Freiflüge für Hacker? : Sicherheitslücke bei Online-Flugtickets entdeckt
In der Digitalisierung angekommen, machen Millionen Deutsche fast alles online. Vom Bankwechsel bis zum Wocheneinkauf kann alles bequem vom Laptop aus erledigt werden. Und so nutzen auch die meisten das Internet, wenn es um das Buchen von Flügen geht. Doch wie Karsten Nohl, Gründer und Chef der Firma Security Research Labs (SR Labs), der „Süddeutschen Zeitung“ mitteilte, befindet sich in diesem System ein Sicherheitsfehler, der Passagiere ihren teuer bezahlten Flug kosten könnte.
„Buchungssystemen wie diesen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen - und zwar das Passwort", sagt Nohl. Möchte ein Passagier auf seine Flugdaten zugreifen oder will ihn gar umbuchen oder stornieren, wird lediglich nach einem sechsstelligen Buchstaben- und Zahlencode und dem Namen gefragt.
Diese Kombination kann anschließend von jedem modernen Rechner herausgefiltert werden. „Dazu braucht man nicht einmal ausgetüftelte Hacker-Qualitäten.“, resümiert der Firmenbesitzer, „Wenn ich den Code und den Namen des eigentlichen Passagiers habe, muss ich nur noch die E-Mail-Adresse ändern. Dann merkt niemand etwas von den geänderten Daten.“ Der Hacker könnte also mithilfe des Online Check-Ins einen Flug für sich in Anspruch nehmen, für den er gar nicht bezahlt hat. Denn im Schengenraum fragt fast niemand nach dem Pass.
Aber wie groß ist das Problem tatsächlich? Zunächst scheint sich die Sicherheitslücke nur auf einige Anbieter zu begrenzen.
„Sicherheitsstandards, die auf gutem Glauben basieren“
Eines dieser Unternehmen sei beispielsweise der Reisedienstleister „Amadeus“, der Reisebüros, Online-Buchungsseiten, Fluglinien und Passagiere miteinander verbindet. Wie Nohl gegenüber der „Tagesschau“ ausführte, würden bei „Amadeus“ täglich ein bis zwei Millionen Buchungscodes vergeben werden. „Und wir kennen fast alle davon ziemlich genau, da die Ziffern fortlaufend vergeben werden.“ Dies böte erheblichen Spielraum für Hackerangriffe.
Auch Thomas Jarzombek, Vorsitzender der Arbeitsgruppe „Digitale Agenda" und CDU-Politiker erkennt wenig Bereitschaft, diese Sicherheitslücken zu schließen: „Wir erleben immer wieder, dass es Sicherheitsstandards gibt, die auf gutem Glauben basieren. Hier ist der gute Glaube offensichtlich, dass es reicht, wenn man den Namen und die Referenznummer des Fluggastes kennt und weiteres wird nicht abgefragt.“
Der Bundesverband der Deutschen Luftverkehrswirtschaft sieht das Problem allerdings als bewältigt an. Ständig würden die IT-Systeme auf Sicherheitslücken überprüft und das Stehlen von Online-Tickets wäre nur in einem geschlossenen Wartungszeitraum möglich gewesen.