Top-Reiseportale in Deutschland schützen Urlauber unzureichend vor E-Mail-Betrug

25.06.2026 - 08:47

Neue Analyse von Proofpoint: Rund 70 % größten deutschen Reiseanbieter verhindern den Missbrauch ihrer Marken nicht effektiv

69 Prozent der größten Online-Reiseanbieter in Deutschland vernachlässigen grundlegende Cybersicherheitsmaßnahmen und erhöhen dadurch das Risiko von E-Mail-Betrug für Reisende. Das zeigt eine aktuelle Analyse von Proofpoint, einem führenden Cybersecurity- und Compliance-Unternehmen. Das Unternehmen untersuchte die DMARC-Implementierung (Domain-based Message Authentication, Reporting and Conformance) der 16 größten deutschen Reiseportale.

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das Domains vor Missbrauch schützt und drei Schutzstufen bietet: „Monitor“, „Quarantine“ und „Reject“, wobei „Reject“ die höchste und wirksamste Schutzmaßnahme darstellt. Nur 31 Prozent der größten Reiseportale haben diese höchste Schutzstufe implementiert, die verhindern soll, dass ihre Marken für Cyberkriminalität missbraucht werden.

Zentrale Ergebnisse

75 Prozent der Top-Reiseanbieter in Deutschland verfügen zumindest über einen grundlegenden DMARC-Eintrag. Im Umkehrschluss bedeutet dies, dass 25 Prozent keinerlei Maßnahmen ergriffen haben, um zu verhindern, dass ihre Marke von Cyberkriminellen missbraucht wird.
Noch besorgniserregender ist, dass lediglich 31 Prozent (5 von 16) der deutschen Top-Reiseportale DMARC auf der strengsten Stufe „Reject“ einsetzen. Das bedeutet, dass 69 Prozent der Anbieter ihre Kunden weiterhin dem Risiko betrügerischer E-Mails aussetzen.

„Urlaub ist für viele Menschen mit hohen Erwartungen und erheblichen finanziellen Investitionen verbunden, was Reisende besonders anfällig für Cyberbetrug macht. Kriminelle wissen das und sind in der Hochsaison mit ausgeklügelten E-Mail-Angriffen sehr aktiv, um Geld und persönliche Daten zu stehlen“, erklärt Matt Cooke, Cybersecurity Strategist bei Proofpoint. „Ob gefälschte Buchungsbestätigungen, vermeintliche Sonderangebote oder fingierte Zahlungsaufforderungen wegen Flugänderungen: Haben die Anbieter DMARC nicht auf der Stufe ‚Reject‘ implementiert, sind diese Nachrichten oft kaum von echten zu unterscheiden und können Reisende teuer zu stehen kommen.“

Cooke fährt fort: „Trotz leichter Fortschritte im Vergleich zum Vorjahr schützen noch immer fast sieben von zehn der führenden deutschen Reiseportale ihre Kunden nicht ausreichend vor E-Mail-Missbrauch in ihrem Namen. Wer DMARC konsequent auf der höchsten Stufe ‚Reject‘ implementiert, verhindert, dass betrügerische E-Mails Reisende erreichen. Das schützt Verbraucher und stärkt das Vertrauen in die eigene Marke.“

Hochsaison für Cyberkriminelle

Laut der Reiseanalyse 2026 der Forschungsgemeinschaft Urlaub und Reisen (FUR) planen 76 Prozent der Deutschen in diesem Jahr eine Urlaubsreise. Die Ausgaben für Urlaubsreisen erreichten zuletzt mit rund 91,7 Milliarden Euro ein Rekordhoch, ein deutliches Zeichen dafür, dass Reisen für die Bevölkerung höchste Priorität hat.

Die Reiselust ist trotz wirtschaftlicher Unsicherheiten groß, und Cyberkriminelle nutzen diese Gelegenheit gezielt aus. E-Mail-Betrug rund um Reisebuchungen gehört zu den häufigsten Angriffsvektoren in der Sommersaison. Ohne ausreichenden DMARC-Schutz können Betrüger im Namen bekannter Reisemarken täuschend echte E-Mails versenden – etwa gefälschte Buchungsbestätigungen, Zahlungsaufforderungen oder Angebote –, die Reisende dazu verleiten können, persönliche Daten preiszugeben oder Zahlungen zu leisten.

DMARC und seine Relevanz

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das Organisationen dabei hilft, ihre Domains vor unbefugter Nutzung zu schützen. Das Protokoll bietet drei Schutzstufen:

Monitor (p=none): Es werden lediglich Berichte erstellt; keine E-Mails werden blockiert.
Quarantine (p=quarantine): Verdächtige E-Mails werden in den Spam-Ordner verschoben.
Reject (p=reject): Gefälschte E-Mails werden vollständig blockiert, bevor sie den Empfänger erreichen.

