Freiflug durch Sicherheitslücke?

Die Online-Buchungen für Reisen in die ganzen Welt nehmen deutlich zu. Immer mehr Menschen planen und buchen den Urlaub bequem vor dem PC oder per Smartphone, doch auch hier lauern Gefahren, denn Hacker haben genau diese Buchungen ins Visier genommen.

Die Experten der renommierten IT-Sicherheitsfirma Security Research Labs (SR Labs ) haben eine Sicherheitslücke im Online-Buchhungssystem entdeckt, die Cyberkriminelle ausnutzen könnten, um die bezahlten Flüge von Nutzern stehlen zu können. Laut Karsten Nohl, Gründer und Chef von SR Labs, ist dazu nicht einmal viel Programmierwissen notwendig, da die Lücke offensichtlich ist.

Er hat dem WDR demonstriert, wie Hacker in das System eindringen und Buchungen verändern können. Dazu loggte er sich in das Ticketsystem ein und veränderte das bereits gebuchte Flugticket des WDR Journalisten problemlos. Nachdem die Buchung abgeschlossen war, hätte er das Ticket ausdrucken und damit reisen können, denn bei Online-Tickets wird beim Check-in „fast nie“ nach den Personalien gefragt.

Sicherheitslücke im Buchungssystem
Laut Nohl befindet sich die Lücke im Buchungssystem. Die Tickets haben einen sechsstelligen Code, der bei Veränderungen oder Zubuchen ( z.B. für Mietwagen, Parkdeck o.ä. ) eingegeben wird. Ein Passwort ist nicht notwendig, das Buchungssystem fragt nur nach Namen und Code. Kennt der Hacker den Namen und den Buchungszeitraum, kann ein moderner Computer innerhalb von nur zwei Minuten im System den Buchungscode herausfinden. Das System hilft ihm dabei, da es immer wieder nachfragt, ob die Kombination aus Zahlen und Buchstaben so korrekt ist. Hat er das Ticket zu seinem Nutzen verändert, kann er damit nach Belieben reisen und der Kunde hat das Nachsehen. Das fällt meist erst bei Reiseantritt auf und der Vorgang ist später schlecht nachvollziehbar.

SR Labs hat festgestellt, dass pro Tag mehr als eine Million dieser Buchungscodes erstellt und weitergegeben werden. Die Online-Buchungssysteme erkennen mehrfache Abfragen nicht, selbst wenn sie in besonders hoher Zahl und von ein und demselben Rechner aus erfolgen.

Mittlerweile haben viele Anbieter Sicherheitsschranken eingerichtet und weisen massenhafte Anfragen ab. Doch nicht alle Unternehmen sind auf dem neusten Stand und immer wieder verlieren Kunden dadurch Geld.

Sicherheit für Online-Kunden
Nicht nur Karsten Nohl erkennt viele Nachteile durch das Verhalten der Anbieter, auch Thomas Jarzombek, Vorsitzender der Arbeitsgruppe „Digitale Agenda“ sieht das so und sagt im Interview:“Wir erleben immer wieder, dass es Sicherheitsstandards gibt, die auf gutem Glauben basieren. Hier ist der gute Glaube offensichtlich, dass es reicht, wenn man den Namen und die Referenznummer des Fliegenden kennt und weiteres wird nicht abgefragt.“ Doch das reicht nicht aus, deshalb sollten alle Anbieter weltweit umgehend mehr IT-Sicherheit für ihre Systeme schaffen.