http://www.faz.net/-gqe-8orwr
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER
F+ Icon
F.A.Z. PLUS
abonnieren
F.A.Z.-Index -- --
DAX ® -- --
Dow Jones -- --
EUR/USD -- --

Veröffentlicht: 26.12.2016, 21:48 Uhr

Freiflüge für Hacker? Sicherheitslücke bei Online-Flugtickets entdeckt

Dass Flüge online gebucht werden, gehört mittlerweile zum Alltag und hat bisher prima funktioniert. Nun wurde allerdings eine Lücke im System gefunden, die nicht nur Fluggästen Sorge bereiten dürfte.

© dpa Was, wenn schon eine andere Person Ihr Flugticket benutzt hat?

In der Digitalisierung angekommen, machen Millionen Deutsche fast alles online. Vom Bankwechsel bis zum Wocheneinkauf kann alles bequem vom Laptop aus erledigt werden. Und so nutzen auch die meisten das Internet, wenn es um das Buchen von Flügen geht. Doch wie Karsten Nohl, Gründer und Chef der Firma Security Research Labs (SR Labs), der „Süddeutschen Zeitung“ mitteilte, befindet sich in diesem System ein Sicherheitsfehler, der  Passagiere ihren teuer bezahlten Flug kosten könnte.

„Buchungssystemen wie diesen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen - und zwar das Passwort", sagt Nohl. Möchte ein Passagier auf seine Flugdaten zugreifen oder will ihn gar umbuchen oder stornieren, wird lediglich nach einem sechsstelligen Buchstaben- und Zahlencode und dem Namen gefragt.

Mehr zum Thema

Diese Kombination kann anschließend von jedem modernen Rechner herausgefiltert werden. „Dazu braucht man nicht einmal ausgetüftelte Hacker-Qualitäten.“, resümiert der Firmenbesitzer, „Wenn ich den Code und den Namen des eigentlichen Passagiers habe, muss ich nur noch die E-Mail-Adresse ändern. Dann merkt niemand etwas von den geänderten Daten.“ Der Hacker könnte also mithilfe des Online Check-Ins einen Flug für sich in Anspruch nehmen, für den er gar nicht bezahlt hat. Denn im Schengenraum fragt fast niemand nach dem Pass.

Aber wie groß ist das Problem tatsächlich? Zunächst scheint sich die Sicherheitslücke nur auf einige Anbieter zu begrenzen.

„Sicherheitsstandards, die auf gutem Glauben basieren“

Eines dieser Unternehmen sei beispielsweise der Reisedienstleister „Amadeus“, der Reisebüros, Online-Buchungsseiten, Fluglinien und Passagiere miteinander verbindet. Wie Nohl gegenüber der „Tagesschau“ ausführte, würden bei „Amadeus“ täglich ein bis zwei Millionen Buchungscodes vergeben werden. „Und wir kennen fast alle davon ziemlich genau, da die Ziffern fortlaufend vergeben werden.“ Dies böte erheblichen Spielraum für Hackerangriffe.

Auch Thomas Jarzombek, Vorsitzender der Arbeitsgruppe „Digitale Agenda" und CDU-Politiker erkennt wenig Bereitschaft, diese Sicherheitslücken zu schließen: „Wir erleben immer wieder, dass es Sicherheitsstandards gibt, die auf gutem Glauben basieren. Hier ist der gute Glaube offensichtlich, dass es reicht, wenn man den Namen und die Referenznummer des Fluggastes kennt und weiteres wird nicht abgefragt.“

Der Bundesverband der Deutschen Luftverkehrswirtschaft sieht das Problem allerdings als bewältigt an. Ständig würden die IT-Systeme auf Sicherheitslücken überprüft und das Stehlen von Online-Tickets wäre nur in einem geschlossenen Wartungszeitraum möglich gewesen.

Aus dem Schneider beim Atommüll

Von Andreas Mihm

Der Weg für einen Staatsfonds zur Deckung der Altlasten der Atomstromerzeugung ist endgültig frei. Aber die wichtigste Frage bleibt ungeklärt. Mehr 2 2

Abonnieren Sie den Newsletter „Wirtschaft“

Nachrichten in 100 Sekunden
Nachrichten in 100 Sekunden
Zur Homepage