Datenleck bei Hotelsoftware SIHOT von der Gubse AG.
Betroffen sind u. a. Motel One, Jugendherbergen,
Gubse wirbt auch mit: ACCOR, Casual Hotels, mantra, Best Western, Wyndham, Meininger Hotels.
GUBSE Aktiengesellschaft
Zentrale Deutschland | Schiffweiler
Bahnhofstraße 26-28
66578 Schiffweiler
Tel. +49 6821 9646 – 0
info.de@sihot.com
https://www.tagesschau.de/investigativ/ndr-wdr/hotel-daten-sicherheitsluecken-software-100.html
Die fehlerhafte Buchungssoftware stammte von einem mittelständischen IT-Dienstleister aus dem saarländischen Schiffweiler. Die Gubse AG bietet eine Hotel- und Buchungssuite an, über die Reservierungen, Check-ins und Zahlungen der Hotels laufen. Auf der Webseite verspricht das Unternehmen: „Datensicherheit hat höchste Priorität.“
Tatsächlich aber hätten wenige Klicks ausgereicht, um sensible Daten abzufragen, sagt das IT-Kollektiv „Zerforschung“: „Eigentlich sollte man mit Reservierungsnummer und Nachnamen nur die eigene Buchung sehen können. Stattdessen konnte man einfach ein Datum eingeben und bekam alle Reservierungen dieses Tages im Hotel. Das war, als würde man an der Rezeption sagen: ‚Ich checke heute ein‘ und zur Antwort den gesamten Ordner mit allen Buchungen erhalten“, erklärt Kara von „Zerforschung“ eine der gefundenen Lücken. Das gelte auch, wenn Gäste zum Beispiel über beliebte Buchungsportale gebucht hätten.
Der Hersteller betont auf Anfrage, dass es keinen unbefugten Zugriff und keinen Abfluss personenbezogener Daten gegeben habe. Zudem sei die IT-Struktur zuvor von einem externen Auditor überprüft worden, der keine Sicherheitsbedenken gehabt habe.
Die Gubse AG bedauere den Vorfall und verstehe ihn „als Ansporn, die technische Qualität und Sicherheit ihrer Systeme weiter zu optimieren und dauerhaft auf einem hohen Niveau zu gewährleisten.“
Hersteller und Behörden reagieren
Nach Recherchen von NDR, WDR und SZ hat der Hersteller die Lücken geschlossen, nachdem er von „Zerforschung“ darüber informiert wurde. Auch hat er nach eigenen Angaben die zuständige Datenschutzbehörde im Saarland am 12. September 2025 informiert und betroffene Kunden informiert. Die verantwortliche Datenschutzbehörde im Saarland gibt an, den Vorfall zu untersuchen. Auch Datenschutzbehörden in weiteren Bundesländern mit betroffenen Einrichtungen wurden inzwischen informiert.
Die neuen Sicherheitslücken reihen sich ein in zahlreiche Vorkommnisse, in denen Nutzerdaten abfließen konnten oder leicht von außen zugänglich waren, mehrfach in der Hotellerie. Für Hotelgäste gilt deshalb auch, auf die eigenen Daten zu achten. Diese könne man auch bei einzelnen Einrichtungen löschen lassen, rät etwa die Verbraucherzentrale. Seit 2025 müssen deutsche Staatsbürger ihre Adresse beim Einchecken im Hotel außerdem nicht mehr angeben.