Passagiere gehen auf dem Flughafen in Frankfurt am Main an der Anzeigetafel vorbei. | Bildquelle: dpa

Flugbuchungen Durch Sicherheitslücke zum Freiflug

Stand: 26.12.2016 19:49 Uhr

Millionen Deutsche buchen ihre Flugreisen im Internet oder im Reisebüro. IT-Sicherheitsforscher haben nun eine Lücke entdeckt, mit der sich Hacker die bezahlten Tickets dieser Kunden ergaunern können.

Von Peter Onneken und Andreas Spinrath, WDR

Nach ein paar Minuten hat Karsten Nohl seinen Flug gefunden: "Berlin-Frankfurt, Freitag um 11:45 Uhr". Das passt ihm. Aber: Er ist kein gewöhnlicher Kunde mit besonders viel Sitzfleisch bei der Reiseplanung. Der IT-Sicherheitsforscher hat sich Zugang zum Ticketsystem verschafft, bucht den Flug eines unwissenden Kunden um, ändert die Mailadresse. "So merkt niemand etwas."

Nohl ist Gründer und Chef der Firma Security Research Labs (SR Labs). Dass sein Angriff funktioniert, hat er Journalisten von WDR und "Süddeutscher Zeitung" gezeigt. Für ihn angeblich nur eine Fingerübung: "Das kriegt wirklich jeder hin." Man brauche nicht einmal ausgeprägte Hacker-Qualitäten, um sich so Freiflüge zu besorgen. Es sei so einfach wie illegal - deshalb veränderte Nohl in der Demonstration das Ticket des Journalisten.

Passagiere bei der Passkontrolle am Flughafen München 27. April 2016. | Bildquelle: REUTERS
galerie

Einfacher Check-in mit dem umgebuchten Ticket.

Und dieses umgebuchte Ticket funktioniert nun so, wie es auch jeder Fluggast kennt, der es selbst bezahlt hat: Online Check-In, ausdrucken, am Flughafen scannen lassen und einsteigen. Im Schengenraum fragt schließlich fast nie jemand nach dem Pass.

So wird niemand erfahren, dass unter den Passagieren einer ist, der das Ticket nicht selbst bezahlt hat. Ein paar Tage später jedoch wird der geschädigte Kunde zum Flughafen reisen und dort feststellen, dass schon jemand in seinem Namen geflogen ist. Berlin-Frankfurt, Freitag um 11:45 Uhr.

Der Buchungscode als Sicherheitslücke

Aber wo ist die Sicherheitslücke? Flugtickets verfügen in der Regel über einen sechsstelligen Buchungscode. Mehr nicht. "Buchungssystemen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen - und zwar das Passwort", sagt Nohl. Sobald Passagiere einen Flug gebucht haben, wird ihnen diese sechsstellige Kombination mitgeteilt. Soll später die Buchung verändert werden, um einen Mietwagen ergänzt zum Beispiel, müssen Passagiere an keiner Stelle ein Passwort eingeben. Sie weisen sich mit ihrem Namen und diesem Code aus. Das ist fraglos bequem, hat aber auch einen Nachteil: So wie das System aufgezogen ist, können moderne Rechner die Kombination binnen Minuten erraten.

Was die Hacker mit den geklauten Daten machen, ist unklar.
galerie

Es dauert nur wenige Minuten, bis moderne Rechner die Kombination erraten.

Damit der Hacker-Angriff klappt, müssen die IT-Sicherheitsforscher von SR Labs zwei Informationen besitzen. Erstens, den Namen der Person, der das Ticket weggenommen werden soll und zweitens, den Buchungszeitraum. Dann braucht der Computer nur noch zwei Minuten. Nohl und seine Kollegen haben analysiert, dass jeden Tag zwischen ein bis zwei Millionen neue sechsstellige Buchungscodes vergeben werden. Automatisiert kann ein Hacker das in kürzester Zeit abfragen, der Computer fragt sozusagen immer wieder nach, ob er die richtige Kombination aus Großbuchstaben, Ziffern und Namen gefunden hat. Das Buchungssystem bejaht oder verneint - wird aber offenbar  auch erstmal nicht stutzig, wenn diese Abfrage millionenfach vom selben Rechner aus geschieht.

