Flugreisen Schwere Sicherheitslücke erlaubt Hackern Freiflüge

Weiß ein Angreifer den Namen eines Flugreisenden, so könnte er aufgrund einer Sicherheitslücke dessen Flugticket kapern. Illustration: Stefan Dimitrov

In ein Flugzeug einsteigen, ohne für das Ticket zu bezahlen: Was IT-Sicherheitsforscher jetzt herausgefunden haben, könnte für Fluggesellschaften zu einem großen Problem werden.

Von Peter Onneken und Hakan Tanriverdi

Ein paar Minuten dauert es, dann ist Karsten Nohl zufrieden. Vor ihm spuckt ein Computer sekündlich Kombinationen aus. Es ist eine sechsstellige Zahlen- und Buchstabenfolge, die auf Beobachter willkürlich wirkt. Doch dann gibt die Maschine einen leisen Ton von sich. Der Rechner hat einen Treffer erzielt. "Berlin-Frankfurt, Freitag um 11.45 Uhr", sagt Nohl. Er klickt sich durch das Flugangebot der Lufthansa-Webseite, bis er eine Zeit findet, die ihm in den Terminkalender passt. "Den buchen wir doch einfach um", sagt er. "Ich ändere noch kurz die E-Mail-Adresse. So bekommt niemand etwas mit."

Das Ticket kann Nohl sich ausdrucken. Er kann online einchecken, zum Flughafen fahren und in den Flieger einsteigen. Innerhalb von Europa, im Schengenraum, wird niemand nach seinem Pass fragen. Niemand wird erfahren, dass er für das Ticket keinen Cent bezahlt hat. Stattdessen hat er sich per Hacker-Angriff das Flugticket einer anderen Person geschnappt und umgebucht; direkt auf den Servern der Fluggesellschaft. Nohl fliegt einen Tag früher als die Person, die das Ticket gezahlt hat. Die Mail-Adresse wurde geändert, die Wahrscheinlichkeit ist deshalb groß, dass die Person davon nichts mitbekommt.

Die Manipulation ist zwar einfach, aber auch illegal

Nohl ist Gründer und Chef der Firma Security Research Labs (SR Labs). Was er dem WDR und der Süddeutschen Zeitung demonstriert, ist ein Angriff. Auf dessen Schweregrad angesprochen, sagt er: "Das kriegt wirklich jeder hin." Wer über Computerkenntnisse verfügt, kommt auf diese Weise an Freiflüge. Es ist zwar einfach, aber auch illegal. Für die Demonstration manipulierte Nohl ein Ticket der Reporter.

Die Schwachstelle, auf die Nohl und seine Mitarbeiter aufmerksam wurden, ist gleichzeitig ein Kaufprozess, den Kunden als bequem empfinden dürften: An die Tickets kommen sie über den sechsstelligen Buchungscode. "Buchungssystemen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen, und zwar das Passwort", sagt Nohl. Sobald Passagiere einen Flug gebucht haben, wird ihnen diese sechsstellige Kombination mitgeteilt. Soll später die Buchung verändert werden, um einen Mietwagen ergänzt zum Beispiel, müssen Passagiere an keiner Stelle ein Passwort eingeben. Sie weisen sich mit ihrem Namen und diesem Code aus. Das ist fraglos bequem, hat aber auch einen Nachteil: So wie das System aufgezogen ist, können moderne Rechner die Kombination binnen Minuten erraten.

Buchungssysteme haben eine wichtige Funktion. Sie verbinden (Online-)Reisebüros mit Fluggesellschaften und diese wiederum mit den Passagieren. Preise und Verfügbarkeiten werden in Europa vor allem über das System des Unternehmens Amadeus koordiniert. Ein System, auf das viele Anbieter Zugriff haben. Auch die Lufthansa nutzt es, Air Berlin ebenso. Es ist ein Geschäft, das sich lohnt. Der Profit des Unternehmens lag im Jahr 2015 bei 752 Millionen Euro. 1987 gründeten die Fluglinien Lufthansa, Air France, Iberia und SAS diesen Anbieter. Fünf Jahre später begann eine "neue Ära", wie Amadeus schreibt. Passenger Name Records (PNR) wurden eingeführt, Datensätze, die während einer Flugbuchung anfallen, etwa Name, Telefon- und Vielfliegernummer, Kreditkartendaten, auch Informationen über Mitreisende.

Amadeus wirbt damit, dass ihre Systeme im Jahr 2015 insgesamt 747 Millionen Passagiere bedient haben (auch Zugfahrten sind zum Beispiel in dieser Zahl enthalten). Nohl zufolge, der das System mehrere Wochen analysiert hat, vergibt Amadeus pro Tag ein bis zwei Millionen Buchungscodes für Flugreisende. "Und wir wissen fast genau, welche Nummern das sind, weil sie fortlaufend vergeben werden." Damit der Hacker-Angriff klappt, müssen die IT-Sicherheitsforscher von SR Labs zwei Informationen besitzen: den Namen der Person, der das Ticket weggenommen werden soll, und den Buchungszeitraum.