Wie sicher ist wohl ein sechsstelliges Passwort, das Groß- und Kleinschreibung nicht unterscheidet, keine Sonderzeichen zulässt und bestimmte Buchstaben-Zahlen-Kombinationen wegen Verwechslungsgefahr nicht erlaubt?

Es ist jedenfalls nicht sicher genug, um eine riesige Datenbank mit Millionen von Kundendaten aus aller Welt wirksam zu schützen. Doch genau das versucht Amadeus. Das Unternehmen vertreibt ein gleichnamiges Buchungssystem, das vor fast 30 Jahren von den Fluggesellschaften Lufthansa, Iberia, Air France und SAS in Auftrag gegeben wurde. Dieses System ist eine Art Sammelstelle, an die auch Hotels, Kreuzfahrt- und Eisenbahngesellschaften, Reisebüros und weitere Buchungssysteme angeschlossen sind. Und es ist erstaunlich einfach, sich Zugriff auf die darin gespeicherten Passagier- und Kundendaten zu verschaffen, sagt Karsten Nohl.

Die Forscher seiner Security Research Labs in Berlin haben herausgefunden, wie sie Daten von Passagieren einsehen und zum Teil auch verändern können. Und wie Kriminelle auf gleichem Wege Menschen und Unternehmen überwachen, verfolgen, erpressen und betrügen könnten. Der sechsstellige Buchungscode, der für jede Buchung vergeben wird, die über Amadeus läuft, ist dabei eine von mehreren Schwachstellen.

Websites, die kein Reisender braucht, sind Schwachstellen

Eine zweite ist, dass Amadeus – wie auch die anderen großen Buchungssysteme Sabre und Galileo – öffentliche Zugänge zu ihren Datenbestand anbieten, in Form einer Website. Die für Amadeus heißt checkmytrip und soll jedem Kunden ermöglichen, Buchungsdetails nachträglich einzusehen – obwohl das eigentlich unnötig ist. Schließlich stehen alle Angaben in der Bestätigungsmail, die man nach der Buchung ohnehin bekommt. Alles, was man braucht, um Daten einzusehen, sind der Nachname und der Buchungscode, der damit wie ein Passwort funktioniert. Wie ein schlechtes Passwort.

Nohls Mitarbeiter Nemanja Nikodijevic und Sebastian Götte haben herausgefunden, dass sich der Buchungscode von beliebigen Menschen berechnen lässt. Je genauer der Angreifer den Zeitraum der Buchung kennt, desto schneller geht das. Die Codes sind kurz, erlauben keine Sonderzeichen, kennen nur Großbuchstaben, bestimmte Kombinationen sind grundsätzlich ausgeschlossen. "Außerdem werden sie sequenziell vergeben", sagt Nohl. "Wenn man weiß, welche Codes heute Morgen vergeben wurden, kann man voraussagen, welche Codes am Nachmittag vergeben werden."

Genau das tun Nikodijevic und Götte. Sie haben sich die Rechenkapazitäten von 20 Cloudcomputern bei Amazon gemietet und testen mithilfe eines selbst geschriebenen Skripts so viele Kombinationen aus einem bestimmten Nachnamen und verschiedenen Buchungsnummern auf checkmytrip.com, bis sie eine passende gefunden haben und auf die Buchungsdaten zugreifen können. Brute Force heißt so ein Angriff, weil er mit purer Rechengewalt durchgeführt wird.

Simple Sicherheitsvorkehrungen fehlen

"Täglich werden ungefähr zwei Millionen Buchungen über Amadeus durchgeführt", sagt Nohl. Ein Computer kann in einer Stunde 100.000 durchsuchen. Das heißt, 20 Computer schaffen pro Stunde fast einen Tag, pro Tag knapp einen Monat, und ein ganzes Jahr in etwa zwei Wochen." Teuer ist das nicht. "Eine Amazon-Instanz ist schon ab einem Cent pro Stunde zu haben." Eine Sperre, die nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen eine Auszeit für den anfragenden Rechner erzwingt, gibt es auf der Website nicht. Übrigens auch nicht auf den Websites anderer großer Buchungssysteme, wie etwa viewtrip.com und virtuallythere.com.

Da Amadeus nur Buchungen für maximal ein Jahr im Voraus ermöglicht, könne man "mit überschaubarem Aufwand" alle Buchungen dieses Jahres für zumindest einen Nachnamen durchsuchen, sagt Nohl. Je verbreiteter der Name ist, desto mehr Buchungen kommen zusammen.

Überwachen, Stalken, Betrügen, Ausspionieren

Das erste Anwendungsszenario: Menschen stalken oder überwachen. Politiker zum Beispiel. Der Rechercheverbund NDR, WDR und Süddeutsche Zeitung hat das zu Demonstrationszwecken getan und Nohls Mitarbeiter nach Buchungen des CDU-Netzpolitikers Thomas Jarzombek suchen lassen. Sie wurden fündig. Wie der Politiker reagierte, als die Journalisten ihm seine Handynummer und andere persönliche Daten zeigten, ist in der Tagesschau zu sehen und nachzulesen auch in der Onlineausgabe der SZ.

