Wie sicher ist wohl ein sechsstelliges Passwort, das Groß- und Kleinschreibung nicht unterscheidet, keine Sonderzeichen zulässt und bestimmte Buchstaben-Zahlen-Kombinationen wegen Verwechslungsgefahr nicht erlaubt?

Es ist jedenfalls nicht sicher genug, um eine riesige Datenbank mit Millionen von Kundendaten aus aller Welt wirksam zu schützen. Doch genau das versucht Amadeus. Das Unternehmen vertreibt ein gleichnamiges Buchungssystem, das vor fast 30 Jahren von den Fluggesellschaften Lufthansa, Iberia, Air France und SAS in Auftrag gegeben wurde. Dieses System ist eine Art Sammelstelle, an die auch Hotels, Kreuzfahrt- und Eisenbahngesellschaften, Reisebüros und weitere Buchungssysteme angeschlossen sind. Und es ist erstaunlich einfach, sich Zugriff auf die darin gespeicherten Passagier- und Kundendaten zu verschaffen, sagt Karsten Nohl.

Die Forscher seiner Security Research Labs in Berlin haben herausgefunden, wie sie Daten von Passagieren einsehen und zum Teil auch verändern können. Und wie Kriminelle auf gleichem Wege Menschen und Unternehmen überwachen, verfolgen, erpressen und betrügen könnten. Der sechsstellige Buchungscode, der für jede Buchung vergeben wird, die über Amadeus läuft, ist dabei eine von mehreren Schwachstellen.

Websites, die kein Reisender braucht, sind Schwachstellen

Eine zweite ist, dass Amadeus – wie auch die anderen großen Buchungssysteme Sabre und Galileo – öffentliche Zugänge zu ihren Datenbestand anbieten, in Form einer Website. Die für Amadeus heißt checkmytrip und soll jedem Kunden ermöglichen, Buchungsdetails nachträglich einzusehen – obwohl das eigentlich unnötig ist. Schließlich stehen alle Angaben in der Bestätigungsmail, die man nach der Buchung ohnehin bekommt. Alles, was man braucht, um Daten einzusehen, sind der Nachname und der Buchungscode, der damit wie ein Passwort funktioniert. Wie ein schlechtes Passwort.

Nohls Mitarbeiter Nemanja Nikodijevic und Sebastian Götte haben herausgefunden, dass sich der Buchungscode von beliebigen Menschen berechnen lässt. Je genauer der Angreifer den Zeitraum der Buchung kennt, desto schneller geht das. Die Codes sind kurz, erlauben keine Sonderzeichen, kennen nur Großbuchstaben, bestimmte Kombinationen sind grundsätzlich ausgeschlossen. "Außerdem werden sie sequenziell vergeben", sagt Nohl. "Wenn man weiß, welche Codes heute Morgen vergeben wurden, kann man voraussagen, welche Codes am Nachmittag vergeben werden."

Genau das tun Nikodijevic und Götte. Sie haben sich die Rechenkapazitäten von 20 Cloudcomputern bei Amazon gemietet und testen mithilfe eines selbst geschriebenen Skripts so viele Kombinationen aus einem bestimmten Nachnamen und verschiedenen Buchungsnummern auf checkmytrip.com, bis sie eine passende gefunden haben und auf die Buchungsdaten zugreifen können. Brute Force heißt so ein Angriff, weil er mit purer Rechengewalt durchgeführt wird.

Simple Sicherheitsvorkehrungen fehlen

"Täglich werden ungefähr zwei Millionen Buchungen über Amadeus durchgeführt", sagt Nohl. Ein Computer kann in einer Stunde 100.000 durchsuchen. Das heißt, 20 Computer schaffen pro Stunde fast einen Tag, pro Tag knapp einen Monat, und ein ganzes Jahr in etwa zwei Wochen." Teuer ist das nicht. "Eine Amazon-Instanz ist schon ab einem Cent pro Stunde zu haben." Eine Sperre, die nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen eine Auszeit für den anfragenden Rechner erzwingt, gibt es auf der Website nicht. Übrigens auch nicht auf den Websites anderer großer Buchungssysteme, wie etwa viewtrip.com und virtuallythere.com.

Da Amadeus nur Buchungen für maximal ein Jahr im Voraus ermöglicht, könne man "mit überschaubarem Aufwand" alle Buchungen dieses Jahres für zumindest einen Nachnamen durchsuchen, sagt Nohl. Je verbreiteter der Name ist, desto mehr Buchungen kommen zusammen.