Nur die „Reject“-Stufe bietet den höchsten verfügbaren Schutz vor E-Mail-Spoofing im Namen einer Marke. Portale, die lediglich „Monitor“ einsetzen oder gar keinen DMARC-Eintrag besitzen, ermöglichen es Angreifern, im Namen dieser Marken täuschend echte Phishing-E-Mails zu versenden.

Empfehlungen

Um sich vor E-Mail-Betrug zu schützen, empfiehlt Proofpoint Reisenden folgende Maßnahmen:

Starke, einzigartige Passwörter und Zwei-Faktor-Authentifizierung für alle Reise- und Buchungskonten verwenden.
Vorsicht vor gefälschten Angeboten und Websites: Buchungen nur über offizielle Webseiten oder vertrauenswürdige Reisebüros vornehmen.
Wachsamkeit gegenüber Phishing- und Smishing-Angriffen, die schnelle Reaktionen oder persönliche Daten fordern.
Keine verdächtigen Links öffnen: stattdessen die offizielle Website-Adresse immer direkt in den Browser eingeben.
Bewertungen prüfen, bevor Buchungen oder App-Downloads getätigt werden.

Methodik

Die Analyse der DMARC-Implementierung erfolgte im Juni 2026 bei den 16 größten Online-Reiseanbietern in Deutschland, basierend auf Daten von Similarweb.

Über Proofpoint

Proofpoint ist ein weltweit führender Anbieter von Cybersicherheitslösungen, die auf Menschen und KI-Agenten zugeschnitten sind. Das Unternehmen schützt die Verbindung von Menschen, Daten und KI-Agenten über E-Mail, Cloud und Collaboration-Tools hinweg. Proofpoint ist ein vertrauenswürdiger Partner für über 80 der Fortune-100-Unternehmen, mehr als 10.000 Großunternehmen und Millionen kleinerer Organisationen, wenn es darum geht, Bedrohungen abzuwehren, Datenverluste zu verhindern und die Resilienz von Menschen und KI-Workflows zu stärken. Die Kollaborations- und Datensicherheitsplattform von Proofpoint unterstützt Unternehmen jeder Größe dabei, ihre Mitarbeitenden zu schützen und zu stärken und KI gleichzeitig sicher und vertrauensvoll einzusetzen.

Weitere Informationen finden Sie unter www.proofpoint.com.

Vernetzen Sie sich mit Proofpoint auf LinkedIn.

Proofpoint ist ein eingetragenes Warenzeichen von Proofpoint, Inc. in den USA und/oder anderen Ländern. Alle anderen hier erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber.

Cybersicherheit für den agentenbasierten Arbeitsplatz beginnt mit der menschen- und agentenzentrierten Sicherheitsplattform von Proofpoint.

Nehmen Sie an einem Live-Protect-Event teil und erfahren Sie, wie Sie Menschen, Daten und KI schützen

Stoppen Sie Cyberbedrohungen mit KI-gestütztem Multichannel-Schutz.

Erleben Sie Core Email Protection in Aktion – blockieren Sie 99,99 % der E-Mail-Bedrohungen.

Transformieren Sie die Datensicherheit mit einem einheitlichen, omnichannel Ansatz.

Verstehen Sie die wichtigsten Datensicherheitsrisiken, mit denen Organisationen konfrontiert sind – und wie Sie ihnen einen Schritt voraus bleiben.

Proofpoint-Technologien für menschen- und agentenzentrierte Sicherheit.

Entdecken Sie Proofpoint-Pakete

Optimieren Sie Proofpoint-Lösungen mit professionellen Services.

„Die Partnerschaft mit Proofpoint ist eine Erweiterung unseres Teams.“ – Celesta Capital

Umfassende Lösungen für die heutigen Cyberbedrohungen.

Erfahren Sie mehr über neue KI-Risiken – und wie Sie eine sichere Grundlage für die unternehmensweite Einführung schaffen.

Überlegener Schutz für jede Branche – vom kleinen Unternehmen bis zum Großkonzern.

Erkennen Sie die Sicherheitsrisiken, die sich Organisationen im Gesundheitswesen nicht leisten können zu ignorieren.

Mehr als 80 der Fortune-100-Unternehmen entscheiden sich für Proofpoint, um ihre Mitarbeitenden, Daten und KI zu schützen.

Forschung, Einblicke und Ressourcen von Proofpoint-Experten.

Neue Agenten, neue Angriffe: Sicherung der Zusammenarbeit im agentischen Zeitalter

Profitieren Sie von unserem Expertenwissen im Bereich Threat Intelligence und exklusiven Einblicken, die Sie nirgendwo sonst finden.

Proofpoint DISCARDED – Geschichten aus den Tiefen der Threat-Forschung

Erfahren Sie mehr über das Team, das menschen- und agentenzentrierte Sicherheit vorantreibt.