Wer online Flugtickets bucht, ist durch Sicherheitslücken bei den Buchungssystemen gefährdet. Und wer dann an Bord eines Flugzeugs Internet nutzt, oder telefoniert, ist ebenfalls für Dritte gläsern. Nachfolgend ein paar Informationen zusammengefasst.
Sicherheitslücken bei Online-Flugbuchungen
Heute (27.12.2016) startet der CCC-Kongress (3C33) in Hamburg. Im Vorfeld hat Sicherheitsforscher Carsten Nohl von Security Research Labs (SR Labs) auf Sicherheitslücken bei Online-Flugbuchungen hingewiesen. Die Sicherheitslücken hat Nohl wohl im Vorfeld bereits WDR und Süddeutscher Zeitung vorgeführt.
Carsten Nohl konnte erhebliche Schwachstellen in dem von vielen Fluggesellschaften verwendeten Online-Buchungssystem Amadeus ausmachen. So benennt er, neben den Buchungscodes, die geknackt werden können, auch weitere Problemfelder. So fehlen aus seiner Sicht Passwörter für Flugpassagiere, die online buchen.
Ein Team um Nohl hat analysiert, dass jeden Tag zwischen ein bis zwei Millionen neue sechsstellige Buchungscodes (mit fortlaufender Nummerierung) vergeben werden. Laut Nohl braucht ein Angreifer lediglich Name und Flugzeitraum, um mit modernen Rechnern binnen weniger Minuten den Buchungscode, dieser ist eine Kombination aus Großbuchstaben, Ziffern und dem Namen (wohl per Brut-Force-Angriff) herauszufinden. Mit Hilfe des Buchungscodes kann man sich auf vielen Online-Portalen der Fluggesellschaften dann einloggen, Flüge umbuchen sowie Daten von Passagieren ausspionieren.
Diese Ansätze sind zwar nicht legal, Nohl konnte aber bei einem Versuch zeigen, wie er auf Flugdaten des CDU-Politikers Thomas Jarzombek (Obmann der Unionsfraktion im Bundestagsausschuss „Digitale Agenda“) zugreifen konnte. Selbstverständlich hatte er das Einverständnis des CDU-Politikers, der nicht schlecht staunte, also seine Daten abgerufen wurden.
Carsten Nohl weist darauf hin, dass man sowohl Personen wie Politiker oder Manager ausspionieren, als auch die Informationen zu Geld machen könne. Nohl warnt: „Zum einen kann man sehr viele Leute ausspionieren. Politiker, oder Geschäftsleute – Zielpersonen zu denen man nichts weiter braucht als den Nachnamen. Zum anderen lässt sich diese Information zu Geld machen, indem man Tickets umbucht, teilweise storniert und in Gutscheine umtauschen lässt. Das heißt wir reden hier von Problemen einmal der Privatsphäre und zum anderen von einem Betrugsrisiko.“
Der CDU-Politikers Thomas Jarzombek sieht darin auch ein großes Sicherheitsproblem: „Wenn jemand mit meiner Bordkarte ins Terminal gehen kann, kann das natürlich ein großes Problem sein, weil man da auch gar keinen Identitätscheck mehr machen kann. Nehmen wir jetzt nur mal den Fall jemand möchte aus irgendeinem Grund das Land verlassen und das inkognito machen, wäre das ein Weg, den man gehen kann.“
Eine Anfrage von WDR und SZ an den Bundesverband der Luftverkehrswirtschaft ergab: “dass man [von Seiten der Anbieter] bei den Buchungen ständig am Sicherheitssystem arbeite, Angriffe auf vielfältige Weise identifizieren und abwehren könne. Ein Fall, bei dem Kundendaten missbraucht oder Flüge unbefugt umgebucht wurden, sei noch nicht vorgekommen. Einige Infos gibt es bei Tagesschau.de (via Pressemitteilung des WDR)
Internet und Telefonie auf Flügen: Du bist gläsern
Der letzte Schrei ist ja Internet auf Flügen – da kannst Du Entertainment genießen oder als Geschäftsmann an den letzten internen Firmendokumenten arbeiten. Mal abgesehen von der Tatsache, dass die Bandbreite für den Internetzugang erheblich limitiert ist, wenn alle Passagiere eines Großraum-Jets gleichzeitig Entertainment aus der Cloud genießen möchten, drohen weitere Fallen. Auch Geschäftsleute, die problemlos per Kreditkarte 30 Euro und mehr pro Flug für Internet abdrücken können, bekommen aktuell kein schnelleres Internet.
Die größere Gefahr als ein “ruckelnder” Film oder ruckelnde Online-Zugriffe auf Cloud-Daten sind die Sicherheitslücken bzw. ist die Überwachung der Internetverbindungen. In diesem Artikel auf cheatsheet.com weist man auf gravierende Probleme mit dem Wi-Fi-System in Flugzeugen hin. Dass die Preise überhöht und die Datenraten mickrig sind (und Internet oft unbenutzbar ist), dürfte wohl das kleinere Übel sein.
Öffentliche Netzwerke sind per se ja unsicher und stellen ein Sicherheitsrisiko dar. Bei den Wi-Fi-Netzen in Flugzeugen geht das Ganze aber noch einen Schritt weiter. Wer in öffentlichen Wi-Fi-Netzwerken eine VPN-Verbindung verwendet und seine Netzfreigaben blockt, kann seine Daten schützen. Auf Flügen blocken die Anbieter aber genau diese VPN- und auch https-Verbindungen. Der Anbieter Gogo hat das wohl bis zur Perfektion getrieben, um mit den rechtlichen Anforderungen diverser Staaten konform zu sein. Dort wird die komplette Online-Kommunikation der Flugpassagiere überwacht. Also Geschäftsunterlagen online zu bearbeiten könnte keine ganz so gute Idee sein.
Aber auch anrufen aus dem Flugzeug ist wohl keine so gute Idee. Laut dem verlinkten Artikel haben sowohl die NSA als auch der britische Geheimdienst seit mindestens 2005 kompletten Zugriff auf die Metadaten (und wohl auch die Gesprächsdaten), die Telefone aussenden. Damit ist ein Abgleich der Position des Fluggasts mit den Passagierdaten und weiteren gespeicherten Daten möglich. Schöne neue Welt. (via)
Ich denke die alten Vorbilder sind immer noch aktuell. Militärs praktizieren es bei wichtigen Systemen auch noch: Das Inselsystem.
Aber durch die Klicki Bunti Tipper ist die natürliche Skepsis und Scheu weitestgehenst verloren gegangen.
Nur das Ganze ist wie ein Kieselstein in den Teich werfen. Die Wellen treffen leider auch die Vorsichtigen.
Also bleibt einem nur die Mauern recht hoch zu ziehen und mit redundanten Sicherheitssystemen viel abzuhalten.