Unbekannte sind in das Datenzentrum mehrerer Reiseveranstalter eingebrochen und haben Kreditkartendaten entwendet. Eine Sprecherin für den Reise-Dienstleister TravelTainment teilte am Montag mit, "dass es zu einem Zugriff durch unberechtigte Dritte auf Kreditkartendaten eines relativ kleinen Kundenkreises gekommen ist". Das Landeskriminalamt Nordrhein-Westfalen ermittelt.

Laut golem.de wurden komplette Kreditkartendatensätze von den Servern von TravelTainment kopiert, darunter Kreditkartentyp, Kreditkartennummer, CVV-Nummer (die dreistellige Sicherheitsnummer auf der Rückseite der Karte), Ablaufdatum und Name, Adresse und E-Mail des Inhabers. TravelTainment ist Auftragsdatenverarbeiter unter anderem für opodo.de und erfasst solche Daten zur Durchführung von Buchungen. Opodo-Kunden müssten, heißt es bei golem.de, "damit rechnen, dass Kriminelle mit ihrer Kreditkarte einkaufen gehen."

Wie genau die Täter auf die Daten zugreifen konnten und ob diese unverschlüsselt vorlagen, wollte TravelTainment auf Anfrage nicht sagen. Aufgrund der Ermittlungen des LKA sehe man sich "nicht in der Lage, weitergehende Informationen zu liefern und dadurch unter Umständen die Ermittlungen zu gefährden".

Die Staatsanwaltschaft Aachen bestätigte den Sachverhalt, machte aber auch keine weiteren Angaben. "Wir werden keine weiteren Einzelheiten zu diesem Sachverhalt aus ermittlungstaktischen Gründen bekannt geben", sagte Oberstaatsanwalt Robert Deller.

Kreditkarte sperren lassen

Mehrere Reiseveranstalter wie opodo.de und DER Touristik wandten sich an Kunden, die kürzlich eine Reise gebucht hatten. Ihnen wurde empfohlen, ihre Kontobewegungen zu beobachten und gegebenenfalls ihre Kreditkarte sperren zu lassen.

"Wir haben diese Lücke sofort geschlossen", sagte die TravelTainment-Sprecherin. Der Einbruch sei am 11. April entdeckt worden. Daraufhin seien sofort die Firmenkunden, Kreditkartenunternehmen sowie das Landeskriminalamt Nordrhein-Westfalen informiert worden. Betroffen seien "partielle Kreditkartendaten einer relativ kleinen Zahl von Kunden", hieß es in einer schriftlichen Mitteilung von TravelTainment mit Hauptsitz in Würselen bei Aachen.

Opodo schrieb in einer Pressemitteilung: "Die von uns selbst betriebenen Produkte wie Flüge, Hotels und Mietwagen sowie andere von Drittanbietern in unserem Auftrag angebotenen Dienstleistungen waren zu keinem Zeitpunkt betroffen."

"Fast die ganze deutsche Reisebranche"

Nach Angaben des Unternehmens arbeitet "fast die ganze deutsche Reisebranche" mit TravelTainment zusammen. Es gehört zur Amadeus IT Group SA (Madrid), die Software für Suche nach und Buchungen von Reisezielen anbietet. TravelTainment ist nach eigenen Angaben mit einer Vertriebsplattform für touristische Leistungen Partner von nationalen und internationalen Reiseportalen wie weg.de, expedia.de oder holidaycheck.de.

In den vergangenen Monaten haben mehrere Vorfälle Zweifel an der Sicherheit im E-Commerce genährt. So geriet das ebenfalls in der Reisebranche aktive Leipziger Internet-Unternehmen Unister wegen verschiedener Sicherheitslecks in die Schlagzeilen. Die Firma soll in der Vergangenheit Kreditkartendaten von Kunden nicht richtig gesichert haben. Zudem wurde ein Leck über Daten von Kunden bekannt, die über die Unister-Seite urlaubstours.de Flüge von Ryanair gebucht hatten. Ihre Daten waren zeitweise im Internet einsehbar.