«CheckMyTrip ist jetzt sicher»

Nachdem SR Labs eine Sicherheitslücke beim Buchungssystem von Amadeus publik machte, nimmt jetzt Amadeus Stellung. In einer Mitteilung schreibt das Unternehmen, dass man der Sicherheit von Kundensystemen und Daten höchste Priorität einräume und die Systeme und Prozesse kontinuierlich überprüfe. Man werde die Erkenntnisse von SR Labs berücksichtigen und eng mit den Partnern in der Branche zusammenarbeiten, um die dargelegten Probleme anzusprechen und Lösungen für mögliche Probleme zu finden.

Während eines temporären Wartungsfensters unterlag die CheckMyTrip-Website einer Reihe von sogenannten Brute-Force-Attacken (Anm.d.Red.: Ein gross angelegter Angriff, ausgeführt von mehreren Rechnern, die mit roher Gewalt alle möglichen Fälle bzw. Kombinationen ausprobieren). Das Unternehmen schreibt dazu: «CheckMyTrip ist durch ein System der Benutzerverhaltensanalyse geschützt, das automatisierte Roboterangriffe in Echtzeit erkennt und blockiert.» Der Angriff auf CheckMyTrip führte zu einem Alarm der Monitoring-Tools, die sofort interne Untersuchungen auslösten. «Wir haben schnell eine IP-Blockierung für die betroffenen IP-Adressen angefordert. Die Seite ist jetzt gegen diese Art von Angriffen geschützt.»

Es ist noch nicht klar, ob Passagierdaten zugänglich waren

Dass System sei aber nicht so einfach zu hacken wie im Bericht beschrieben. «Der Zugang zu einer Buchung erfordert eine Kombination von persönlichen Daten und Buchungsinformationen und ist nicht leicht zu erraten. Die Systeme werden ausserdem durch ein System von Benutzerverhaltensanalysen geschützt, das automatisierte Roboterangriffe in Echtzeit erkennt und blockiert. Mit den vielfältigen Schutzmechanismen an der richtigen Stelle sind Buchungen sicher.»

Cyber-Bedrohung sei im Geschäftsleben allgegenwärtig. Jede kommerzielle und staatliche Organisation registriere Angriffe auf ihre IT-Systeme und Amadeus sei hierbei keine Ausnahme. «Selbstverständlich schützt Amadeus seine Systeme einschliesslich CheckMyTrip vor den in diesem Bericht beschriebenen automatisierten Roboterangriffen.» Man implementiere, pflege und überwache mehrere Schutz- und Abwehrsysteme, die Informationen sowohl bei der Verarbeitung als auch gespeichert schützen. «Das Sicherheits-Framework von Amadeus entspricht den ISO-Normen und Empfehlungen für die Implementierung eines Informationssicherheitsmanagements sowie der Cybertrust Security Management Programme (SMP) Perimeter Certification.»

Zusätzliche Sicherheitsmassnahmen wie die Einführung eines Passwort würden geprüft, denn ob Passagierdaten während der Sicherheitslücke zugänglich waren, könne man noch nicht sagen – die internen Untersuchungen seien noch am Laufen.

Karsten Nohl, Sicherheitsexperte und Chef von SR Labs, erklärte gestern gegenüber dem ARD, dass das System von Amadeus aus den 80er-Jahren stamme und insofern nicht auf dem neusten Stand sei. Man habe ohne Probleme die private Telefonnummer eines Bundestagsabgeordneten aus der Buchung herausziehen können, das seien alles Daten, die nicht öffentlich im Internet stehen sollten. Er appelliert daran, dass man gerade die älteren Systeme sicherer machen müsse und es eine Lösung brauche, die für alle Airlines zusammen gelte.