Ein paar Minuten dauert es, dann ist Karsten Nohl zufrieden. Vor ihm spuckt ein Computer sekündlich Kombinationen aus. Es ist eine sechsstellige Zahlen- und Buchstabenfolge, die auf Beobachter willkürlich wirkt. Doch dann gibt die Maschine einen leisen Ton von sich. Der Rechner hat einen Treffer erzielt. "Berlin-Frankfurt, Freitag um 11.45 Uhr", sagt Nohl. Er klickt sich durch das Flugangebot der Lufthansa-Webseite, bis er eine Zeit findet, die ihm in den Terminkalender passt. "Den buchen wir doch einfach um", sagt er. "Ich ändere noch kurz die E-Mail-Adresse. So bekommt niemand etwas mit."
Das Ticket kann Nohl sich ausdrucken. Er kann online einchecken, zum Flughafen fahren und in den Flieger einsteigen. Innerhalb von Europa, im Schengenraum, wird niemand nach seinem Pass fragen. Niemand wird erfahren, dass er für das Ticket keinen Cent bezahlt hat. Stattdessen hat er sich per Hacker-Angriff das Flugticket einer anderen Person geschnappt und umgebucht; direkt auf den Servern der Fluggesellschaft. Nohl fliegt einen Tag früher als die Person, die das Ticket gezahlt hat. Die Mail-Adresse wurde geändert, die Wahrscheinlichkeit ist deshalb groß, dass die Person davon nichts mitbekommt.
Die Manipulation ist zwar einfach, aber auch illegal
Nohl ist Gründer und Chef der Firma Security Research Labs (SR Labs). Was er dem WDR und der Süddeutschen Zeitung demonstriert, ist ein Angriff. Auf dessen Schweregrad angesprochen, sagt er: "Das kriegt wirklich jeder hin." Wer über Computerkenntnisse verfügt, kommt auf diese Weise an Freiflüge. Es ist zwar einfach, aber auch illegal. Für die Demonstration manipulierte Nohl ein Ticket der Reporter.
Die Schwachstelle, auf die Nohl und seine Mitarbeiter aufmerksam wurden, ist gleichzeitig ein Kaufprozess, den Kunden als bequem empfinden dürften: An die Tickets kommen sie über den sechsstelligen Buchungscode. "Buchungssystemen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen, und zwar das Passwort", sagt Nohl. Sobald Passagiere einen Flug gebucht haben, wird ihnen diese sechsstellige Kombination mitgeteilt. Soll später die Buchung verändert werden, um einen Mietwagen ergänzt zum Beispiel, müssen Passagiere an keiner Stelle ein Passwort eingeben. Sie weisen sich mit ihrem Namen und diesem Code aus. Das ist fraglos bequem, hat aber auch einen Nachteil: So wie das System aufgezogen ist, können moderne Rechner die Kombination binnen Minuten erraten.
Buchungssysteme haben eine wichtige Funktion. Sie verbinden (Online-)Reisebüros mit Fluggesellschaften und diese wiederum mit den Passagieren. Preise und Verfügbarkeiten werden in Europa vor allem über das System des Unternehmens Amadeus koordiniert. Ein System, auf das viele Anbieter Zugriff haben. Auch die Lufthansa nutzt es, Air Berlin ebenso. Es ist ein Geschäft, das sich lohnt. Der Profit des Unternehmens lag im Jahr 2015 bei 752 Millionen Euro. 1987 gründeten die Fluglinien Lufthansa, Air France, Iberia und SAS diesen Anbieter. Fünf Jahre später begann eine "neue Ära", wie Amadeus schreibt. Passenger Name Records (PNR) wurden eingeführt, Datensätze, die während einer Flugbuchung anfallen, etwa Name, Telefon- und Vielfliegernummer, Kreditkartendaten, auch Informationen über Mitreisende.
