Für Flugreisende war Cosmita.com jahrelang eine praktische Anlaufstelle. Millionen Menschen konnten darüber ihre Reiseunterlagen einsehen, Sitzplätze reservieren, Essen für den Flug bestellen oder Reisepläne an ihre Freunde, ihre Bekannten und Verwandten senden, wie auf der Webseite zu lesen ist. Dafür benötige man "lediglich den Buchungscode und den Nachnamen eines der Mitreisenden".
Das Problem: Recherchen der Süddeutschen Zeitung haben ergeben, dass genau diese Informationen jahrelang ungeschützt im Internet standen. Kriminelle hätten personenbezogene Daten von mehreren Millionen Reisenden erbeuten können, darunter das Flugticket, Name, Anschrift, Rechnungen und teilweise auch Bankdaten. Dafür waren keinerlei technische Kenntnisse nötig. Jeder konnte die Informationen mit geringem Aufwand abfragen.
Grund ist eine Sicherheitslücke beim Berliner Flugticket-Großhändler Aerticket. Das Unternehmen stellt Tickets für mehrere tausend Großkunden aus. Darunter sind viele Reisebüros, aber auch Online-Reiseportale wie etwa die Unister-Töchter Fluege.de, Ab-in-den-Urlaub und Flug 24 oder Flugpreissuchmaschinen wie Tripado und Travel-Overland. Die Portale sind für die Sicherheitslücke nicht verantwortlich. Es besteht auch kein Zusammenhang mit der Insolvenz des Leipziger Unternehmens Unister, das Webportale betreibt.
Aerticket reagierte umgehend auf die Information der SZ und schloss die Schwachstelle binnen Stunden. Nach Angaben von Aerticket bestand das Problem seit Ende 2011. Dem Großhändler zufolge sind nur etwa ein Viertel der sechs Millionen Tickets einsehbar gewesen, die das Unternehmen pro Jahr ausstellt, also rund 1,5 Millionen Buchungen. Ob diese Angabe zutrifft, lässt sich nicht verifizieren.
Fall zeigt geringe Rolle des Schutzes von Kundendaten
Dass eine so schwerwiegende Sicherheitslücke derart lange unentdeckt bleiben konnte, zeigt, welch geringe Rolle der Schutz von Kundendaten in vielen Branchen spielt - selbst, wenn viele Millionen Menschen betroffen sind. Erst vor wenigen Wochen hatte der Blog Netzpolitik eine ähnliche Lücke beim Berliner Putzkraftvermittler Helpling aufgedeckt. Diese betraf zwar weitaus weniger Kunden, der zugrunde liegende Fehler war technisch aber vergleichbar.
Aerticket behauptet, die Sicherheitslücke sei nicht von Kriminellen ausgenutzt worden. Mehrere Sicherheitsexperten hätten überprüft, ob es ungewöhnlich viele Zugriffe von einzelnen IP-Adressen im Internet gegeben habe, ob also aus einem bestimmten Wlan-Netzwerk innerhalb kurzer Zeit verdächtig viele Dokumente heruntergeladen wurden. Zumindest in den vergangenen anderthalb Jahren sei das nicht der Fall gewesen. Der Berliner Datenschutzbeauftragte prüft den Fall derzeit. Je nach Ausmaß des Falls könne dieser Vorgang mehrere Monate dauern.
Über mögliche Konsequenzen möchten sich die Datenschützer derzeit noch nicht äußern. Eine Straftat hat Aerticket aber wohl nicht begangen, dafür wäre ein vorsätzlicher Verstoß gegen das Datenschutzgesetz nötig. Aerticket hat zwar offenbar fahrlässig, allem Anschein nach aber nicht absichtlich gehandelt. Nach aktuellem Kenntnisstand wusste keiner der betroffenen Reisenden von der Sicherheitslücke.
