Mindestens so wichtig wie der Schutz von Buchungscodes ist die Frage, ob Online-Anbieter die Zahlungsdaten gut absichern. Foto: dpa

Die Buchungscodes der Fluggesellschaften sind sehr leicht zu knacken. Diese beim System Amadeus seit langem bekannte und nicht reparierte Schwachstelle verschärft aber nur Risiken, die generell für alle Onlineportale gelten.

Stuttgart - Das seit Jahrzehnten von Fluglinien und anderen Verkehrsträgern benutzte Buchungssystem Amadeus ist nicht auf dem Stand moderner Passwortverschlüsselung. Die aus einer Kombination von Großbuchstaben und Zahlen bestehende Codierung der Flugtickets ist mit Rechenprogrammen, die mögliche Varianten durchspielen, leicht zu knacken. Mit dieser Erkenntnis ist nun die Berliner Sicherheitsfirma Security Research Labs (SR Labs) an die Öffentlichkeit getreten.

„Wir wissen fast genau, welche Nummern das sind, weil sie fortlaufend vergeben werden,“ sagte Karsten Nohl von SR Labs der „Süddeutschen Zeitung“ und dem WDR. Dieser Code wird zudem auch noch häufig ganz offen und damit unsicher per E-Mail kommuniziert. Zusätzlich können der Namen der buchenden Person und weitere Daten eruiert werden. „Buchungssystemen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen, und zwar das Passwort“, sagt Nohl. Die nötigen Rechenkapazitäten, um die Codes zu knacken, sind nach seinen Angaben etwa über die Internet-Cloud leicht und preisgünstig zu bekommen. Ein Computer könne in einer Stunde 100 000 Buchungen durchforsten. Amadeus verarbeite zwei Millionen Buchungen am Tag. „Das heißt, 20 Computer schaffen pro Stunde fast einen Tag, pro Tag knapp einen Monat, und ein ganzes Jahr in etwa zwei Wochen,“ sagt Nohl. Dass dies leicht zu knackende Codes sind, ist aber schon lange bekannt – darauf wurde in den USA bereits vor 15 Jahren hingewiesen.

Der Bundesverband der Deutschen Luftverkehrswirtschaft, zu dem auch die Lufthansa und Air Berlin gehören, erklärte am Dienstag, dass die von Nohl vorausgesetzten Massenanfragen nicht möglich seien. Übermäßig viele Anfragen von einem einzelnen Rechner würden blockiert.

Flugtickets sind an eine bestimmte Person gebunden

Das eröffnet seiner Aussage nach die Möglichkeit, dass ein Hacker einem Fluggast sozusagen das Ticket wegschnappt und auf dessen Kosten das Flugzeug besteigt. Das kann theoretisch auch zu einem anderen Datum sein – immer vorausgesetzt, dass die Ticketkategorie eine derartige Umbuchung zulässt. Eine weitere Voraussetzung ist, dass die Identität des Passagiers beim Einchecken oder dem Einstieg nicht kontrolliert wird. Bei Flugtickets ist es nämlich unzulässig, im Nachhinein den Namen des Reisenden zu ändern.

Infrage kommen also höchstens Flugreisen innerhalb des Schengenraums, wo am Flughafen und beim Einsteigen kein Ausweis vorgelegt werden muss – wie bei internationalen Flügen sonst üblich. Bei Flügen in die USA gibt es beispielsweise direkt vor dem Einsteigen in der Regel noch einmal eine genaue Kontrolle der Papiere. Um für Kriminelle den Markt lukrativ zu machen, müsste es zudem einen Markt für derartige Tickets geben – was wegen der Namensbindung aber nicht möglich ist.

Wenn ein Hacker selbst mit dem Ticket reist, müsste er also immer damit rechnen, dass er vielleicht doch seinen Ausweis vorzeigen muss. Ertrag und Risiko stehen also in keinem Verhältnis. Wenn es ein Massenphänomen wäre, müsste es auch massenhaft zu Beschwerden von Flugreisenden kommen, die anschließend ihr bereits von einem Hacker benutztes Ticket nicht mehr selber verwenden könnten. Realistischer und gravierender ist die Möglichkeit, den Zugang zu den Flugbuchungen dazu zu nutzen, um Reisepläne und andere Daten auszuspionieren. So könnten etwa Prominente bei Flugreisen beschattet werden. Es ist grundsätzlich problematisch, wenn eine riesige Datenbank offen zugänglich ist.

Die Sicherheitslücke öffnet das Tor für weiteren Missbrauch

Ein anderer möglicher Trick wäre, kurz nach der Buchung den Fluggästen eine sogenannte Phishing-Mail zuzuschicken, in der man sie nach den Konto- und Kreditkartendaten fragt, die allein durch das Knacken von Amadeus noch nicht ersichtlich sind. Hacker könnten auch versuchen, Bonusmeilen auf eigene Konten umzubuchen – damit müssten sie nicht selber mitfliegen und könnten die Manipulation im größeren Maßstab betreiben. Dies hätte im Gegensatz zum Umwidmen von Flugtickets vor allem auch den Vorteil, dass es deutlich unauffälliger wäre. Wenn es Hackern zudem gelingen sollte, in die Buchungssysteme von größeren Anbietern wie Reisebüros einzudringen, könnten sie diese Firmen mit einer angedrohten Manipulation von Tickets erpressen.

Doch solche Attacken sind prinzipiell bei jedem Onlineangebot möglich. Dass das Amadeus-System an dieser Stelle besonders leicht verwundbar ist, hat damit zu tun, dass es bereits Ende der achtziger Jahre eingeführt wurde. Der einstige Vorreiter ist nicht mehr auf dem neuesten Stand.

Die Sicherheitsexperten von SR Labs fordern, dass das System durch einen zusätzlichen Passwortzugang geschützt werden müsse. Dies würde, wie bei IT-Sicherheitsmaßnahmen unvermeidlich, den Buchungsprozess für die Reisenden deutlich unkomfortabler machen. Wirksam wäre ein solches Passwort nämlich nur, wenn es deutlich komplexer wäre als der Amadeus-Buchungscode selbst. Solche Passworte sind aber schwer zu merken, was die Tendenz befördert sie mehrfach und auf verschiedenen Webseiten zu benützen – was neue Sicherheitsprobleme schafft.