Weiter mit Tracking durch Dritte

Besuchen Sie unsere Website mit personalisierter Werbung und Werbetracking durch Dritte. Details und Informationen zu Cookies, Verarbeitungszwecken sowie Ihrer jederzeitigen Widerrufsmöglichkeit finden Sie in der Datenschutzerklärung und in den Privatsphäre-Einstellungen.

Weiter mit dem PUR-Abo

Nutzen Sie unser Angebot ohne Werbetracking durch Dritte für 4,99 Euro/Monat. Kunden mit einem bestehenden Abo (Tageszeitung, e-Paper oder PLUS) zahlen nur 0,99 Euro/Monat. Informationen zur Datenverarbeitung im Rahmen des PUR-Abos finden Sie in der Datenschutzerklärung.

Zum Angebot Bereits PUR-Abonnent? Hier anmelden

Tracking durch Dritte: Zur Finanzierung unseres journalistischen Angebots spielen wir Ihnen Werbung aus, die von Drittanbietern kommt. Zu diesem Zweck setzen diese Dienste Tracking-Technologien ein. Hierbei werden auf Ihrem Gerät Cookies gespeichert und ausgelesen oder Informationen wie die Gerätekennung abgerufen, um Anzeigen und Inhalte über verschiedene Websites hinweg basierend auf einem Profil und der Nutzungshistorie personalisiert auszuspielen.

Verarbeitungszwecke:
Informationen auf einem Gerät speichern und/oder abrufen

Für die Ihnen angezeigten Verarbeitungszwecke können Cookies, Gerätekennungen oder andere Informationen auf Ihrem Gerät gespeichert oder abgerufen werden.

Personalisierte Anzeigen und Inhalte, Anzeigen und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen

Anzeigen und Inhalte können basierend auf einem Profil personalisiert werden. Es können mehr Daten hinzugefügt werden, um Anzeigen und Inhalte besser zu personalisieren. Die Performance von Anzeigen und Inhalten kann gemessen werden. Erkenntnisse über Zielgruppen, die die Anzeigen und Inhalte betrachtet haben, können abgeleitet werden. Daten können verwendet werden, um Benutzerfreundlichkeit, Systeme und Software aufzubauen oder zu verbessern.

▌▉▍▉▉▍▉▌▌▉▍▉▌ ▉▌▌▉▍▉▌▌▉▍▉▍▉▍ ;▌▉▍▉▉▍▉▌▌▉▍▉▌
Newsticker
EU-Kommission ruft zu Laptop-Spenden für die Ukraine auf
  1. Startseite
  2. Reise
  3. Kriminalität: Vorsicht, Datenklau! So viel verrät die Bordkarte über Flugpassagiere

Kriminalität
04.10.2022

Vorsicht, Datenklau! So viel verrät die Bordkarte über Flugpassagiere

Auf einer Bordkarte sind sensible Daten hinterlegt. Man sollte sie niemals achtlos wegwerfen.
Foto: Adobe Stock

Lufthansa-Chef Carsten Spohr wurde gehackt, weil seine Bordkarte in die Hände von Betrügern geriet. Die konnten auf diesem Weg seine Handynummer abgreifen.

Vorsicht im Umgang mit Bordkarten übt offenbar nicht jeder. Wer auf dem Social Media-Portal Instagram nach dem Hashtag „Boarding Pass“ sucht, der bekommt aktuell mehr als 134.000 Treffer gelistet. Vermutlich machen sich die wenigsten User Gedanken über das Thema Sicherheit, wenn sie stolz ihre Reise-Trophäe posten. Aber das ist ein Fehler.

Alle Fluggesellschaften raten ihren Passagieren, mit der Bordkarte so sorgsam umzugehen wie mit Geld. Kommt sie in falsche Hände, dann können sogar Laien damit ziemlich leicht sensible Daten abfragen. Doch diese Empfehlung hat offenbar nicht einmal Lufthansa-Vorstandschef Carsten Spohr beherzigt. Wie das Nachrichtenmagazin Spiegel erfuhr, haben Unbekannte mithilfe einer Bordkarte unter anderem seine E-Mail-Adresse und die Handynummer abgegriffen.

Die Bordkarte verrät viel über Reisende

Sicherheitsexperten wie der Tscheche Michal Spacek weisen bereits seit Jahren darauf hin, dass der Barcode auf einer Bordkarte verwendet werden kann, um zukünftige Reisepläne auszuspähen. Spacek gelingt es auf einschlägigen IT-Sicherheitskonferenzen immer wieder live, bevorstehende Flüge zu ändern und zu stornieren. Auch die Vielfliegerinformationen eines Reisenden liegen bereits nach Sekunden wie ein offenes Buch vor ihm.

