Amadeus-Sicherheitsproblem Einladung für Cyber-Vandalen

Das aktuelle Sicherheitsproblem des Buchungssystems Amadeus ist im Grunde ein Konzeptfehler: Das System verzichtete bisher darauf, dass Nutzer ihre Identität beweisen. Das muss sich nun ändern.

Elektronischer Check-in: Steht da noch, was da stehen soll?
Getty Images

Elektronischer Check-in: Steht da noch, was da stehen soll?

Von


Mit geringem Aufwand, berichteten "Süddeutsche Zeitung" und "Zeit Online", lasse sich das Buchungssystem Amadeus knacken, über das beispielsweise Lufthansa und Air Berlin ihre Buchungen abwickeln. 747,3 Millionen Passagierbuchungen für Zug und Flug liefen im letzten Jahr über das System. Im Amadeus-System wird festgemacht, wer, wann für wie viel von A nach B reist - und wo A und B liegen.

Und dieses System, behauptet die "Süddeutsche", lasse sich knacken und Buchungen verändern und manipulieren. Alles, was man dafür brauche, sei eine Software, die in schneller Abfolge Zahlen-und-Buchstaben-Kombinationen "ausprobiert".

Solche Passwort-Cracker gehören zur Grundausstattung nicht nur von Hackern, sondern auch von Systemadministratoren, die damit die Rechner vergesslicher Angestellter wieder zugänglich machen können. Es gibt sie wie Sand am Meer, denn sonderlich anspruchsvoll ist so etwas nicht. Wer so einen Cracker sucht, wird innerhalb von Sekunden per Google fündig.

Der Rest ist profan: Jedes System, das die Höchstzahl der Versuche mit falschen Eingaben nicht begrenzt, ist auf diese Weise zu knacken. Je weniger Variablen der zu knackende Code hat, desto schneller geht das.

Eigentlich sei das System gegen so etwas gesichert, ließ das Unternehmen Amadeus kurz nach der Veröffentlichung des Problems wissen. Nur in einem temporären "Wartungsfenster" sei der Trick möglich gewesen. Stimmt nicht, sagt das Sicherheitsunternehmen Security Research Labs (SRL), auf dessen Recherchen sich die Medienberichte stützen, man habe das über Wochen hinweg immer wieder ausgetestet.

Im Kern stammten Buchungssysteme wie Amadeus aus vergangenen Jahrzehnten, bis zurück in die 70er und 80er-Jahre, sagte SRL-Chef Karsten Nohl am Dienstagabend beim Kongress des Chaos Computer Clubs. Sie entsprächen "in keiner Weise" aktuellen Sicherheitsanforderungen. Da steht nun Aussage gegen Aussage.

Doch wie schlimm ist das alles eigentlich?

Schon am Dienstagmorgen hatten die betroffenen Firmen offenbar eine gemeinsame Krisenstrategie gefunden, wie die Antwort eines Lufthansa-Sprechers verriet: "Bitte haben Sie Verständnis, dass wir Sie bezüglich einer Beantwortung (Ihrer Fragen) an den Bundesverband der deutschen Luftverkehrswirtschaft (BdL) verweisen müssen, der im Namen aller betroffenen Mitglieder die Kommunikation übernimmt."

SPIEGEL ONLINE wandte sich daraufhin mit folgenden Fragen an den BdL:

  • Wenn es stimmt, dass das Problem nur in einem "temporären Zeitfenster" bestand, wie sichern die Unternehmen und Amadeus normalerweise ihre Kundenbuchungen?
  • Welche Konsequenzen werden die betroffenen Unternehmen aus der Veröffentlichung der Lücke ziehen?
  • Mit den Berichten steigt die Gefahr der Ausnutzung der Sicherheitslücke: Was tun die Unternehmen aktuell dagegen?
  • Gab es in der Vergangenheit konkrete Fälle der Datenmanipulation auf diesem Wege?
  • Welche Arten von Schädigungen könnte ein Angreifer überhaupt verursachen, der sich so Zugriff zu den Buchungen eines Ihrer Kunden verschafft?

BdL-Sprecher Peter Königsfeld verwies in Bezug auf die ersten zwei Fragen an Amadeus. Ansonsten untersuchten die Luftfahrtunternehmen ihre IT-Systeme "ständig auf Sicherheitslücken" und passten diese "veränderten Bedrohungslagen" an.

Königsfeld: "So besteht beispielsweise ein mehrschichtiger Mechanismus zur Abwehr von sogenannten Brute-Force-Attacken sowie von automatisierten Angriffen. Auf diese Art sollen unter anderem übermäßig viele Anfragen von nur einem System verhindert werden. Zusätzlich werden die Kontenaktivitäten sowohl maschinell als auch manuell auf Hinweise von Auffälligkeiten untersucht."

Dazu gehöre die Überwachung der Daten im System auf "Unregelmäßigkeiten, statistische Ausreißer oder sonstige Anzeichen eines Angriffs". Details zur IT-Sicherheit könnten die Unternehmen aus Sicherheitsgründen nicht kommunizieren.

Konkret wird der BdL-Sprecher nur in Bezug auf die Frage nach bisherigen Schadensfällen: "Bisher ist ein solcher Fall noch nicht eingetreten."

Amadeus wagt sich vor: Alles unter Kontrolle?

