Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

System für Flugtickets hat offenbar schwere Sicherheitslücke

...
t-online.de ist ein Angebot der Ströer Content Group

Buchungscodes  

System für Flugtickets hat offenbar schwere Sicherheitslücke

27.12.2016, 10:30 Uhr | chs, Spiegel Online

System für Flugtickets hat offenbar schwere Sicherheitslücke. Zahlreiche Fluggesellschaften sollen ein Ticketsystem nutzen, dass sich ausspähen lässt. (Quelle: Thinkstock by Getty-Images)

Zahlreiche Fluggesellschaften sollen ein Ticketsystem nutzen, dass sich ausspähen lässt. (Quelle: Thinkstock by Getty-Images)

Ein paar Buchstaben und Zahlen, mehr braucht es nicht. Für Flugreisende sind Buchungscodes praktisch. Laut Medienberichten hat das System aber einen Haken: Tickets lassen sich angeblich kapern.

Passwort? Nicht nötig! Wenn Flugpassagiere vor ihrer Reise online einchecken oder den Abflug ändern wollen – sofern ihr Tarif das hergibt –, benötigen sie dafür nur ihren Nachnamen und einen für gewöhnlich sechsstelligen Buchungscode. Es ist eigentlich eine angenehm simple Angelegenheit.

Der Code setzt sich zusammen aus den Ziffern "2" bis "9" sowie den Großbuchstaben – insgesamt ergeben sich so anderthalb Milliarden Möglichkeiten. Da klingt es einigermaßen unwahrscheinlich, dass Übeltäter die Kombinationen womöglich erraten und sich so Freiflüge erschleichen könnten. Laut einem Bericht der "Süddeutschen Zeitung", der auf gemeinsamen Recherchen mit dem WDR beruht, hat das System aber eine gravierende Sicherheitslücke. Auch "Zeit Online" schreibt über das Problem.

Die Sicherheitslücke mache es möglich, dass Hacker Flüge unerlaubt umbuchen und sich so Gratis-Tickets unwissender Reisender verschaffen könnten, heißt es.

Sicherheitslücken bei Lufthansa und Air Berlin

Die Berichte berufen sich auf Informationen des Unternehmens Security Research Labs. Dieses will das Problem im Amadeus-System identifiziert haben, das von zahlreichen Fluggesellschaften verwendet wird, darunter zum Beispiel Lufthansa und Air Berlin. Nach Angaben von Amadeus nutzten im vergangenen Jahr 747,3 Millionen Passagiere das System für Flug- aber etwa auch für Zugreisen.

Laut SR Labs vergibt Amadeus die Buchungscodes – etwa ein bis zwei Millionen am Tag – fortlaufend. Das bedeute, dass bei einem automatisierten Hackerangriff auf das System längst nicht alle Codes durchprobiert werden müssten.

Damit Angreifer sich ein Ticket unerlaubt besorgen und kapern könnten, bräuchten sie nur den Namen des ursprünglichen Reisenden sowie den Reisezeitraum. Mit diesen Informationen ließen sich die Kombination aus Name und möglichen Codes nacheinander durchprobieren – und das Ticket im Erfolgsfall einfach umbuchen. Denn probiere man falsche Codes, passiere rein gar nichts.

"Temporäres Wartungsfenster"

Die "Süddeutsche Zeitung" zitiert eine Stellungnahme des Bundesverbandes der Deutschen Luftverkehrswirtschaft, wonach die IT-Systeme der Unternehmen "ständig auf Sicherheitslücken untersucht" würden. Übermäßig viele Anfragen, die von einem einzelnen Rechner ausgehen, würden blockiert.

Und was sagt Amadeus? Laut dem Bericht gesteht die Firma ein, es habe ein "temporäres Wartungsfenster" gegeben, in denen wiederholte Anfragen nicht blockiert wurden. Die "Süddeutsche Zeitung" zitiert dagegen Security Research Labs mit der Aussage, man habe "über Wochen hinweg immer wieder mehrere Millionen Kombinationen" durchprobieren können.

Neben Amadeus gibt es auch noch andere Buchungssysteme. Ob sie mit ähnlichen Problemen zu tun haben, ist nicht ohne weiteres zu sagen. Manche Fluggesellschaften wie Easyjet setzen inzwischen auch auf siebenstellige Buchungscodes, was die Zahl der Möglichkeiten zumindest erhöht.

Probleme bereits vor Jahren gemeldet

"Zeit Online" verweist darauf, dass der Reisejournalist und Bürgerrechtler Edward Hasbrouck bereits vor mehr als einem Dutzend Jahren auf Probleme mit den sechsstelligen Buchungscodes hingewiesen habe.

Die aktuellen Veröffentlichungen kommen kurz vor der diesjährigen Ausgabe des Chaos Communication Congress (33C3), der ab Dienstag zum vorerst letzten Mal im Hamburger Kongresszentrum CCH stattfindet. Im Rahmen des Treffens werden häufig IT-Sicherheitslücken publikumswirksam thematisiert.

Weitere spannende Themen finden Sie auf unserer Digital-Startseite.

Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Video des Tages

Shopping
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • Magenta SmartHome
  • Telekom Sport
  • Freemail
  • Telekom Mail
  • Sicherheitspaket
  • Vertragsverlängerung Festnetz
  • Vertragsverlängerung Mobilfunk
  • Hilfe
© Ströer Digital Publishing GmbH 2017