Video: dpa-AFX Wirtschaftsnachrichten

Der Grund dafür liegt in einer kaum zu glaubenden Unbekümmertheit der meisten Fluggesellschaften. Auf ihren Webseiten reichen bereits der Nachname und die Buchungsnummer als Username und Passwort, um Stornierungen und Umbuchungen vorzunehmen. So kann es passieren, dass ein Fremder durch die Bordkarte an die Login-Daten eines Fluggastes gelangt und etwa dessen Rückflug von der Reise annulliert, für den sich der Betroffene noch gar nicht eingecheckt hat. Wenn der Betroffene dann das Malheur bemerkt, hat vermutlich längst ein anderer den freien Platz im Flieger ergattert.

Um die Barcodes auf den Bordkarten auszulesen, reicht ein einfaches Barcode-Lesegerät, das man für 17,99 Euro bei Amazon erwerben kann. Dieses steckt man einfach statt der Tastatur an seinen Laptop. Und schon liegen die in den Bordkarten gespeicherten Informationen im Klartext vor. Trotzdem haben auch große Fluggesellschaften wie United und Lufthansa diese Sicherheitslücke über die Jahre hinweg nicht ausreichend behoben.

Lesen Sie dazu auch

Die Bordkarten-Sicherheitslücke ist schon schon lange bekannt

Das Problem ist mindestens seit 2017 bekannt. Schon damals prangerten die Sicherheitsexperten Karsten Nohl und Nemanja Nikodijevic an, dass zahlreiche Fluggesellschaften im Wesentlichen lediglich den sechsstelligen Buchungscode, auch PNR genannt, als temporäres Passwort verwenden. Während die Leute reisen, wird der PNR an alles, von Bordkarten bis zum Gepäckaufkleber, gemeinsam mit dem Namen des Passagiers angehängt. „Jeder würde vermuten, dass eine Zeichenfolge, die wie ein Passwort verwendet wird, auch so geheim gehalten bleibt wie ein Passwort“, sagte Nohl. „Aber das tun sie (die Airlines) nicht, sondern drucken es auf alles, was man von der Fluggesellschaft bekommt.“

Bei Lufthansa ist die Sicherheitslücke seit Jahren bekannt. Boarding-Pässe der Fluggesellschaft enthalten nicht nur Informationen zum jeweiligen Flug, sondern zum Beispiel auch die Vielfliegernummer. Mit dieser Nummer und dem Nachnamen des Kunden können Unbefugte auf der Lufthansa-Website zum Beispiel die jeweilige Buchung auslesen, Bordkarten drucken oder die Versandart für Boarding-Pässe ändern. Erst um sich ins Nutzerprofil einzuloggen, ist eine PIN nötig. Das bekannte IT-Schlupfloch soll durch einen neuen Standard behoben werden, das wird aber noch eine Weile dauern. Für Flugreisende bedeutet das: Grundsätzlich sollten sie ihre Bordkarte so sorgfältig wie Bargeld oder Reisepass behandeln. Fotos davon postet man tunlichst nicht im Internet und lässt sie –auch wenn die Bordkarte schon abgelaufen ist – nie im Hotel zurück und wirft sie auch nicht in einen öffentlichen Mülleimer, sondern schreddert sie am besten. Wer unbedingt meint, Freunde über seine Reisen auf dem Laufenden halten müssen, der sollte in Betracht ziehen, den Barcode sicherheitshalber abzukleben und die Story nicht für jedermann zu veröffentlichen.

Oder der Flugreisende besorgt sich eine mobile Bordkarte, die nur auf dem Handy verfügbar ist. Der Sicherheitscode des Mobilgeräts schützt diese Daten, auch wenn das Smartphone gestohlen wird oder verloren geht. Am sichersten ist es freilich, während des Fluges ein schönes Bild des Sonnenuntergangs oder der Flugzeugflügel zu machen und dieses dann statt der Bordkarte zu teilen.

Hinweis der Redaktion: In einer ursprünglichen Version des Artikels stand, Carsten Spohr habe die Bordkarte "achtlos weggeworfen". Das haben wir geändert. Es ist nicht bekannt, wie die Hacker in den Besitz der Bordkarte kamen.

Wir wollen wissen, was Sie denken: Die Augsburger Allgemeine arbeitet daher mit dem Meinungsforschungsinstitut Civey zusammen. Was es mit den repräsentativen Umfragen auf sich hat und warum Sie sich registrieren sollten, lesen Sie hier.

Wir benötigen Ihre Einwilligung, um die Umfrage von Civey anzuzeigen

Hier kann mit Ihrer Einwilligung ein externer Inhalt angezeigt werden, der den redaktionellen Text ergänzt. Indem Sie den Inhalt über „Akzeptieren und anzeigen“ aktivieren, kann die Civey GmbH Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten. Die Einwilligung kann jederzeit von Ihnen über den Schieberegler wieder entzogen werden. Datenschutzerklärung

Themen folgen

Sie haben nicht die Berechtigung zu kommentieren. Bitte beachten Sie, dass Sie als Einzelperson angemeldet sein müssen, um kommentieren zu können. Bei Fragen wenden Sie sich bitte an moderator@augsburger-allgemeine.de.

Bitte melden Sie sich an, um mit zu diskutieren.