Computerexperten warnen Fluggesellschaften vor Schwachstellen im Buchungssystem von Luftfahrtunternehmen wie der Lufthansa, Air Berlin oder AUA. Wie WDR und "Süddeutsche Zeitung" von Berliner Sicherheitsexperten erfahren haben, können Unbefugte Flugtickets und persönliche Daten anderer Personen über Onlinebuchungssysteme abgreifen und manipulieren – und so etwa für Freiflüge nutzen.

Name und Flugzeitraum reichen

Die Sicherheitslücken betreffen die Buchungssysteme Amadeus, Sabre sowie Travelport, die viele Fluggesellschaften nutzen, erklärt Karsten Nohl, der Chef des IT-Sicherheitsunternehmens Security Research Labs (SR Labs).

Nohl hat erhebliche Schwachstellen zum Beispiel in einem Buchungssystem, das viele Fluggesellschaften nutzen, ausgemacht: Neben Buchungscodes, die geknackt werden können, fehlen aus seiner Sicht Passwörter für Flugpassagiere, die online buchen. Man brauche nur Namen und Flugzeitraum und moderne Rechner um binnen weniger Minuten den Buchungscode herauszufinden, mit dem man sich auf vielen Onlineportalen der Fluggesellschaften dann einloggen, Flüge umbuchen sowie Daten von Passagieren ausspionieren könne. Details werden am Dienstagabend im Rahmen der diesjährigen Hackerkonferenz (33C3) des Chaos Computer Club in Hamburg veröffentlicht.

"Man kann man sehr viele Leute ausspionieren"

Das sei illegal, aber möglich, warnt Nohl: "Zum einen kann man sehr viele Leute ausspionieren. Politiker, oder Geschäftsleute – Zielpersonen, zu denen man nichts weiter braucht als den Nachnamen. Zum anderen lässt sich diese Information zu Geld machen, indem man Tickets umbucht, teilweise storniert und in Gutscheine umtauschen lässt. Das heißt, wir reden hier von Problemen der Privatsphäre und zum anderen von einem Betrugsrisiko."

Um zu zeigen, dass das tatsächlich funktioniert, hat Karsten Nohl mit dessen Einverständnis die Flugdaten eines CDU-Politikers geknackt. Kurze Zeit später hatte er alle persönlichen Daten und Fluginformationen von Thomas Jarzombek. Der Obmann der Unionsfraktion im Bundestagsausschuss "Digitale Agenda" hat gestaunt, als er um seinen Flug bangen musste. Für ihn besteht darin neben dem möglichen Datenklau ein großes Sicherheitsproblem: "Wenn jemand mit meiner Bordkarte ins Terminal gehen kann, kann das natürlich ein großes Problem sein, weil man da auch gar keinen Identitätscheck mehr machen kann. Nehmen wir jetzt nur mal den Fall, jemand möchte aus irgendeinem Grund das Land verlassen und das inkognito machen, wäre das ein Weg, den man gehen kann."

Noch nicht bekannt

Auf Anfrage teilte der deutsche Bundesverband der Luftverkehrswirtschaft mit, dass man bei den Buchungen ständig am Sicherheitssystem arbeite, Angriffe auf vielfältige Weise identifizieren und abwehren könne. Ein Fall, bei dem Kundendaten missbraucht oder Flüge unbefugt umgebucht wurden, sei noch nicht vorgekommen. Auch der AUA sind keine Missbrauchsfälle bei Kunden bekannt, wie das Unternehmen auf eine WebStandard-Anfrage hin antwortete.

Nohl machte in den vergangenen Jahren immer wieder gravierende Sicherheitslücken öffentlich. (red, 27.12. 2016)