Bordkarte): Auf ihr stehen viele wichtige Informationen.
Bordkarte): Auf ihr stehen viele wichtige Informationen. Swiss

FlugticketsBuchungscode ist ein Sicherheitsrisiko

Während es bei den meisten Online-Verfahren mindestens zwei Sicherheitsmaßnahmen gibt, stecken Flugbuchungen noch in der Steinzeit fest. Zu diesem Schluss kommen zumindest Experten aus Berlin.

Laura Frommberg

Top-Jobs

Oscar Echo logo

Continuing Airworthiness Specialist or Continuing Airworthiness Trainee

Job
Oscar Echo Business Jet GmbH
Eisenstadt
Feste Anstellung
Business Aviation
Österreich
Vollzeit
Top jobs
Logo Magnum FBO

Supervisor / Station Manager (m/w/d)

Job
M.A.G.N.U.M Aviation GmbH
Österreich
Salzburg
Feste Anstellung
Business Aviation
Top jobs
Vollzeit
Thüringen

Sachbearbeiter/in „Luftverkehr“ (m/w/d)

Job
Top jobs
Erfurt
Deutschland
Ministerium
Ministerium für Digitales und Infrastruktur (TMDI)
Feste Anstellung
Vollzeit
Firmenlogo Weeze Airport

Manager EASA Compliance (m/w/x)

Job
Vollzeit
Flughafen Niederrhein GmbH
Flughafen
Feste Anstellung
Top jobs
Weeze
Deutschland
EASA
compliance
weeze
airport_weeze
manager_easa
Flughafen_niederrhein
Mehr Top-Jobs >
Jetzt eigene Stellenanzeige schalten

Mehr als 90 Prozent aller Online-Flugreservierungen werden von den drei größten Global Distribution Systems GDS Amadeus, Sabre, und Travelport geregelt. Und das heißt auch: bei mehr als 90 Prozent aller Online-Flugreservierungen gibt es ein Sicherheitsrisiko. Das zumindest haben die Experten von Security Research Labs in Berlin herausgefunden. Das Unternehmen kritisiert Amadeus und Co. scharf. Es sei auch für ungeübte Hacker viel zu einfach, Buchungen zu manipulieren.

Der Grund: «Heutige GDS basieren auf Technik aus den 70er- und 80er-Jahren. Sie sind inzwischen vielleicht webbasiert, aber ihnen fehlen die richtigen Sicherheitsmaßnahmen», so das Unternehmen in einer Mitteilung. Sogar die eigentlich naheliegendste Schutzmaßnahme gibt es bei den meisten Online-Flugbuchungen nicht – ein Passwort. «Während der Rest der Welt über zweite und dritte Schutzmaßnahmen nachdenkt, fehlt hier direkt die erste», prangern die Forscher an.

Risiko Buchungscode

Die Authentifizierung der Reisenden erfolgt in den meisten Fällen über den sechsstelligen Buchungscode. Er sieht immer gleich aus, verwendet werden etwa keine Spezialzeichen und nur Großbuchstaben. Er wird zwar in Kombination mit dem Nachnamen verwendet – beide Informationen stehen aber auf Gepäckanhängern, Ticket, Bordkarte. Sobald jemand einen Blick darauf werfen kann, kann er – sofern er den bösen Willen denn hat – online ganz leicht die Buchung des Passagiers ändern oder stornieren. Man kann sogar die zugehörige Mailadresse zur eigenen ändern und sich so Freiflüge erschummeln – auf Kosten anderer.

Es ist ein weiterer Grund, die Bordkarte oder andere Reiseinformationen niemals auf Facebook zu posten. aeroTELEGRAPH demonstrierte vor Kurzem im Test, wie einfach es ist, sich Zugang zu essentiellen Passagierinformationen zu verschaffen, wenn man nur ein Foto von der Bordkarte sieht.

Meilenklau möglich

Doch nicht nur das ist laut Security Research Labs ein Problem. Auch wenn es für jeden der sechsstelligen Codes fast zwei Milliarden Möglichkeiten gibt – Hacker können sie nicht allzu schwer voraussagen. Denn: Täglich werden zum Beispiel von Amadeus ein bis zwei Millionen Buchungscodes vergeben. Und das folgt einer Logik, welche die Arbeit erleichtert. Wie die Hacker «Zeit Online» verraten, ließen sich «mit überschaubarem Aufwand» alle Buchungen eines Jahres für einen Nachnamen durchsuchen – falls es denn nicht einer der häufigsten Nachnamen ist. Ein Computer schafft, so heißt es, in einer Stunde rund 100.000 Buchungen.

Auch Meilenklau ist mit der Suchtechnik möglich, wie die Hacker dem Rechercheverbund des NDR, WDR und der Süddeutschen Zeitung demonstriert haben. Hacker können bei Flugbuchungen fremder Passagiere ganz einfach eine andere Vielfliegernummer eingeben.

Buchungscode ist ein Sicherheitsrisiko
Bordkarte): Auf ihr stehen viele wichtige Informationen.

Bordkarte): Auf ihr stehen viele wichtige Informationen.

Swiss

Bordkarte): Auf ihr stehen viele wichtige Informationen.

Mehr zum Thema

Die gepostete Bordkarte: Auf Facebook oder Twitter gibt sie wegen Codes und Strichcode vieles preis.

Warum die Bordkarte nicht auf Twitter gehört

ticker-amadeus

Amadeus integriert Emissionsdaten für Flugreisen

ticker-amadeus

Verifizierte CO₂-Angaben der Iata künftig in Amadeus integriert

Ticketkauf: Das Amadeus-System wies eine Sicherheitslücke auf.

Sicherheitslücke beim größten Buchungssystem

Video

Boeing 777-9: Das Flugzeug wird wohl sechs Jahre verspätet sein.
Flugzeuge
Boeing 777X
Boeing
Das neue Langstreckenmodell bleibt ein Sorgenkind: Statt 2026 wird die 777X wohl frühestens 2027 in den Liniendienst starten - bei Erstbetreiberin Lufthansa. Das bedeutet für Boeing hohe Zusatzkosten.
Laura Frommberg
Laura Frommberg
Das neue Sicherheitsvideo von Air France: Elegant, optisch stark und nicht überfrachtet.
Sicherheit
Sicherheitsvideo
Von Lego-Figuren bis Promis. Sicherheitsvideos von Fluggesellschaften haben sich zu kleinen Kunstwerken entwickelt. Das sind die Favoriten unserer Redaktion.
Benjamin Recklies
Benjamin Recklies
Große Schäden an beiden Flugzeugen: Die beiden Bombardier CRJ 900 nach der Kollsion.
Sicherheit
Delta Air Lines
La_Guardia
Auf dem New Yorker Flughafen LaGuardia kollidierten zwei Bombardier CRJ 900 beim Rollen. Die Tragfläche des einen traf das Cockpit des anderen Jets von Delta Air Lines.
Stefan Eiselin
Stefan Eiselin