In den Dokumenten, die im Internet zugänglich waren, finden sich Name und Anschrift, Reisedaten wie Abflughafen, Fluglinie, Datum und der Preis des Flugtickets. Die Rechnungen beinhalten IBAN und BIC der Kunden, falls die Reisenden den Betrag überwiesen haben. Bei Zahlungen mit Kreditkarten waren die letzten Ziffern geschwärzt. Mit Nachnamen und Buchungscode, die auf allen Tickets, Rechnungen und Reiseplänen abgedruckt sind, konnte man sich dann bei Cosmita einloggen, online einchecken und teilweise auch das Geburtsdatum der Reisenden herausfinden.
Allein am 28. Juni wurden 15 266 Unterlagen mit der achtstelligen Nummer versehen, die dann online frei zugänglich waren. Die Dokumente blieben auch nach Abschluss der Reise noch einige Monate über Cosmita verfügbar. Flugtickets werden nach einem Monat gelöscht, Rechnungen und Gutschriften nach Aussage von Aerticket erst nach "einem längeren Zeitraum", falls Kunden die Unterlagen etwa für ihre Steuererklärung benötigten.
Wer bei einem der betroffenen Handelspartner von Aerticket einen Flug buchte, bekam eine E-Mail zugeschickt. Diese beinhaltete einen Link, über den Kunden ihr Ticket online abrufen und Reiseunterlagen herunterladen konnten. Den Dokumenten ordnete das System eine achtstellige Zahl zu. Jede URL, also die Internetadresse, über die Kunden ihre Dokumente abrufen konnten, endete mit jenen acht Ziffern. Der entscheidende Fehler: Die Dokumente waren durch keine weitere Sicherheitsabfrage geschützt.
Dokumente eines beliebigen Datums abrufbar
Man konnte die URL also manuell ändern, etwa statt 12345678 am Ende 12345679 eingeben - und sah dann Tickets, Rechnungen, Reisepläne und Gutschriften von anderen Kunden. Andere Flugportale schicken die Dateien per E-Mail oder nutzen einen zufällig generierten Code aus Zahlen und Buchstaben. Aerticket aber vergab die achtstellige Zahl aufsteigend nach dem Zeitpunkt der Buchung. So war es möglich, nach und nach alle Dokumente eines beliebigen Datums abzurufen.
Die Aerticket AG ist der größte unabhängige Flugticket-Großhändler in Deutschland. Diese Unternehmen werden auch Consolidators genannt und sind Mittelsmänner zwischen Fluggesellschaften und Reiseportalen sowie Reisebüros. Um ein Flugticket ausstellen zu dürfen, braucht es die Lizenz der International Air Transport Association (IATA). Die ist aber teuer und mit vielen Auflagen verbunden. Deswegen geben viele Reisebüros die Tickets nicht selbst aus, sondern bestellen diese bei den Großhändlern.
Nach eigenen Angaben arbeitet Aerticket mit rund 14 500 Großkunden zusammen. Der bekannteste ist Unister mit zahlreichen Tochterfirmen wie Ab-in-den-Urlaub, Fluege.de, Billigflug.de, Flug.de oder Airline-direct.de. Auch das europäische Ausland ist betroffen: Zusätzlich zu den E-Tickets des deutschen Reiseportals Flug 24.de lagen auch Reisedokumente von ausländischen Versionen des Portals aus Österreich, Großbritannien, den Niederlanden, Frankreich, Italien und Spanien offen im Netz.
Neben Dokumenten der Unister-Töchter fanden sich Unterlagen weiterer Online-Portale wie Tripado, Mcflight, Skybooker oder Billigfluege.de. Auch etliche stationäre Reisebüros aus Deutschland und zahlreichen anderen Ländern sind betroffen.
Aerticket sieht in dem Vorfall immerhin auch etwas Positives: Derzeit entwickeln die Berliner den Nachfolger für Cosmita. Die Webseite Cockpit.de soll das alte Buchungsportal ablösen. Momentan ist sie noch im Beta-Stadium, also in der Entwicklungsphase. In der IT passiere es manchmal, dass man Funktionen von Vorgängerversionen kopiere, sagte eine Sprecherin von Aerticket. Dieser Fehler werde bei Cockpit.de garantiert nicht auftreten.