Sicherheitslücken bei Flugbuchungssystemen
tagesschau 20:00 Uhr, 26.12.2016, Peter Onneken, WDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Für eine Lösung müssen alle an einem Strang ziehen

Es gehört mittlerweile zum Standard in der IT-Sicherheit, solche massenhaften Anfragen zu blockieren. Teilweise seien die Internetseiten auch gut gesichert, sagt Nohl. Doch ein paar unachtsame Anbieter reichen aus und die Hacker kommen an ihr Ticket. "Das ist ein industrieweites Problem." Eine Lösung sei nur möglich, wenn alle Anbieter sie umsetzten.

Für einen der unachtsamen Anbieter hält Nohl zum Beispiel das Unternehmen Amadeus. Der Dienstleister verbindet Reisebüros, Online-Buchungsseiten, Fluglinien und Passagiere. Eine riesige Datenbank aus Flug- und Buchungsinformationen. Ein System, auf das viele Fluglinien Zugriff haben. Das Geschäft ist einträglich. Der Profit des Unternehmens lag im Jahr 2015 bei 752 Millionen Euro.

Amadeus wirbt damit, dass ihre Systeme im Jahr 2015 insgesamt 747 Millionen Passagiere bedient haben. IT-Sicherheitsforscher Nohl zufolge, der das System seit Monaten analysiert hat, vergibt Amadeus pro Tag ein bis zwei Millionen Buchungscodes für Flugreisende. "Und wir wissen ziemlich genau, welche Nummern das sind, weil sie fortlaufend vergeben werden."

Karsten Nohl, Berater für IT-Sicherheit, zu Manipulation von Fluggastdaten
morgenmagazin 27.12.2016, 27.12.2016

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.


Nur ein temporäres Problem?

Konfrontiert mit den möglichen Angriffen auf das Buchungssystem, teilte der Bundesverband der Deutschen Luftverkehrswirtschaft mit, dass IT-Systeme der Unternehmen "ständig auf Sicherheitslücken untersucht" werden. Übermäßig viele Anfragen, die von einem einzelnen Rechner ausgehen, würden blockiert. Ähnlich äußert sich ein Sprecher der Firma Amadeus, in deren System die Buchungsanfragen koordiniert werden. Es habe ein "temporäres Wartungsfenster" gegeben, in denen diese dutzendfachen Anfragen nicht blockiert wurden. Allerdings sagen Nohl und seine Kollegen, sie hätten "über Wochen hinweg immer wieder mehrere Millionen Kombinationen" durchprobieren können. Ist ein System, das auf die Anfragen zugreifen kann, betroffen, sind alle gefährdet.

Thomas Jarzombek, Vorsitzender der Arbeitsgruppe "Digitale Agenda" spricht von einem ernsthaften Problem. Der CDU-Politiker stimmte dem Experiment zu und ließ Nohl nach seinem Ticket suchen. Die fremde Übernahme hätte auch in diesem Fall problemlos geklappt, samt Einblick in Handy- und Vielfliegernummer.

Jarzombek kritisiert die Unternehmen: "Wir erleben immer wieder, dass es Sicherheitsstandards gibt, die auf gutem Glauben basieren. Hier ist der gute Glaube offensichtlich, dass es reicht, wenn man den Namen und die Referenznummer des Fliegenden kennt und weiteres wird nicht abgefragt." Ein Glaube, der in Zukunft Fluggäste ihr Ticket kosten könnte, wenn die Sicherheitslücken nicht geschlossen werden.

Über dieses Thema berichtete die tagesschau am 26. Dezember 2016 um 20:00 Uhr.

Darstellung: