Buchungscodes System für Flugtickets hat offenbar schwere Sicherheitslücke
Flugpassagier beim Einchecken (in Miami, 2008)
Foto: JOE RAEDLE/ AFPPasswort? Nicht nötig! Wenn Flugpassagiere vor ihrer Reise online einchecken oder den Abflug ändern wollen - sofern ihr Tarif das hergibt -, benötigen sie dafür nur ihren Nachnamen und einen für gewöhnlich sechsstelligen Buchungscode. Es ist eigentlich eine angenehm simple Angelegenheit.
Der Code setzt sich zusammen aus den Ziffern "2" bis "9" sowie den Großbuchstaben - insgesamt ergeben sich so anderthalb Milliarden Möglichkeiten. Da klingt es einigermaßen unwahrscheinlich, dass Übeltäter die Kombinationen womöglich erraten und sich so Freiflüge erschleichen könnten. Laut einem Bericht der "Süddeutschen Zeitung" , der auf gemeinsamen Recherchen mit dem WDR beruht, hat das System aber eine gravierende Sicherheitslücke. Auch "Zeit Online" schreibt über das Problem .
Die Sicherheitslücke mache es möglich, dass Hacker Flüge unerlaubt umbuchen und sich so Gratis-Tickets unwissender Reisender verschaffen könnten, heißt es.
Sicherheitslücken bei Lufthansa und Air Berlin
Die Berichte berufen sich auf Informationen des Unternehmens Security Research Labs. Dieses will das Problem im Amadeus-System identifiziert haben, das von zahlreichen Fluggesellschaften verwendet wird, darunter zum Beispiel Lufthansa und Air Berlin. Nach Angaben von Amadeus nutzten im vergangenen Jahr 747,3 Millionen Passagiere das System für Flug- aber etwa auch für Zugreisen.
Laut SR Labs vergibt Amadeus die Buchungscodes - etwa ein bis zwei Millionen am Tag - fortlaufend. Das bedeute, dass bei einem automatisierten Hackerangriff auf das System längst nicht alle Codes durchprobiert werden müssten.
Damit Angreifer sich ein Ticket unerlaubt besorgen und kapern könnten, bräuchten sie nur den Namen des ursprünglichen Reisenden sowie den Reisezeitraum. Mit diesen Informationen ließen sich die Kombination aus Name und möglichen Codes nacheinander durchprobieren - und das Ticket im Erfolgsfall einfach umbuchen. Denn probiere man falsche Codes, passiere rein gar nichts.
"Temporäres Wartungsfenster"
Die "Süddeutsche Zeitung" zitiert eine Stellungnahme des Bundesverbandes der Deutschen Luftverkehrswirtschaft, wonach die IT-Systeme der Unternehmen "ständig auf Sicherheitslücken untersucht" würden. Übermäßig viele Anfragen, die von einem einzelnen Rechner ausgehen, würden blockiert.
Und was sagt Amadeus? Laut dem Bericht gesteht die Firma ein, es habe ein "temporäres Wartungsfenster" gegeben, in denen wiederholte Anfragen nicht blockiert wurden. Die "Süddeutsche Zeitung" zitiert dagegen Security Research Labs mit der Aussage, man habe "über Wochen hinweg immer wieder mehrere Millionen Kombinationen" durchprobieren können.
Neben Amadeus gibt es auch noch andere Buchungssysteme. Ob sie mit ähnlichen Problemen zu tun haben, ist nicht ohne Weiteres zu sagen. Manche Fluggesellschaften wie Easyjet setzen inzwischen auch auf siebenstellige Buchungscodes, was die Zahl der Möglichkeiten zumindest erhöht.
"Zeit Online" verweist darauf, dass der Reisejournalist und Bürgerrechtler Edward Hasbrouck bereits vor mehr als einem Dutzend Jahren auf Probleme mit den sechsstelligen Buchungscodes hingewiesen habe.
Die aktuellen Veröffentlichungen kommen kurz vor der diesjährigen Ausgabe des Chaos Communication Congress (33C3), der ab Dienstag zum vorerst letzten Mal im Hamburger Kongresszentrum CCH stattfindet. Im Rahmen des Treffens werden häufig IT-Sicherheitslücken publikumswirksam thematisiert.
