Experten warnen Buchungssysteme bei Flugreisen nicht sicher genug
Hamburg (dpa) - Bei der Buchung von Flugreisen werden nach Einschätzung von Sicherheitsexperten wesentliche Vorkehrungen für den Datenschutz von Passagieren missachtet. Die Buchungssysteme stammen meist aus den 70er oder 80er Jahren des vergangenen Jahrhunderts.
Das kritisierten Karsten Nohl und Nemanja Nikodijevic von der IT-Sicherheitsfirma Security Research Labs (SRL) beim Kongress des Chaos Computer Clubs (CCC) in Hamburg. Wegen mangelhafter Zugangskontrollen zu Daten des Reservierungssystems Amadeus könne es zu vielfachem Missbrauch kommen.
„Viel zu viele Leute haben Zugang zu viel zu vielen Informationen“, kritisierte Nohl. Das sind nach seinen Analysen nicht nur die Mitarbeiter von Reisebüros und Fluggesellschaften, sondern auch Außenstehende. Die Anmeldung zur Einsicht in persönliche Buchungsdaten erfordert im europäischen Reservierungssystem Amadeus lediglich den Nachnamen und die sechsstellige Buchungsnummer. Dies entspreche in keiner Weise aktuellen Sicherheitsanforderungen, kritisierte Nohl.
Nachdrücklich warnten die Experten vor der Veröffentlichung von Bordkarten-Fotos, wie es in sozialen Netzwerken wie Instagram tausendfach üblich sei. Der darauf abgebildete Barcode lässt sich mit frei verfügbaren Mitteln auslesen und gibt dann die Buchungsnummer frei. Nach der Anmeldung mit diesen Daten stehe auch der volle Fluggastdatensatz (PNR) mit Name, Adresse, Telefonnummer und anderen Daten offen.
Etliche Web-Formulare von Reiseanbietern seien nicht gegen „Brute-Force“-Angriffe geschützt, kritisierte Nohl. „Das finde ich ziemlich schockierend.“ Diese riesigen Sicherheitsmängel dürften nicht länger ignoriert werden.