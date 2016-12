Simple Sicherheitsvorkehrungen fehlen

Dass Buchungssysteme oft schlecht gesichert sind, ist keine neue Erkenntnis.

„Täglich werden ungefähr zwei Millionen Buchungen über Amadeus durchgeführt“, sagt Nohl. Ein Computer kann in einer Stunde 100.000 durchsuchen. Das heißt, 20 Computer schaffen pro Stunde fast einen Tag, pro Tag knapp einen Monat, und ein ganzes Jahr in etwa zwei Wochen. Teuer ist das nicht. „Eine Amazon-Instanz ist schon ab einem Cent pro Stunde zu haben.“

Eine Sperre, die nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen eine Auszeit für den anfragenden Rechner erzwingt, gibt es auf der Website nicht. Übrigens auch nicht auf den Websites anderer großer Buchungssysteme, wie etwa viewtrip.com und virtuallythere.com.

Da Amadeus nur Buchungen für maximal ein Jahr im Voraus ermöglicht, könne man „mit überschaubarem Aufwand“ alle Buchungen dieses Jahres für zumindest einen Nachnamen durchsuchen, sagt Nohl. Je verbreiteter der Name ist, desto mehr Buchungen kommen zusammen.

Überwachen, Stalken, Betrügen, Ausspionieren

Das erste Anwendungsszenario: Menschen stalken oder überwachen. Politiker zum Beispiel. Der Rechercheverbund NDR, WDR und Süddeutsche Zeitung hat das zu Demonstrationszwecken getan und Nohls Mitarbeiter nach Buchungen des CDU-Netzpolitikers Thomas Jarzombek suchen lassen. Sie wurden fündig. Wie der Politiker reagierte, als die Journalisten ihm seine Handynummer und andere persönliche Daten zeigten, ist etwa nachzulesen in der Onlineausgabe der SZ.

Das zweite Szenario: Ein Betrüger sucht nach häufigen Nachnamen wie Müller oder Schmidt, weil er dann viele Buchungen finden wird, loggt sich mit den Angaben aus Amadeus bei der jeweiligen Fluglinie ein und ändert dort die Vielfliegernummer. Wenn dort noch keine steht, legt er sie im Namen des Passagiers an und trägt sie ein. So sammelt er unbemerkt Bonusmeilen, die er umtauschen oder verkaufen kann.

Drittens wäre es auch möglich, Flugdaten komplett zu manipulieren, also etwa Flüge umzubuchen und gleichzeitig die E-Mail-Adresse zu ändern, damit der betroffene Passagier nicht benachrichtigt wird. In der SZ wird ein Szenario beschrieben, wie sich jemand auf diese Weise Freiflüge sichern könnte, solange er innerhalb des Schengen-Raums fliegt und keine Passkontrolle fürchten muss.

Die vierte Masche ist die potenziell schwerwiegendste: Ein Angreifer sucht in der aktuellen Buchungscodesequenz des Tages, also zum Beispiel in allen Codes, die mit Z7A beginnen, nach bestimmten Nachnamen. So kann er mit etwas Glück Buchungen finden, die gerade erst vorgenommen wurden, diese über Amadeus einsehen und dem Kunden an dessen dort hinterlegte E-Mail-Adresse eine Phishingmail schreiben.

Die könnte sinngemäß lauten: „Vielen Dank für Ihre Buchung, leider hat beim Zahlungsvorgang etwas nicht geklappt. Bitte klicken Sie auf den folgenden Link und geben Sie ihre Kreditkartendaten erneut ein.“ Mit all den Informationen aus Amadeus wäre es einfach, die E-Mail legitim erscheinen zu lassen. Phishing ist eine der effektivsten Methoden, um in fremde Systeme einzudringen, so wurden unter anderen auch der Deutsche Bundestag und das Democratic National Committee (DNC) gehackt.