digitalen Erlebnissen und haben nur begrenztes Vertrauen in Transport- und Reiseanbieter.

Für die Branche entsteht daraus ein strategischer Handlungsdruck. Wer Buchungssysteme, APIs, Treuekonten und Kundendaten nicht wirksam schützt, riskiert mehr als technische Störungen. Es geht um Umsatz, Loyalität, Markenvertrauen und die Frage, ob digitale Reiseerlebnisse auch in Zukunft verlässlich funktionieren.

Bot-Schutz ist damit nicht länger nur Aufgabe der IT-Sicherheit. Er wird zu einem zentralen Bestandteil der digitalen Vertrauensstrategie.