Das zweite Szenario: Ein Betrüger sucht nach häufigen Nachnamen wie Müller oder Schmidt, weil er dann viele Buchungen finden wird, loggt sich mit den Angaben aus Amadeus bei der jeweiligen Fluglinie ein und ändert dort die Vielfliegernummer. Wenn dort noch keine steht, legt er sie im Namen des Passagiers an und trägt sie ein. So sammelt er unbemerkt Bonusmeilen, die er umtauschen oder verkaufen kann.

Drittens wäre es auch möglich, Flugdaten komplett zu manipulieren, also etwa Flüge umzubuchen und gleichzeitig die E-Mail-Adresse zu ändern, damit der betroffene Passagier nicht benachrichtigt wird. In der SZ wird ein Szenario beschrieben, wie sich jemand auf diese Weise Freiflüge sichern könnte, solange er innerhalb des Schengenraums fliegt und keine Passkontrolle fürchten muss.

Die vierte Masche ist die potenziell schwerwiegendste: Ein Angreifer sucht in der aktuellen Buchungscodesequenz des Tages, also zum Beispiel in allen Codes, die mit Z7A beginnen, nach bestimmten Nachnamen. So kann er mit etwas Glück Buchungen finden, die gerade erst vorgenommen wurden, diese über Amadeus einsehen und dem Kunden an dessen dort hinterlegte E-Mail-Adresse eine Phishingmail schreiben. Die könnte sinngemäß lauten: "Vielen Dank für Ihre Buchung, leider hat beim Zahlungsvorgang etwas nicht geklappt. Bitte klicken Sie auf den folgenden Link und geben Sie ihre Kreditkartendaten erneut ein." Mit all den Informationen aus Amadeus wäre es einfach, die E-Mail legitim erscheinen zu lassen. Phishing ist eine der effektivsten Methoden, um in fremde System einzudringen, so wurden unter anderen auch der Deutsche Bundestag und das Democratic National Committee (DNC) gehackt.

Die Buchungsnummer lässt sich aber auch anders feststellen. Sie steckt im Barcode eines Tickets und auch im Barcode, der am Flughafen an jedem Gepäckstück befestigt ist. Ein Foto davon reicht, um den Barcode mithilfe einer Scannerapp auf dem Smartphone auszulesen. Seit Langem warnen Sicherheitsexperten davor, Fotos von Tickets auf Instagram oder andernorts im Netz zu veröffentlichen. Aber Nohls Mitarbeiter Nemanja Nikodijevic findet noch heute innerhalb von Minuten ein Foto, das ein vorfreudiger Reisender von seinem Boardingpass gemacht hat. Eine halbe Minute später weiß Nikodijevic, wie der Reisende heißt, wie seine E-Mail-Adresse lautet, seine Telefonnummer, wann er wohin ab- und wann er zurückfliegt und überhaupt alles, was der Mann bei der Flugbuchung angegeben hat.

Dass die Buchungssysteme an sich schlecht gesichert sind, ist keine neue Erkenntnisse. Der Reisejournalist und Bürgerrechtler Edward Hasbrouck, der zwischen 1991 und 2006 in Reisebüros arbeitete und diese bei der Vernetzung mit den Reisedatenbanken beriet, warnte bereits vor mehr als 14 Jahren davor, dass Buchungscodes als sechsstellige Passwörter schlechte Passwörter sind. Er bekam sogar einen Journalistenpreis von der American Travel Writers Foundation für seinen Artikel von damals und hatte den Betreiber des Sabre-Buchungssystems auf die Schwachstellen aufmerksam gemacht. Zuletzt schrieb er im April auf der Website des Identity Projects, das sich für die Rechte von Reisenden stark macht, die Systeme seien bereits gehackt worden. Die Entwickler, Verkäufer und Nutzer der Buchungssysteme könnten also längst wissen, dass die Daten ihrer Kunden schlecht gesichert sind.

Details auf dem Chaos Communication Congress

Auf Anfrage sagt Hasbrouck, er habe in seiner Zeit als Reisebüromitarbeiter Fälle von Stalking erlebt, die durch die schlecht gesicherten Daten möglich waren. Dass es auch schon größere Angriffe gab, hält er für wahrscheinlich, "denn Zugriffe auf die PNR-Daten werden nicht aufgezeichnet". Nohl bestätigt, dass erst Änderungen, nicht das bloße Lesen, vermerkt werden.

Ob die Betreiber planen, etwas dagegen zu unternehmen, ist unklar. Die deutsche Pressestelle von Amadeus hat eine entsprechende E-Mail-Anfrage von ZEIT ONLINE in der vergangenen Woche nicht beantwortet. Auf Anfrage des Rechercheverbundes hatte das Unternehmen mitgeteilt, es habe ein "temporäres Wartungsfenster" gegeben, in denen die vielfachen Anfragen nicht blockiert worden seien.

Noch mehr Schaden kann ein Betrüger anrichten, wenn er den Amadeus-Zugang eines Reisebüros oder einer Fluglinie hat. Diese können alles einsehen und ändern, was über das Reisebüro respektive die ganze Fluglinie gebucht wurde, was auch Hotelübernachtungen und Mietwagen einschließen kann. Darüber werden Nohl und Nikodijevic am Dienstagabend auf dem 33. Chaos Communication Congress (33C3) in Hamburg sprechen.