Bildquelle: ©Adobe Stock / Text: dpa-AFX
Hamburg - Buchungssysteme für Flugreisen haben schwere Mängel, wenn es um den Datschutz der Passagiere angeht. Sicherheitsexperten sehen Missbrauchsmöglichkeiten. Die Buchungssysteme stammten meist aus den 70er oder 80er Jahren des vergangenen Jahrhunderts, kritisierten Karsten Nohl und Nemanja Nikodijevic von der IT-Sicherheitsfirma Security Research Labs (SRL) am Dienstagabend beim Kongress des Chaos Computer Clubs (CCC) in Hamburg. Wegen mangelhafter Zugangskontrollen zu Daten des Reservierungssystems Amadeus könne es zu vielfachem Missbrauch kommen.
Über die Analysen des SRL-Teams hatte am Dienstag vorab auch die "Süddeutsche Zeitung" berichtet. "Viel zu viele Leute haben Zugang zu viel zu vielen Informationen", kritisierte Nohl. Das sind nach seinen Analysen nicht nur die Mitarbeiter von Reisebüros und Fluggesellschaften, sondern auch Außenstehende. Die Anmeldung zur Einsicht in persönliche Buchungsdaten erfordert im europäischen Reservierungssystem Amadeus lediglich den Nachnamen und die sechsstellige Buchungsnummer. Dies entspreche in keiner Weise aktuellen Sicherheitsanforderungen, kritisierte Nohl.
Nachdrücklich warnten die Experten vor der Veröffentlichung von Bordkarten-Fotos, wie es in sozialen Netzwerken wie Instagram tausendfach üblich sei. Der darauf abgebildete Barcode lässt sich mit frei verfübaren Mitteln auslesen und gibt dann die Buchungsnummer frei. Nach der Anmeldung mit diesen Daten stehe auch der volle Fluggastdatensatz (PNR) mit Name, Adresse, Telefonnummer und anderen Daten offen.
Etliche Web-Formulare von Reiseanbietern seien nicht gegen "Brute-Force"-Angriffe geschützt, kritisierte Nohl. "Das finde ich ziemlich schockierend." Diese riesigen Sicherheitsmängel dürften nicht länger ignoriert werden.