On The Move
Boardingpass gehackt – auf was Sie achten müssen
Vor einigen Tagen wurde Lufthansa-Chef Carsten Spohr Opfer einer Lücke im eigenen IT-System. Über den QR-Code auf einem seiner Boardingpässe konnten Fremde Zugang auf Daten des Vorstandsvorsitzenden erlangen, darunter seine E-Mail-Adresse und seine Handynummer, wie «Der Spiegel» erfuhr.
Vorsicht im Umgang mit Bordkarten übt offenbar nicht jeder, sogar die obersten Airline-Chefs nicht. Wer auf Instagram nach dem Hashtag «Boarding Pass» sucht, der bekommt aktuell mehr als 134'000 Treffer gelistet. Vermutlich machen sich die wenigsten User Gedanken über das Thema Sicherheit, wenn sie stolz ihre Reise-Trophäe posten. Aber das ist ein Fehler.
Alle Fluggesellschaften raten ihren Passagieren, mit der Bordkarte so sorgsam umzugehen wie mit Geld. Kommt sie in falsche Hände, dann können sogar Laien damit sensible Daten abfragen.
Unbekümmerte Airlines
Sicherheitsexperten wie der Tscheche Michal Spacek weisen bereits seit Jahren darauf hin, dass der Barcode auf einer Bordkarte verwendet werden kann, um zukünftige Reisepläne auszuspähen. Spacek gelingt es auf einschlägigen IT-Sicherheitskonferenzen immer wieder live, bevorstehende Flüge zu ändern und zu stornieren. Auch die Vielfliegerinformationen eines Reisenden liegen bereits nach Sekunden wie ein offenes Buch vor ihm.
Der Grund dafür liegt in einer kaum zu glaubenden Unbekümmertheit der meisten Fluggesellschaften. Auf ihren Webseiten reichen bereits der Nachname und die Buchungsnummer als Username und Passwort, um Stornierungen und Umbuchungen vorzunehmen. So kann es passieren, dass ein Fremder durch die Bordkarte an die Login-Daten eines Fluggastes gelangt und etwa dessen Rückflug von der Reise annulliert, für den sich der Betroffene noch gar nicht eingecheckt hat. Wenn der Betroffene dann das Malheur bemerkt, hat vermutlich längst ein anderer den freien Platz im Flieger ergattert.
Um die Barcodes auf den Bordkarten auszulesen, reicht ein einfaches Barcodelesegerät, das man für 17,99 Euro bei Amazon erwerben kann. Dieses steckt man einfach statt der Tastatur an seinen Laptop. Und schon liegen die in den Bordkarten gespeicherten Informationen im Klartext vor. Trotzdem haben auch grosse Fluggesellschaften wie United und Lufthansa diese Sicherheitslücke über die Jahre hinweg nicht ausreichend behoben.
Bekanntes IT-Schlupfloch
Das Problem ist mindestens seit 2017 bekannt. Schon damals prangerten die Sicherheitsexperten Karsten Nohl und Nemanja Nikodijevic an, dass zahlreiche Fluggesellschaften im Wesentlichen den sechsstelligen Buchungscode, auch PNR genannt, als temporäres Passwort verwenden. Während die Leute reisen, wird der PNR an alles, von Bordkarten bis zum Gepäckaufkleber, gemeinsam mit dem Namen des Passagiers angehängt. «Jeder würde vermuten, dass eine Zeichenfolge, die wie ein Passwort verwendet wird, auch so geheim gehalten bleibt wie ein Passwort», sagte Nohl. «Aber das tun die Airlines nicht, sondern drucken es auf alles, was man von der Fluggesellschaft bekommt.»
Bei Lufthansa ist die Sicherheitslücke seit Jahren bekannt. Boarding-Pässe der Fluggesellschaft enthalten nicht nur Informationen zum jeweiligen Flug, sondern zum Beispiel auch die Vielfliegernummer. Mit dieser Nummer und dem Nachnamen des Kunden können Unbefugte auf der Lufthansa-Website zum Beispiel die jeweilige Buchung auslesen, Bordkarten drucken oder die Versandart für Boarding-Pässe ändern. Erst um sich ins Nutzerprofil einzuloggen, ist eine PIN nötig. Das bekannte IT-Schlupfloch soll durch einen neuen Standard behoben werden, das wird aber noch eine Weile dauern.
Schreddern empfohlen
Für Flugreisende bedeutet das: Grundsätzlich sollten sie ihre Bordkarte so sorgfältig wie Bargeld oder Reisepass behandeln. Fotos davon postet man tunlichst nicht im Internet und lässt sie – auch wenn die Bordkarte schon abgelaufen ist – nie im Hotel zurück und wirft sie auch nicht in einen öffentlichen Mülleimer, sondern schreddert sie am besten.
Wer unbedingt meint, Freunde über seine Reisen auf dem Laufenden halten müssen, der sollte in Betracht ziehen, den Barcode abzukleben und die Story nicht für jedermann zu veröffentlichen. Oder der Flugreisende besorgt sich eine mobile Bordkarte, die nur auf dem Handy verfügbar ist. Der Sicherheitscode des Mobilgeräts schützt diese Daten, auch wenn das Smartphone gestohlen wird oder verloren geht. Am sichersten ist es, während des Fluges ein schönes Bild des Sonnenuntergangs oder der Flugzeugflügel zu machen und dieses dann statt der Bordkarte zu teilen.