Vorsicht im Umgang mit Bordkarten übt offenbar nicht jeder. Wer auf dem Social Media-Portal Instagram nach dem Hashtag „Boarding Pass“ sucht, der bekommt aktuell mehr als 134.000 Treffer gelistet. Vermutlich machen sich die wenigsten User Gedanken über das Thema Sicherheit, wenn sie stolz ihre Reise-Trophäe posten. Aber das ist ein Fehler.
Alle Fluggesellschaften raten ihren Passagieren, mit der Bordkarte so sorgsam umzugehen wie mit Geld. Kommt sie in falsche Hände, dann können sogar Laien damit ziemlich leicht sensible Daten abfragen. Doch diese Empfehlung hat offenbar nicht einmal Lufthansa-Vorstandschef Carsten Spohr beherzigt. Wie das Nachrichtenmagazin Spiegel erfuhr, haben Unbekannte mithilfe einer Bordkarte unter anderem seine E-Mail-Adresse und die Handynummer abgegriffen.
Die Bordkarte verrät viel über Reisende
Sicherheitsexperten wie der Tscheche Michal Spacek weisen bereits seit Jahren darauf hin, dass der Barcode auf einer Bordkarte verwendet werden kann, um zukünftige Reisepläne auszuspähen. Spacek gelingt es auf einschlägigen IT-Sicherheitskonferenzen immer wieder live, bevorstehende Flüge zu ändern und zu stornieren. Auch die Vielfliegerinformationen eines Reisenden liegen bereits nach Sekunden wie ein offenes Buch vor ihm.
Der Grund dafür liegt in einer kaum zu glaubenden Unbekümmertheit der meisten Fluggesellschaften. Auf ihren Webseiten reichen bereits der Nachname und die Buchungsnummer als Username und Passwort, um Stornierungen und Umbuchungen vorzunehmen. So kann es passieren, dass ein Fremder durch die Bordkarte an die Login-Daten eines Fluggastes gelangt und etwa dessen Rückflug von der Reise annulliert, für den sich der Betroffene noch gar nicht eingecheckt hat. Wenn der Betroffene dann das Malheur bemerkt, hat vermutlich längst ein anderer den freien Platz im Flieger ergattert.
Um die Barcodes auf den Bordkarten auszulesen, reicht ein einfaches Barcode-Lesegerät, das man für 17,99 Euro bei Amazon erwerben kann. Dieses steckt man einfach statt der Tastatur an seinen Laptop. Und schon liegen die in den Bordkarten gespeicherten Informationen im Klartext vor. Trotzdem haben auch große Fluggesellschaften wie United und Lufthansa diese Sicherheitslücke über die Jahre hinweg nicht ausreichend behoben.
Die Bordkarten-Sicherheitslücke ist schon schon lange bekannt
Das Problem ist mindestens seit 2017 bekannt. Schon damals prangerten die Sicherheitsexperten Karsten Nohl und Nemanja Nikodijevic an, dass zahlreiche Fluggesellschaften im Wesentlichen lediglich den sechsstelligen Buchungscode, auch PNR genannt, als temporäres Passwort verwenden. Während die Leute reisen, wird der PNR an alles, von Bordkarten bis zum Gepäckaufkleber, gemeinsam mit dem Namen des Passagiers angehängt. „Jeder würde vermuten, dass eine Zeichenfolge, die wie ein Passwort verwendet wird, auch so geheim gehalten bleibt wie ein Passwort“, sagte Nohl. „Aber das tun sie (die Airlines) nicht, sondern drucken es auf alles, was man von der Fluggesellschaft bekommt.“
Bei Lufthansa ist die Sicherheitslücke seit Jahren bekannt. Boarding-Pässe der Fluggesellschaft enthalten nicht nur Informationen zum jeweiligen Flug, sondern zum Beispiel auch die Vielfliegernummer. Mit dieser Nummer und dem Nachnamen des Kunden können Unbefugte auf der Lufthansa-Website zum Beispiel die jeweilige Buchung auslesen, Bordkarten drucken oder die Versandart für Boarding-Pässe ändern. Erst um sich ins Nutzerprofil einzuloggen, ist eine PIN nötig. Das bekannte IT-Schlupfloch soll durch einen neuen Standard behoben werden, das wird aber noch eine Weile dauern. Für Flugreisende bedeutet das: Grundsätzlich sollten sie ihre Bordkarte so sorgfältig wie Bargeld oder Reisepass behandeln. Fotos davon postet man tunlichst nicht im Internet und lässt sie –auch wenn die Bordkarte schon abgelaufen ist – nie im Hotel zurück und wirft sie auch nicht in einen öffentlichen Mülleimer, sondern schreddert sie am besten. Wer unbedingt meint, Freunde über seine Reisen auf dem Laufenden halten müssen, der sollte in Betracht ziehen, den Barcode sicherheitshalber abzukleben und die Story nicht für jedermann zu veröffentlichen.
Oder der Flugreisende besorgt sich eine mobile Bordkarte, die nur auf dem Handy verfügbar ist. Der Sicherheitscode des Mobilgeräts schützt diese Daten, auch wenn das Smartphone gestohlen wird oder verloren geht. Am sichersten ist es freilich, während des Fluges ein schönes Bild des Sonnenuntergangs oder der Flugzeugflügel zu machen und dieses dann statt der Bordkarte zu teilen.
Hinweis der Redaktion: In einer ursprünglichen Version des Artikels stand, Carsten Spohr habe die Bordkarte "achtlos weggeworfen". Das haben wir geändert. Es ist nicht bekannt, wie die Hacker in den Besitz der Bordkarte kamen.