Information zum Datenschutzvorfall

UPDATE – Abschluss der externen Sicherheitsanalyse / Stand 25.02.2026

Die von uns beauftragte unabhängige Cybersecurity- und Digital-Forensics-Firma hat ihre Analyse des Sicherheitsvorfalls abgeschlossen. Die Untersuchung basierte auf einer detaillierten Auswertung der verfügbaren Logdaten und Systemartefakte und konnte den Ablauf des Vorfalls rekonstruieren.

Zusammenfassung der Analyseergebnisse

Die Untersuchung ergab, dass am 21. Januar 2026 ein Benutzerkonto eines Hotelkunden durch einen Angreifer kompromittiert wurde. Die Analyse deutet darauf hin, dass die Zugangsdaten dieses Kontos außerhalb der Plattform erlangt wurden.
Nach erfolgreicher Anmeldung mit diesem legitimen Benutzerkonto nutzte der Angreifer eine Schwachstelle innerhalb der Anwendung aus, wodurch er erweiterten Zugriff auf Systemfunktionen erhielt. In der Folge konnte der Angreifer auf Kundendatenbanken zugreifen und Daten exportieren.
Diese Daten wurden anschließend verwendet, um gezielte Phishing-Angriffe gegenüber betroffenen Endkunden durchzuführen, bei denen sich Angreifer als Hotels oder Buchungsplattformen ausgaben.

Wichtige Feststellung zur Systemintegrität

Die externe Analyse ergab ausdrücklich:

  • Es gibt keine Hinweise auf eine Manipulation bestehender Daten.
  • Es gibt keine Hinweise auf eine Löschung von produktiven Daten.
  • Es gibt keine Hinweise auf eine dauerhafte Beeinträchtigung der Systemintegrität.

Unsere Plattform war und ist weiterhin sicher im Betrieb.

Bereits umgesetzte Sicherheitsmaßnahmen

Unmittelbar nach Bekanntwerden des Vorfalls haben wir umfassende Maßnahmen ergriffen, darunter:

  • Identifikation und Behebung der ausgenutzten Schwachstelle
  • Erweiterung von Sicherheitsmechanismen zur Erkennung und Verhinderung unautorisierter Aktivitäten
  • Zusätzliche Absicherung sensibler Systembereiche
  • Verstärkung des Monitorings und der Angriffserkennung
  • Identifikation und Behebung der ausgenutzten Schwachstelle
  • Zusätzliche Härtung der System- und Infrastrukturumgebung

Darüber hinaus haben wir unsere internen Sicherheitsprozesse weiter verstärkt und zusätzliche präventive Schutzmaßnahmen implementiert.

Zusammenarbeit mit externen Sicherheitsexperten

Die Analyse wurde durch ein spezialisiertes Cybersecurity-Unternehmen durchgeführt. Die Ergebnisse wurden vollständig ausgewertet und entsprechende technische und organisatorische Maßnahmen umgesetzt.
Wir werden weiterhin mit externen Sicherheitsexperten zusammenarbeiten, um unsere Sicherheitsarchitektur kontinuierlich zu überprüfen und weiter zu verbessern.

Aktueller Status

Der Sicherheitsvorfall ist abgeschlossen. Es gibt keine Hinweise auf einen weiterhin aktiven Zugriff oder eine fortlaufende Gefährdung unserer Systeme.
Wir beobachten unsere Systeme weiterhin verstärkt und entwickeln unsere Sicherheitsmaßnahmen kontinuierlich weiter.

Unsere Verpflichtung zur Sicherheit

Der Schutz der Daten unserer Kunden und deren Gäste hat für uns höchste Priorität. Wir bedauern den Vorfall sehr und nehmen die Verantwortung ernst, unsere Systeme kontinuierlich weiter zu verbessern.
Wir werden weiterhin transparent über relevante Entwicklungen informieren.

Bei Fragen steht unser Support-Team jederzeit zur Verfügung.

Stand 03.02.2026 14:00 Uhr

Zusammenfassung

Im Rahmen interner Untersuchungen sowie externer Prüfungen wurde festgestellt, dass es zu einem unbefugten Abfluss personenbezogener Daten aus den Kundendatenbanken gekommen ist.
Nach aktuellem Kenntnisstand sind Endkundendaten aller Mandanten betroffen.

Infolge des Vorfalls kommt es derzeit zu gezielten Phishing-Angriffen, insbesondere per E-Mail und WhatsApp, die Bezug auf reale Buchungen bzw. Reservierungen nehmen.

Swoppen hat unverzüglich umfangreiche Maßnahmen eingeleitet und stellt diese Seite als zentrale Informations- und Koordinationsstelle für Kunden bereit.

Was ist passiert?

  • Es kam zu einem unbefugten Zugriff auf personenbezogene Daten, die im Rahmen der Nutzung der Swoppen-Software verarbeitet wurden.
  • Die Daten werden aktuell für gezielte Phishing-Angriffe missbraucht.
  • Der Vorfall betrifft alle Endkundendaten, die im System verarbeitet wurden.

Wurde die Sicherheitslücke inzwischen geschlossen?

Ja. Nach Bekanntwerden des Vorfalls wurde die identifizierte Sicherheitslücke unverzüglich geschlossen.
Zusätzlich wurden weitere technische und organisatorische Maßnahmen umgesetzt, um vergleichbare Vorfälle künftig zu verhindern. Die Systeme werden weiterhin überwacht und durch unabhängige externe IT-Sicherheitsunternehmen überprüft.

Welche Daten sind betroffen?

