Für Flugreisende war Cosmita.com jahrelang eine praktische Anlaufstelle. Millionen Menschen konnten darüber ihre Reiseunterlagen einsehen, Sitzplätze reservieren, Essen für den Flug bestellen oder Reisepläne an ihre Freunde, ihre Bekannten und Verwandten senden, wie auf der Webseite zu lesen ist. Dafür benötige man "lediglich den Buchungscode und den Nachnamen eines der Mitreisenden".
Das Problem: Recherchen der Süddeutschen Zeitung haben ergeben, dass genau diese Informationen jahrelang ungeschützt im Internet standen. Kriminelle hätten personenbezogene Daten von mehreren Millionen Reisenden erbeuten können, darunter das Flugticket, Name, Anschrift, Rechnungen und teilweise auch Bankdaten. Dafür waren keinerlei technische Kenntnisse nötig. Jeder konnte die Informationen mit geringem Aufwand abfragen.
Grund ist eine Sicherheitslücke beim Berliner Flugticket-Großhändler Aerticket. Das Unternehmen stellt Tickets für mehrere tausend Großkunden aus. Darunter sind viele Reisebüros, aber auch Online-Reiseportale wie etwa die Unister-Töchter Fluege.de, Ab-in-den-Urlaub und Flug 24 oder Flugpreissuchmaschinen wie Tripado und Travel-Overland. Die Portale sind für die Sicherheitslücke nicht verantwortlich. Es besteht auch kein Zusammenhang mit der Insolvenz des Leipziger Unternehmens Unister, das Webportale betreibt.
Aerticket reagierte umgehend auf die Information der SZ und schloss die Schwachstelle binnen Stunden. Nach Angaben von Aerticket bestand das Problem seit Ende 2011. Dem Großhändler zufolge sind nur etwa ein Viertel der sechs Millionen Tickets einsehbar gewesen, die das Unternehmen pro Jahr ausstellt, also rund 1,5 Millionen Buchungen. Ob diese Angabe zutrifft, lässt sich nicht verifizieren.
Fall zeigt geringe Rolle des Schutzes von Kundendaten
Dass eine so schwerwiegende Sicherheitslücke derart lange unentdeckt bleiben konnte, zeigt, welch geringe Rolle der Schutz von Kundendaten in vielen Branchen spielt - selbst, wenn viele Millionen Menschen betroffen sind. Erst vor wenigen Wochen hatte der Blog Netzpolitik eine ähnliche Lücke beim Berliner Putzkraftvermittler Helpling aufgedeckt. Diese betraf zwar weitaus weniger Kunden, der zugrunde liegende Fehler war technisch aber vergleichbar.
Aerticket behauptet, die Sicherheitslücke sei nicht von Kriminellen ausgenutzt worden. Mehrere Sicherheitsexperten hätten überprüft, ob es ungewöhnlich viele Zugriffe von einzelnen IP-Adressen im Internet gegeben habe, ob also aus einem bestimmten Wlan-Netzwerk innerhalb kurzer Zeit verdächtig viele Dokumente heruntergeladen wurden. Zumindest in den vergangenen anderthalb Jahren sei das nicht der Fall gewesen. Der Berliner Datenschutzbeauftragte prüft den Fall derzeit. Je nach Ausmaß des Falls könne dieser Vorgang mehrere Monate dauern.
Über mögliche Konsequenzen möchten sich die Datenschützer derzeit noch nicht äußern. Eine Straftat hat Aerticket aber wohl nicht begangen, dafür wäre ein vorsätzlicher Verstoß gegen das Datenschutzgesetz nötig. Aerticket hat zwar offenbar fahrlässig, allem Anschein nach aber nicht absichtlich gehandelt. Nach aktuellem Kenntnisstand wusste keiner der betroffenen Reisenden von der Sicherheitslücke.