Hackerattacke Unbekannte erbeuten Kreditkartendaten von 4,5 Millionen Air-India-Kunden

Schon vor Monaten sind Hacker in die Computer der indischen Fluggesellschaft Air India eingedrungen. Doch erst jetzt wird das ganze Ausmaß des Schadens bekannt. Der Angriff auf die Airline ist kein Einzelfall.
Jumbo Jet von Air India beim Start (Archivbild)

Jumbo Jet von Air India beim Start (Archivbild)

Foto: SEBASTIAN D'SOUZA/ AFP

Es scheint, als gäbe es nicht viel zu sagen. Der Onlinepressebereich  der Fluggesellschaft Air India enthält genau zwei Pressemitteilungen. Bei beiden geht es um dasselbe Thema, einen Hackerangriff. Die Schlussfolgerungen liegen aber weit auseinander.

Mitte März hieß es noch, man sei über einen Cyberangriff auf Server des Unternehmens informiert worden, der in der letzten Februarwoche stattgefunden habe, bei dem aber »keine unautorisierten Aktivitäten« festgestellt worden seien. Nun schiebt das Unternehmen eine ausführlichere Schilderung des Schadens nach – und die liest sich ganz anders.

Demnach sei man erst Ende März und Anfang April darüber informiert worden, welche Daten von den Unbekannten Eindringlingen kopiert wurden. Nach Angaben der Airline geht es um die Namen, Geburtsdaten, Kontaktinformationen, Reisepassdaten, Ticketdaten, Vielfliegernummern und vor allem die Kreditkartendaten von Passagieren. Betroffen seien Datensätze, die zwischen 2011 und 2021 angelegt wurden. Auf den Servern seien aber weder die Prüfnummern der Kreditkarten, also die sogenannten CVV- oder CVC-Nummern, noch die Passwörter für die Vielfliegerkonten gespeichert gewesen.

Air India ließ viel Zeit verstreichen

Die betroffenen Kreditkartenanbieter habe man informiert, die Passwörter der betroffenen Vielflieger seien zurückgesetzt worden, heißt es von der Fluggesellschaft weiter. Außerdem habe man externe Experten mit der Untersuchung des Vorfalls beauftragt und die kompromittierten Server gesichert.

Warum Air India die Tragweite des Vorfalls erst jetzt bekannt gibt, nachdem ihr die nun veröffentlichten Informationen bereits seit Anfang April bekannt waren, bleibt unklar. Auch zwischen dem Hinweis eines Dienstleisters auf den Zwischenfall am 25. Februar und dessen Bekanntgabe am 19. März verstrichen Wochen.

»India Today « lobt allerdings schon dieses Vorgehen. Schließlich gebe es in Indien keine richtigen Datenschutzgesetze und nur »laxe regulatorische Anforderungen für den Umgang mit Daten«. Viele Firmen würden sich im Falle von Datenlecks nicht einmal die Mühe machen, damit an die Öffentlichkeit zu gehen.

Fluggesellschaften im Visier krimineller Hacker

Kriminelle betrachten die Server von Fluggesellschaften offenbar als lukratives Ziel. In den vergangenen Jahren hat es immer wieder erfolgreiche Cyberattacken auf die Server von Airlines gegeben. So manipulierten Unbekannte 2016 das Abrechnungssystem der damaligen Fluggesellschaft LaudaMotion und ließen Rechnungen mit manipulierten Kontonummern an deren Kunden verschicken. Ein Jahr zuvor hatten sich Hacker Zugang zu den Meilenkonten von Lufthansa-Vielfliegern verschafft und mit deren Guthaben wertvolle Gadgets bestellt.

Häufiger aber ziehen die Eindringlinge Kundendaten von den Servern der Fluggesellschaften ab. So wie im vergangenen Jahr, als der Billiganbieter Easyjet ein Datenleck einräumen musste, von dem neun Millionen Kunden betroffenen waren.

Hohe Strafe gegen British Airways

Besonders hart hat es aber British Airways getroffen, und zwar schon zweimal. Im Jahr 2015 hatten Unbekannte, offenbar mit Daten, die sie anderswo im Internet erhalten haben, die Konten von Vielfliegern der britischen Fluggesellschaft gekapert.

Folgenreicher war jedoch ein Vorfall, bei dem von den Servern der Airline persönliche Daten und Bankverbindungen von Hunderttausenden Kunden kopiert wurden. Im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) verhängte die britische Datenschutzbehörde ICO (Information Commissioner's Office) wegen dieses Vorfalls eine Strafe in Höhe von 183,39 Millionen Britischen Pfund (knapp 205 Millionen Euro) gegen British Airways. Die Datenschützer monierten damals »schwache Sicherheitsvorkehrungen«.

Letztendlich musste die Fluggesellschaft dann aber nur 20 Millionen Pfund zahlen. »Im Rahmen des regulatorischen Prozesses hat das ICO sowohl die Stellungnahmen von British Airways wie auch den wirtschaftlichen Einfluss von Covid-19 auf ihr Geschäft berücksichtigt, bevor es ein endgültiges Bußgeld festgelegt hat«, hieß es dazu in einer Mitteilung der Behörde.

Air India hingegen, wird sich wohl keine Sorgen um eventuelle Strafzahlungen machen müssen.

mak
Die Wiedergabe wurde unterbrochen.