Amadeus wirbt damit, dass ihre Systeme im Jahr 2015 insgesamt 747 Millionen Passagiere bedient haben (auch Zugfahrten sind zum Beispiel in dieser Zahl enthalten). Nohl zufolge, der das System mehrere Wochen analysiert hat, vergibt Amadeus pro Tag ein bis zwei Millionen Buchungscodes für Flugreisende. "Und wir wissen fast genau, welche Nummern das sind, weil sie fortlaufend vergeben werden." Damit der Hacker-Angriff klappt, müssen die IT-Sicherheitsforscher von SR Labs zwei Informationen besitzen: den Namen der Person, der das Ticket weggenommen werden soll, und den Buchungszeitraum.
Ein Buchungscode ist sechsstellig. Verwendet werden nur Zahlen und Großbuchstaben. Theoretisch gibt es pro Stelle 34 Möglichkeiten, Buchstaben und Ziffern zu kombinieren. Verwendet werden nur Großbuchstaben und die Ziffern 2 bis 9. Das sind mehr als anderthalb Milliarden Möglichkeiten für einen Code. Ein Computer kann das zwar knacken, braucht aber Wochen dafür. Es ist einfacher, gezielt vorzugehen. Da die Codes fortlaufend vergeben werden und täglich ein bis zwei Millionen davon, braucht der Rechner nur wenige Minuten. Sobald der Name bekannt ist, werden die ersten Varianten durchprobiert.
"Sind die Buchungscodes falsch, passiert nichts", erklärt Nohl. Der Rechner arbeitet die Liste ab. Es gehört mittlerweile zum Standard in der IT-Sicherheit, solche massenhaften Anfragen zu blockieren. Teilweise seien die Websites auch gut gesichert, sagt Nohl, doch ein unachtsamer Anbieter reiche aus, und die Hacker kommen an ihr Ticket. "Das ist ein industrieweites Problem." Eine Lösung sei nur möglich, wenn alle Anbieter sie umsetzen.
Der Bundestagsabgeordnete Jarzombek spricht von einer ernsthaften Situation
Der Bundesverband der Deutschen Luftverkehrswirtschaft, zu der auch Lufthansa und Air Berlin gehören, teilte mit, dass IT-Systeme der Unternehmen "ständig auf Sicherheitslücken untersucht" werden. Übermäßig viele Anfragen, die von einem einzelnen Rechner ausgehen, würden blockiert. Ein Sprecher von Amadeus, in deren System die Buchungsanfragen koordiniert werden, sagte, es habe ein "temporäres Wartungsfenster" gegeben, in denen diese dutzendfachen Anfragen nicht blockiert wurden. Nohl und seine Kollegen geben dagegen an, dass sie "über Wochen hinweg immer wieder mehrere Millionen Kombinationen" durchprobieren konnten. Ist ein System, das auf die Anfragen zugreifen kann, unsicher, sind alle gefährdet.
Auch Thomas Jarzombek, Vorsitzender der Arbeitsgruppe "Digitale Agenda" im Deutschen Bundestag, musste deshalb um seinen Flugsitz bangen. Der CDU-Abgeordnete stimmte dem Experiment zu und ließ Nohl nach seinem Ticket suchen. Der Flug startete von Düsseldorf in Richtung Berlin. Die fremde Übernahme hätte auch in diesem Fall problemlos geklappt, samt Einblick in Handy- und Vielfliegernummer.
Jarzombek spricht von einem ernsthaften Problem: "Wir erleben immer wieder, dass es Sicherheitsstandards gibt, die auf gutem Glauben basieren. Hier ist der gute Glaube offensichtlich, dass es reicht, wenn man den Namen und die Referenznummer des Fliegenden kennt, und Weiteres wird nicht abgefragt." Der Angriff auf die Tickets ließe sich sogar automatisieren, sagt Nohl. "Wir können das jeden Tag durchsuchen, auch auf einen bekannten Namen wie Schmidt. Dann kriegen wir viele Buchungen - und entscheiden uns halt für das teuerste Ticket."
Die Sicherheitsforscher von SR Labs werden ihre Ergebnisse auf dem Hacker-Kongress 33c3 präsentieren. Der Kongress wird vom Chaos Computer Club (CCC) veranstaltet.