Betrug mit Buchungscodes So leicht sind Reisebuchungen zu hacken

Seite 3 von 3:
Stalking durch schlecht gesicherte Daten

Die Gefahr kommt aus dem Netz – Ist Deutschland gewappnet?

Die Gefahr kommt aus dem Netz – Ist Deutschland gewappnet?

Die Buchungsnummer lässt sich aber auch anders feststellen. Sie steckt im Barcode eines Tickets und auch im Barcode, der am Flughafen an jedem Gepäckstück befestigt ist. Ein Foto davon reicht, um den Barcode mithilfe einer Scannerapp auf dem Smartphone auszulesen. Seit Langem warnen Sicherheitsexperten davor, Fotos von Tickets auf Instagram oder andernorts im Netz zu veröffentlichen. Aber Nohls Mitarbeiter Nemanja Nikodijevic findet noch heute innerhalb von Minuten ein Foto, das ein vorfreudiger Reisender von seinem Boardingpass gemacht hat. Eine halbe Minute später weiß Nikodijevic, wie der Reisende heißt, wie seine E-Mail-Adresse lautet, seine Telefonnummer, wann er wohin ab- und wann er zurückfliegt und überhaupt alles, was der Mann bei der Flugbuchung angegeben hat.

Dass die Buchungssysteme an sich schlecht gesichert sind, ist keine neue Erkenntnis. Der Reisejournalist und Bürgerrechtler Edward Hasbrouck, der zwischen 1991 und 2006 in Reisebüros arbeitete und diese bei der Vernetzung mit den Reisedatenbanken beriet, warnte bereits vor mehr als 14 Jahren davor, dass Buchungscodes als sechsstellige Passwörter schlechte Passwörter sind. Er bekam sogar einen Journalistenpreis von der American Travel Writers Foundation für seinen Artikel von damals und hatte den Betreiber des Sabre-Buchungssystems auf die Schwachstellen aufmerksam gemacht.

Das sind die zehn größten Datenschutzsünden
Digitale Sünder
1 von 11

Jemand anderem die EC-Karten-Pin verraten, immer das selbe, einfallslose Passwort verwenden, das umstrittene Teilen von Kinderfotos über Facebook: Eine Forsa-Umfrage hat ermittelt, wie häufig welche Fahrlässigkeiten beim Datenschutz vorkommen. Dabei geben 27 Prozent an, ganz ohne Sünde zu sein. Die größte Gruppe stellen hier mit 43 Prozent die über 60-Jährigen – mit sinkendem Alter nimmt die Prozentzahl der Sündenlosen ab. Bei den 45- bis 59-Jährigen sind es noch 28 Prozent, dann folgen die 30- bis 44-Jährigen (18 Prozent) und von den 18- bis 29-Jährigen sind nur zehn Prozent ohne Sünde. Die Frauen (30 Prozent) stehen besser da als die Männer (24 Prozent). Doch wo wird am meisten gesündigt?

Quelle: Forsa-Studie „Die größten Sünden 2015 – Teil 5: Datensicherheit“ im Auftrag der Gothaer

Platz 10: Auf Spam-Mail antworten
2 von 11

Aus Versehen auf die Mail von zwielichtigen Absendern, die auf krumme Geschäfte hoffen, geantwortet – das ist doch jedem schon einmal passiert, oder? Ein Prozent der Befragten haben auf eine Spam-Mail geantwortet – vor allem machen das Männer im Alter von 45 bis 59 Jahren oder über 60 Jahre.

Platz 9: Einen Flug auf einem unbekannten Portal buchen
3 von 11

Die Seite sieht aus wie mit Paint gemalt und liest sich wie frisch von Google übersetzt, aber dafür kostet der Flug nach New York und zurück auf auch nur 200 Euro. Gut, vielleicht ein leicht überzogenes Beispiel. Dennoch: Drei Prozent der Befragten haben sich schon einmal durch günstige Preise dazu hinreißen lassen, einen Flug auf einem unbekannten Portal zu buchen. Vor allem bei den Unter-30-Jährigen sind derartige Seiten beliebt (acht Prozent).

Platz 8: E-Mail-Anhang von Unbekannten öffnen
4 von 11

Vertrauen Sie keinen E-Mail-Anhängen von unbekannten Absendern. Denn öffnen Sie auch nur einen falschen Anhang, kann ihr Computer schon infiziert sein. Insgesamt fünf Prozent haben bereits diesen Fehler gemacht. „Dateianhang nicht öffnen“ lautet hier die Devise.

Platz 7: Anderen Personen die Pin verraten
5 von 11

Auffällig ist, dass vor allem junge Menschen zwischen 18 und 29 Jahren besonders fahrlässig mit Daten umgehen. Den Pin-Code, für das Smartphone zum Beispiel, verraten 13 Prozent anderen Menschen (gesamt: sechs Prozent).

Platz 6: Virenscanner abbrechen
6 von 11

Wenn man keine Anti-Virus-Software verwendet oder diese nicht regelmäßig aktualisiert, ist das System ungeschützt vor Hackern. Auch weil es oft zu schnell gehen soll: Zwölf Prozent der Jüngeren (18 bis 29 Jahre) haben schon einmal den Virenscan abgebrochen, weil er zum Beispiel ihren Computer verlangsamte (gesamt: sieben Prozent).

Platz 5: Kinderbilder in sozialen Netzwerken teilen
7 von 11

Wenn Eltern unbekümmert Bilder ihrer Kinder in sozialen Netzwerken posten, kann das gefährlich werden. Zehn Prozent der Befragten scheinen sich dieser Gefahr nicht bewusst zu sein.

Zuletzt schrieb er im April auf der Website des Identity Projects, das sich für die Rechte von Reisenden stark macht, die Systeme seien bereits gehackt worden. Die Entwickler, Verkäufer und Nutzer der Buchungssysteme könnten also längst wissen, dass die Daten ihrer Kunden schlecht gesichert sind.

Auf Anfrage sagt Hasbrouck, er habe in seiner Zeit als Reisebüromitarbeiter Fälle von Stalking erlebt, die durch die schlecht gesicherten Daten möglich waren. Dass es auch schon größere Angriffe gab, hält er für wahrscheinlich, „denn Zugriffe auf die PNR-Daten werden nicht aufgezeichnet“. Nohl bestätigt, dass erst Änderungen, nicht das bloße Lesen, vermerkt werden.

Ob die Betreiber planen, etwas dagegen zu unternehmen, ist unklar. Die deutsche Pressestelle von Amadeus hat eine entsprechende E-Mail-Anfrage von Zeit online in der vergangenen Woche nicht beantwortet. Auf Anfrage des Rechercheverbundes hatte das Unternehmen mitgeteilt, es habe ein „temporäres Wartungsfenster“ gegeben, in denen die vielfachen Anfragen nicht blockiert worden seien.

Noch mehr Schaden kann ein Betrüger anrichten, wenn er den Amadeus-Zugang eines Reisebüros oder einer Fluglinie hat. Diese können alles einsehen und ändern, was über das Reisebüro respektive die ganze Fluglinie gebucht wurde, was auch Hotelübernachtungen und Mietwagen einschließen kann. Darüber werden Nohl und Nikodijevic am Dienstagabend auf dem 33. Chaos Communication Congress (33C3) in Hamburg sprechen.

Startseite
Seite 123Alles auf einer Seite anzeigen

Mehr zu: Betrug mit Buchungscodes - So leicht sind Reisebuchungen zu hacken

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%