Das tat am späten Nachmittag schließlich Amadeus. In einer Stellungnahme behauptet das Unternehmen, den "Angriff" des IT-Sicherheitsunternehmens auf seine Web-Schnittstelle CheckMyTrip selbst bemerkt zu haben: "CheckMyTrip ist selbstverständlich durch ein System der Benutzerverhaltensanalyse geschützt, das automatisierte Roboterangriffe in Echtzeit erkennt und blockiert. Der Angriff auf CheckMyTrip führte zu einem Alarm in unseren Monitoring-Tools, die sofort interne Untersuchungen auslösten. Wir haben schnell eine IP-Blockierung für die betroffenen IP-Adressen angefordert. Die Seite ist jetzt sicher."

Mögliche Konsequenzen, beispielsweise die Einführung von Passwort-Anfragen, werde man nun prüfen.

Wie diese Prüfung ausfallen wird, ist absehbar: Um den Missbrauch wirklich zu verhindern, wird man eine Identifizierung des Nutzers (im IT-Sprech: "Authentifizierung") einführen müssen. Die bloße Blockierung einer IP-Adresse, wie durch Amadeus geschildert, ist dafür komplett untauglich, denn die lässt sich ebenfalls ohne großen Aufwand wechseln, streuen oder verschleiern.

Was, wenn es trotzdem hackt im System?

Die Frage, was für Schäden durch Buchungsmanipulationen entstehen könnten, ließen alle Firmen unbeantwortet. Wir fragten da nach, wo man jeden Tag mit dem System umgeht: im Reisebüro.

Reisekauffrau Kirsten B. findet auf die Frage sofort eine knackige Antwort: "Vandalismus. Jede Menge Unruhe. Geschädigt wird erst einmal der Kunde, dessen Buchung verändert wird."

Zum eigenen finanziellen Nutzen lassen sich Buchungen via Amadeus hingegen nicht einfach umlenken: "Es gibt Tarife, die es erlauben, dass man einen Flug umlegt und andere, bei denen man auch eine Ersatzperson benennen kann." Das dürfte dann aber wohl kaum der Hacker selbst sein: "Spätestens am Gate muss der dann ja seinen Ausweis vorlegen." Die Methode tauge also, jemanden zu schädigen, nicht aber zum eigenen monetären Nutzen.

Voraussetzung für den Hack ist unter anderem, dass man den Namen eines Passagiers hat, dessen Buchungscode man dann knacken kann. Der fahrlässig laxe Umgang mit persönlichen Informationen in Sozialen Netzwerken dürfte da oft genug für Ansatzpunkte sorgen.

So entpuppt sich das Amadeus-Sicherheitsproblem als eine Art Einladung zum Vandalismus: Viel mehr als Chaos kann man mit der Ausnutzung der Lücke nicht verursachen. Genau daran haben aber viele ihren Spaß: Ein großer Teil der Vergehen, die man heute als Cybercrime bezeichnet, ist nichts anderes als Vandalismus.

Prinzipiell ließe sich die Sicherheitslücke zwar auch gezielt einsetzen, einer bestimmten Person den Tag zu verderben oder den laufenden Betrieb einer Airline zu sabotieren. Dafür gäbe es allerdings weit effektivere Mittel.

Konsequenzen werden die Unternehmen aus der Veröffentlichung trotzdem ziehen müssen. Onlinebuchungen dürften dadurch sicherer werden - und komplizierter.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 1 Beitrag
Alle Kommentare öffnen
Seite 1
Hamberliner 28.12.2016
1. Erinnerungen
Plausibel und berechenbar ist vor allem, dass jedes Unternehmen primär am eigenen "Ergebnis" (Gewinn, Profit) interessiert ist und nicht am sportlichen Ehrgeiz, pefekte IT-Sicherheit und perfektes Wohlergehen der Kunden zu gewährleisten. Hierzu passt auch meine schemenhafte Erinnerung an die frühen 1990er. Es gab damals eine andersnamige Firma, ich weiß nicht was die mit dem heutigen Amadeus zu tun hatte, aber aus irgendwelchen Gründen fällt sie mir nun ein. Diese betrieb monopolartig das einzige Flugbuchungssystem. Jedes Reisebüro musste daran angeschlossen sein, um existieren und Flüge verkaufen zu können, durfte das aber nur mit Hard- und Software dieser Firma. Die PCs zu öffen oder zu verändern oder die Software zu ersetzen war erheblich erschwert - ob technisch oder vertrtaglich weiß ich nicht mehr. Insofern wurden die Reisebüros ausgewrungen wie ein nasser Lappen. Allein der Besuch eines Technikers, das Öffnen des PC kostete ca. 500 DM. Auch ein schweinisch teurer Lehrgang war Voraussetzung um dieses Monopol-Flugbuchungssystem zu nutzen. Ich empfand das wie eine Schutzgelderpressung durch die Mafia. Ein guter Kumpel von mir hatte ein Reisebüro eröffnet, und es war ihm verwehrt, die Daten der Flugverkäufe automatisch in sein eigenes Buchhaltungssystem zu übertragen. Also entwickelte ich für ihn ein Tool, notgedrungen in Assembler, das den Inhalt des Monitors (damals als es Windows noch nicht gab alfanumerisch unter MS-DOS) per Tastenkombination auslas, die relevanten Daten herauswurstelte und in ein File schrieb, eine andere Möglichkeit gab es nicht. Da hatte das Bundeskartellamt wohl geschlafen. Ich konkretisiere nicht, wie diese Monopol-Firma hieß, und - liebe Abmahn-Anwälte - ich behaupte nicht, dass diese Monopol-Firma irgendetwas mit Amadeus zu tun gehabt habe.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.