Nach aktuellem Kenntnisstand können betroffen sein:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Kontaktdaten
  • Anschrift
  • Buchungs-/Reservierungsdaten (z. B. An- und Abreisezeitraum)

Je nach Nutzung des Systems durch den jeweiligen Kunden können auch Zahlungsdaten betroffen sein, sofern entsprechende Funktionen genutzt wurden.
Kreditkarteninformationen werden – sofern gespeichert – ausschließlich verschlüsselt verarbeitet. Nach aktuellem Kenntnisstand liegen keine Hinweise auf eine Entschlüsselung oder einen Missbrauch dieser Daten vor.

Welche Maßnahmen hat Swoppen ergriffen?

  • Strafanzeige bei den zuständigen Ermittlungsbehörden
  • Meldung der Datenschutzverletzung bei der zuständigen Datenschutzaufsichtsbehörde (LDI NRW)
  • Beauftragung unabhängiger externer IT-Sicherheitsunternehmen zur forensischen Untersuchung
  • Umsetzung zusätzlicher technischer und organisatorischer Sicherheitsmaßnahmen
  • Einrichtung einer zentralen Informations- und Kommunikationsstelle

Was bedeutet das für Sie als Kunde?

1. Information der Endkunden (Pflicht – Art. 34 DSGVO)

Da ein hohes Risiko für betroffene Personen besteht, müssen Endkunden informiert werden.

➡️ Swoppen stellt hierfür eine Systemfunktion inklusive geprüfter E-Mail-Vorlage bereit.
Wir empfehlen dringend, diese Funktion zeitnah zu nutzen.

Zum Hilfeartikel: https://services.swoppen.com/de/hilfe/datenschutzvorfall-per-e-mail-informieren.html

Update (03.02.2026 14:00 Uhr):
In der ersten Phase des Vorfalls haben wir empfohlen, alle Kontakte zu informieren, um kein Risiko zu übersehen.
Auf Basis der inzwischen vorliegenden Erkenntnisse und der bekannten Angriffsmuster ist jedoch entscheidend, für welche Personen aktuell ein konkretes Risiko besteht.
Da sich die Phishing-Angriffe auf konkrete, aktuelle oder zukünftige Buchungen beziehen, ist es ausreichend und angemessen, diesen Personenkreis zu informieren. Eine pauschale Information aller historischen Kontakte der letzten Jahre ist nicht erforderlich.

2. Meldung an die Datenschutzaufsichtsbehörde (Pflicht – Art. 33 DSGVO)

Als Verantwortlicher im Sinne der DSGVO sind Sie verpflichtet, den Vorfall bei Ihrer zuständigen Datenschutzaufsichtsbehörde zu melden. Wir haben Ihnen eine Liste der zuständigen Datenschutzaufsichtsbehörden zusammengestellt.

✔ Sie können dabei:

  • auf diese Seite verweisen
  • Swoppen als Auftragsverarbeiter benennen
  • auf die bereits erfolgte Anzeige und Untersuchung verweisen

➡️ Eine eigene technische Analyse ist nicht erforderlich.

3. Strafanzeige

Eine eigene Strafanzeige ist nicht zwingend erforderlich, da Swoppen bereits Anzeige erstattet hat.
Eine zusätzliche Anzeige ist optional.

4. Passwörter & Zugänge

Wir empfehlen dringend:

Zentrale Entlastung für Ihre Kommunikation

Zur Entlastung unserer Kunden übernimmt Swoppen:

  • die zentrale Information zum Vorfall
  • die laufende Statuskommunikation
  • die Bereitstellung geprüfter Textvorlagen

👉 Bitte verweisen Sie Endkunden bei allgemeinen Fragen auf die zentrale Endkunden-Informationsseite.
Für buchungsspezifische Fragen bleiben Sie Ansprechpartner.

FAQ – Häufige Fragen unserer Kunden

Müssen wir unsere Endkunden informieren?

Ja.
Bei einem bestätigten Datenabfluss mit hohem Risiko ist eine Information der Endkunden nach Art. 34 DSGVO verpflichtend.

Zum Hilfeartikel: https://services.swoppen.com/de/hilfe/datenschutzvorfall-per-e-mail-informieren.html

Müssen wir den Vorfall selbst melden?

Ja.
Als Verantwortlicher müssen Sie eine Meldung nach Art. 33 DSGVO bei Ihrer zuständigen Aufsichtsbehörde vornehmen.

Müssen wir eine eigene Strafanzeige erstatten?

Nein, nicht zwingend.
Die durch Swoppen erstattete Anzeige ist ausreichend. Eine zusätzliche Anzeige ist freiwillig.

Können wir auf Swoppen verweisen?

Ja, ausdrücklich.
Sie können und sollen auf:

  • diese Service-Seite

  • die zentrale Endkunden-Informationsseite

  • die durch Swoppen ergriffenen Maßnahmen
    verweisen.

Müssen wir eine eigene technische Analyse durchführen?

Nein.
Die technische und forensische Untersuchung erfolgt zentral durch Swoppen mit externen Sicherheitspartnern.

Was sagen wir Gästen konkret?

Nutzen Sie bitte die bereitgestellte Endkunden-E-Mail-Vorlage und verweisen Sie auf die zentrale Informationsseite.

https://www.swoppen.com/de/datenschutzvorfall

Bitte geben Sie keine eigenen technischen Einschätzungen ab.

Besteht Haftungsrisiko für uns?

Durch:

  • fristgerechte Meldung
  • Information der Endkunden
  • Nutzung der bereitgestellten Inhalte

kommen Sie Ihren Pflichten nach und reduzieren Ihr Haftungsrisiko erheblich.

Hinweis

Der Schutz personenbezogener Daten hat höchste Priorität. Wir bedauern die entstandenen Unannehmlichkeiten ausdrücklich und informieren transparent über weitere Erkenntnisse.

 
Wichtig: Lesen Sie vor der Benutzung der Unternehmenssoftware unbedingt das Handbuch.