Airline-Bordkarten enthalten persönliche Daten, die nicht in falsche Hände geraten sollten. Doch diese Warnung hat sogar der Lufthansa-Vorstandschef Carsten Spohr offenbar nicht beherzigt.
Vorsicht im Umgang mit Bordkarten übt offenbar nicht jeder. Wer auf Instagram nach dem Hashtag „Boarding Pass“ sucht, der bekommt aktuell mehr als 134 000 Treffer gelistet. Vermutlich machen sich die wenigsten User Gedanken über das Thema Sicherheit, wenn sie stolz ihre Reisetrophäe posten. Aber das ist ein Fehler. Alle Fluggesellschaften raten ihren Passagieren, mit der Bordkarte so sorgsam umzugehen wie mit Geld. Kommt sie in falsche Hände, dann können sogar Laien damit sensible Daten abfragen. Doch diese Empfehlung hat offenbar nicht einmal Lufthansa-Vorstandschef Carsten Spohr beherzigt. Wie der „Spiegel“ erfuhr, haben Unbekannte mithilfe einer Bordkarte unter anderem seine Mail-Adresse und die Handynummer abgegriffen.
Fremde kommen an Log-in-Daten
Sicherheitsexperten wie der Tscheche Michal Spacek weisen seit Jahren darauf hin, dass der Barcode auf einer Bordkarte verwendet werden kann, um zukünftige Reisepläne auszuspähen. Spacek gelingt es auf einschlägigen IT-Sicherheitskonferenzen immer wieder live, bevorstehende Flüge zu ändern und zu stornieren. Auch die Vielfliegerinformationen eines Reisenden liegen schon nach Sekunden wie ein offenes Buch vor ihm. Der Grund dafür liegt in einer kaum zu glaubenden Unbekümmertheit der meisten Fluggesellschaften. Auf ihren Webseiten reichen bereits der Nachname und die Buchungsnummer als Username und Passwort, um Stornierungen und Umbuchungen vorzunehmen. So kann es passieren, dass ein Fremder durch die Bordkarte an die Login-Daten eines Fluggastes gelangt und etwa dessen Rückflug von der Reise annulliert, für den sich der Betroffene noch gar nicht eingecheckt hat. Wenn der Betroffene dann das Malheur bemerkt, hat vermutlich längst ein anderer den freien Platz im Flieger ergattert.
Um die Barcodes auf den Bordkarten auszulesen, reicht ein einfaches Barcodelesegerät, das man für 17,99 Euro bei Amazon erwerben kann. Dieses steckt man einfach statt der Tastatur an seinen Laptop. Und schon liegen die in den Bordkarten gespeicherten Informationen im Klartext vor. Trotzdem haben auch große Fluggesellschaften wie United und Lufthansa diese Sicherheitslücke über die Jahre hinweg nicht ausreichend behoben.
Buchungscode ist zugleich das Passwort
Das Problem ist mindestens seit 2017 bekannt. Schon damals prangerten die Sicherheitsexperten Karsten Nohl und Nemanja Nikodijevic an, dass zahlreiche Fluggesellschaften im Wesentlichen den sechsstelligen Buchungscode, auch PNR genannt, als temporäres Passwort verwenden. Während die Leute reisen, wird der PNR an alles, von Bordkarten bis zum Gepäckaufkleber, gemeinsam mit dem Namen des Passagiers angehängt. „Jeder würde vermuten, dass eine Zeichenfolge, die wie ein Passwort verwendet wird, auch so geheim gehalten bleibt wie ein Passwort“, sagte Nohl. „Aber das tun sie (die Airlines) nicht, sondern drucken es auf alles, was man von der Fluggesellschaft bekommt.“
Eine digitale Karte ist sicherer
Für Flugreisende bedeutet das: Grundsätzlich sollten sie ihre Bordkarte so sorgfältig wie Bargeld oder Reisepass behandeln. Fotos davon postet man nicht im Internet und lässt sie – auch wenn die Bordkarte schon abgelaufen ist – nie im Hotel zurück. Man wirft sie auch nicht in einen öffentlichen Mülleimer, sondern schreddert sie am besten.
Mit dem Smartphone ist es sicherer
Wer unbedingt meint, Freunde über seine Reisen auf dem Laufenden halten müssen, der sollte in Betracht ziehen, den Barcode abzukleben und die Story nicht für jedermann zu veröffentlichen. Oder der Flugreisende besorgt sich eine digitale Bordkarte, die nur auf dem Handy verfügbar ist. Der Sicherheitscode des Mobilgeräts schützt diese Daten, auch wenn das Smartphone gestohlen wird oder verloren geht. Am sichersten ist es freilich, während des Fluges ein schönes Bild des Sonnenuntergangs oder der Flugzeugflügel zu machen und dieses dann statt der Bordkarte zu teilen.
Was Unbekannte abgreifen können
Daten
Boardingpässe der Fluggesellschaft enthalten nicht nur Informationen zum jeweiligen Flug, sondern zum Beispiel auch die Vielfliegernummer. Mit dieser Nummer und dem Nachnamen des Kunden können Unbefugte auf der Lufthansa-Website zum Beispiel die jeweilige Buchung auslesen, Bordkarten drucken oder die Versandart für Boardingpässe ändern.
Pläne
Erst um sich ins Nutzerprofil einzuloggen, ist eine PIN nötig. Bei Lufthansa ist die Sicherheitslücke seit Jahren bekannt. Sie soll durch einen neuen Standard behoben werden.