https://www.faz.net/-hbv-88pnv

Sicherheitstipp : Machen Sie Ihre Bordkarte kaputt

  • -Aktualisiert am

Können Unbefugte die eigene Flugbuchung bearbeiten? Ausgeschlossen ist das nicht. Bild: dpa

Beim Fliegen verraten die Bordkarten mehr über ihren Besitzer, als man denkt. Wer sicher gehen will, sollte seine Karte nach dem Flug nicht einfach liegen lassen.

          3 Min.

          Rund 210 Millionen Passagiere wurden 2014 an deutschen Flughäfen gezählt. Ebenso viele Bordkarten wurden in diesem Zeitraum ausgestellt; egal ob sie von den Fluggästen selbst ausgedruckt, auf dem Smartphone abgespeichert oder am Checkin-Schalter ausgehändigt wurden. Auf jedem Dokument finden sich Informationen zum Passagier und dessen Reiseverlauf – Daten, die potentiell auch von unbefugten Dritten eingesehen und bearbeitet werden können. Davor warnt nun ein amerikanischer Sicherheitsexperte.

          In seinem Blog „Krebs on Security“ deckt der Journalist Brian Krebs Sicherheitslücken bei Flugtickets auf. Dabei sind viele Daten bereits mit dem bloßen Auge erkennbar: Wenn jemand eine Bordkarte aus Papier nutzt und die am Flughafen offen liegen lässt, können Dritte ohne Probleme Name, Flugnummer und Sitzplatz des Passagiers ablesen. Das stört die Passagiere normalerweise wenig. Denn mit diesen Daten können Unbefugte in der Regel wenig anfangen. Da bleibt die Bordkarte auch mal nach dem Flug achtlos auf dem Flugzeugsitz.

          Dritte könnten Flüge annullieren

          Doch die Bordkarte verrät viel mehr, als in Ziffern und Buchstaben darauf steht. Denn im Barcode verstecken sich noch weitere Daten: zum Beispiel die Buchungsnummer des Tickets und, sofern vorhanden, die Vielfliegernummer des Passagiers. Die kann jeder auswerten: Im Internet finden sich Webseiten, die verschiedene Barcode-Typen erkennen und analysieren können (für Papier-Bordkarten und für Smartphone-Bordkarten). Alles, was dazu benötigt wird, ist ein Foto des Codes, das der Nutzer dann zum Auslesen hochladen kann.

          Mit den so gewonnen Daten kann jeder online die Reisedaten der Ticketinhaber ändern. Auf den Webseiten vieler Fluglinien reichen schon Nachname und die Buchungsnummer als Ausweis für Stornierungen und Umbuchungen. So kann es passieren, dass ein Dritter durch die Bordkarte an die Login-Daten eines Fluggastes gelangt und dessen Rückflug von der Reise annulliert, für den sich der Betroffene noch nicht eingecheckt hat.

          Auch das Vielfliegerkonto lässt sich einsehen

          Auch zukünftige Buchungen könnten manipuliert werden: Sicherheitsexperte Krebs berichtet in seinem Blog von einem Fall, bei dem Dritte über die Buchungsnummer auch auf das generelle Nutzerprofil eines Passagiers bei einer Fluggesellschaft zugreifen konnte, bei der er mit einer Vielfliegernummer eingetragen war. Einmal eingeloggt, konnten sämtliche Flüge der betreffenden Person eingesehen – und einzelne Verbindungen storniert werden.

          Bei den meisten Fluggesellschaften gestaltet sich der Login zum Profil eines Nutzers hingegen etwas sicherer, wenn auch nicht unüberwindbar. Meist wird neben der Vielfliegernummer ein drei- bis fünfstelliger Pincode benötigt, um sich anzumelden. Diese Variante ist sicherer, denn der Zugangscode wird auf Bordkarten nicht abgebildet; ein direkter Zugriff auf das Nutzerprofil ist über die Informationen des Flugtickets also nicht möglich.

          Allerdings: Gibt man auf den Login-Seiten verschiedener Fluglinien an, man habe seinen Pin vergessen, schicken nicht alle Unternehmen dem Nutzer einen neuen Pin an die von ihm hinterlegte Mailadresse zurück. Stattdessen kann sich ein Unbefugter durch die Beantwortung von Sicherheitsfragen Zutritt zum Nutzungsprofil verschaffen. Wie lautet der Mädchenname der Mutter? Wie hieß das erste Haustier? Informationen, die sich unter Umständen leicht in sozialen Netzwerken herausfinden lassen – sofern der Betroffene auch dort seine Daten nicht ausreichend geschützt hat.

          Simpler Rat: Handy nutzen oder Bordkarte sichern

          Bei den Fluggesellschaften sorgen die Datenlücken nicht für Kopfzerbrechen. Lufthansa-Sprecher Thomas Jachnow dementiert auf FAZ.NET-Anfrage sogar, dass über das Auslesen des Bordkarten-Codes die Buchungsnummer oder Mile-&-More-Nummer des Fluggastes eingesehen werden kann: “Nach meinem Kenntnisstand ist das nicht möglich.“ Dabei zeigen Tests von FAZ.NET, dass die Daten tatsächlich in den Barcodes stecken.

          Dennoch warnt das Unternehmen Passagiere vor einem sorglosen Umgang mit dem Ticket. „Ein achtloses Wegwerfen der Bordkarte ist nicht ratsam“, sagt Jachnow. „Nach dem Flug sollte das Ticket entweder unlesbar gemacht werden oder zu Hause aufbewahrt werden.“ Die meisten Lufthansa-Kunden würden aber bereits mit digitalen Tickets auf ihren Smartphones reisen, so Jachnow.

          Auch Air Berlin appelliert auf Anfrage an die Verantwortung der Passagiere. „Wir empfehlen unseren Fluggästen, insbesondere vor dem Flug sorgsam mit ihrer Bordkarte umzugehen und diese nach dem Flug sicher zu entsorgen“, so das Unternehmen. Zugleich betont Air Berlin, das die Bearbeitungsmöglichkeiten in ihrem Online-Buchungsportal begrenzt seien: „Eine Stornierung der Buchung ist auf diesem Wege nicht möglich.“

          Weitere Themen

          Die Bauzinsen steigen etwas

          Haus finanzieren : Die Bauzinsen steigen etwas

          Die Zinsen für Baudarlehen legen nach langer Zeit mal wieder etwas zu. Das ist eine Folge der jüngsten Bewegungen an den Finanzmärkten. Was heißt das für die Immobilienpreise?

          Topmeldungen

          Gekühlte Lichtleiter des Quantencomputers IBM Q System One, der von der Fraunhofer Gesellschaft eingesetzt wird.

          Quantencomputer : Computer üben den Quantensprung

          Quantencomputer laufen inzwischen stabil. Sie ziehen in die konventionellen Rechenzentren ein. Doch beim Umzug in die Datenzentren gibt es einige Herausforderungen zu bewältigen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.