Selbst Spohr hat es erwischt: QR-Codes von Bordkarten als Türöffner für Datenleaks

Lufthansa-Chef Carsten Spohr (Foto: Granit Pireci).
Lufthansa-Chef Carsten Spohr (Foto: Granit Pireci).

Selbst Spohr hat es erwischt: QR-Codes von Bordkarten als Türöffner für Datenleaks

Lufthansa-Chef Carsten Spohr (Foto: Granit Pireci).
Werbung

Früher enthielten Bordkarten auf der Rückseite einen Magnetstreifen, auf dem relevante Daten für das Boarding gespeichert waren. Die Vordrucke waren nicht nur teuer, sondern Web-Check-In war damit völlig unmöglich. Nach und nach setzten sich Barcodes und QR-Cordes als Nachfolger durch. Doch die „Strichcodes“ haben auch Tücken, wie Lufthansa-Chef Carsten Spohr am eigenen Leib erfahren musste.

In Zeiten, in denen man mit Mobiltelefonen SMS schreiben, telefonieren und allenfalls Snake spielen konnte, war die Gefahr von „Datenleaks über die Bordkarte“ eher von untergeordneter Bedeutung. Mittlerweile kann man selbst mit kostenlosen Apps die QR-Codes problemlos auslesen und kommt im Bruchteil einer Sekunde an die enthaltenen Daten.

Im Regelfall sind Ticketnummer und/oder Buchungscode enthalten. Das ist auch schon der „Schlüssel“, um bei vielen Airlines an die persönlichen Daten des Passagiers zu kommen. Beispielsweise genügen bei Lufthansa die Eingabe von Buchungscode oder Ticketnummer sowie Name des Passagiers. Letzteres ist logischerweise auch im QR-Code enthalten, denn dieser dient ja primär dem Boarding.

Verbraucherschutzverbände, aber auch Airlines selbst, warnen seit vielen Jahren davor, dass man auf Bordkarten gut aufpassen soll. Besonders sollte man diese nicht einfach nach dem Flug einfach wegwerfen, denn die QR-Codes sind der Schlüssel zum Zugriff auf sensible Daten. Lufthansa-Chef Carsten Spohr scheint die Hinweise, die der von ihm geleitete Konzern ausspricht, selbst nicht ganz ernst genommen zu haben.

Mit wenig Aufwand rasch an viele Daten

So kam es wie es kommen musste: Wie zunächst das Nachrichtenmagazin „Der Spiegel“ berichtete, soll eine unbekannte Person eine von Spohr in einem Mülleimer geworfene Bordkarte herausgefischt haben. Anschließend wurde der QR-Code ausgelesen. Mit dem Namen „Carsten Spohr“ und dem enthaltenen PNR ging es dann auf die Lufthansa-Homepage. Die Buchung konnte aufgerufen werden und ohne weitere Sicherheitsabfragen waren Daten wie seine Handynummer und seine persönliche E-Mail-Adresse sichtbar. Eben genau so wie wenn man sich selbst in die eigene Buchung einloggen würde.

Beim Lufthansa-Chef dürfte der Umstand, dass er selbst aufgrund einer kleinen Unachtsamkeit zum Opfer eines Datenleaks geworden ist, ein regelrechter Schock gewesen sein. Aufgrund der eigenen Erfahrung mahnt der Manager nun, dass Passagiere ihre Bordkarten bzw. den darauf enthaltenen QR-Code sorgsam wie Bargeld behandeln sollten. Zuvor hatte Spohr wohl selbst nicht zu ganz daran geglaubt, dass allein ein simpler QR-Code auf einer Bordkarte ausreichend ist, um binnen Sekunden Zugriff auf persönliche Daten zu bekommen.

Im Regelfall ist im Menü, das über Buchungscode (oder Ticketnummer) und Name über die Lufthansa-Homepage zugänglich ist, so allerhand an persönlichen Daten hinterlegt. Man kann sehen wohin die Reise geht, wie viel das Ticket gekostet hat, die Vielfliegerkarte ist ersichtlich und kann sogar geändert werden und falls zuvor eingegeben kann man auch Handynummer und E-Mail-Adresse einsehen. Theoretisch kann man unter bestimmten Umständen sogar Buchungen stornieren oder umbuchen. Daher warnt Lufthansa nun ausdrücklich, dass man Bordkarten und deren QR-Codes sorgsam wie Bargeld behandeln soll und nach dem Flug nicht einfach in die nächstbeste Mülltonne werfen soll.

Vorsicht auch bei Internet-Fotos

Dass es Lufthansa-Chef Carsten Spohr selbst erwischt hat, ist natürlich ein kurioser Zufall. Allerdings kann es nahezu jeden Passagier erwischen, wenn der Barcode in falsche Hände gerät. Betroffen ist freilich nicht nur der Kranich-Konzern, sondern bei fast allen Fluggesellschaften kann man sich mit aus QR-Codes gewonnen Daten einfach auf der Homepage einloggen und Daten auslesen. Nur bei wenigen Carriern kann man damit nichts anfangen, weil ein zusätzlicher Login, beispielsweise ein Kundenkonto, notwendig sind. Es ist anzunehmen, dass Spohr höchstpersönlich bei Lufthansa Änderungen vorantreiben wird.

Auch wenn es vielen Reisenden Spaß macht mit ihrem Bordkarten – egal ob auf Papier oder digital auf dem Smartphone – für Fotos, die anschließend auf sozialen Medien gepostet werden, zu posen, so sollte man doch beachten, dass die QR-Codes auch dann ausgelesen werden könnten. Simpler Trick: Einfach den Strichcode sowie die Ticketnummer bzw. den PNR mit der Hand verdecken und schon ist das freudige Urlaubsfoto auch sicher gegen Datenleaks.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Redakteur dieses Artikels:

[ssba-buttons]

Paywalls mag niemand
– auch Aviation.Direct nicht!

Informationen sollten frei für alle sein, doch guter Journalismus kostet viel Geld.

Wenn Ihnen dieser Artikel gefallen hat, können Sie Aviation.Direct freiwillig auf eine Tasse Kaffee Kaffee einladen.

Damit unterstützen Sie die journalistische Arbeit unseres unabhängigen Fachportals für Luftfahrt, Reisen und Touristik mit Schwerpunkt D-A-CH-Region und zwar freiwillig ohne Paywall-Zwang.

Wenn Ihnen der Artikel nicht gefallen hat, so freuen wir uns auf Ihre konstruktive Kritik und/oder Ihre Verbesserungsvorschläge wahlweise direkt an den Redakteur oder an das Team unter unter diesem Link oder alternativ über die Kommentare.

Ihr
Aviation.Direct-Team
Paywalls
mag niemand!

Über den Redakteur

[ssba-buttons]

Paywalls mag niemand
– auch Aviation.Direct nicht!

Informationen sollten frei für alle sein, doch guter Journalismus kostet viel Geld.

Wenn Ihnen dieser Artikel gefallen hat, können Sie Aviation.Direct freiwillig auf eine Tasse Kaffee Kaffee einladen.

Damit unterstützen Sie die journalistische Arbeit unseres unabhängigen Fachportals für Luftfahrt, Reisen und Touristik mit Schwerpunkt D-A-CH-Region und zwar freiwillig ohne Paywall-Zwang.

Wenn Ihnen der Artikel nicht gefallen hat, so freuen wir uns auf Ihre konstruktive Kritik und/oder Ihre Verbesserungsvorschläge wahlweise direkt an den Redakteur oder an das Team unter unter diesem Link oder alternativ über die Kommentare.

Ihr
Aviation.Direct-Team
Paywalls
mag niemand!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Werbung