Vor dem Flug in die Ferien, noch schnell ein Bild vom Pass und dem Boarding Pass ins Netz stellen. Was viele Likes bringt, birgt auch grosse Gefahren. Die Fotos sind ein gefundenes Fressen für Einbrecher und Datendiebe. Denn: Die Schwachstelle des Boarding Passes (Flugkarten) ist der Bar- beziehungsweise QR-Code. Er verrät nicht nur Check-in-Scannern in Sekundenschnelle wichtige Daten von Passagieren.
Auch Kriminelle können mit einfachsten Code-Scannern auf Handy-Apps im Boarding Pass Name, Vorname und Buchungs-Nummer herauslesen. BLICK-Recherchen zeigen: Bei vielen Airlines reicht das schon, um sich im Internet einzuloggen und viel Ärger und Chaos zu verbreiten. Und: Betroffen sind Airlines weltweit.
Plötzlich falsches Ticket auf dem Handy
Dem Zürcher Marcel Morath fiel der Missstand auf, er alarmierte BLICK. «Ich hätte den Flug einer Fremden stornieren können!», sagt er empört. Auslöser war ein SMS, das der Koch letzte Woche erhielt. Inhalt: eine Flugkarte für den Swiss-Flug Zürich–London. Doch der Koch hatte nie einen Flug gebucht, das Ticket gehörte einer gewissen Sabrina F.*, die sich wohl vertippte, als sie sich das Ticket aufs Handy schicken wollte.
Beim BLICK-Test waren wenige Klicks nötig, um aus Sabrinas F.s Flugticket die Login-Daten herauszulesen. Einmal eingegeben, verriet die Swiss das Geburtsdatum, die Passnummer der Frau und vor allem – die Dauer ihrer Reise. Pikant: Sogar eine Umbuchung und Stornierung war möglich.
Fahrlässiger Umgang mit Boardingpässen
Solche Boarding-Pass-Attacken sind nicht neu. Doch das Beispiel zeigt, wie einfach ein Datenklau möglich ist. Das Hauptproblem: Viele Fluggäste gehen zu fahrlässig mit ihren Flugkarten um. Sie stellen kurz vor dem Besteigen des Flugzeugs Bilder ins Internet, lassen nach dem Flug die Tickets liegen oder werfen sie achtlos weg.
Dabei könnten betroffene Airlines die Funktionen einschränken, wenn sich jemand nur mit Nachname und Buchungsnummer einloggen will – kaum eine Fluggesellschaft macht das aber. Zur Freude von potenziellen Einbrechern, die so genau wissen, wann ihre Opfer nicht daheim sind.
Bei einigen Airlines konnte BLICK sogar die Einstellungen des Flug-Menüs verändern. Für Allergiker ein lebensgefährlicher Eingriff. Von den betroffenen Fluggästen will sich keiner öffentlich äussern. Viele wollen es selbst mit der Airline besprechen. «Vielleicht gibts ein Upgrade nächstes Mal!», hofft zum Beispiel Greg J.*, der seinen Boarding Pass leichtfertig auf Instagram veröffentlichte.
Datenschützer will Aufklärung von Swiss
Die Swiss sagt auf Anfrage, dass die Passagiere einen Teil der Verantwortung für ihre Daten selbst übernehmen müssten. «Persönliche Boardingpässe sollten selbstverständlich ebenso wenig publiziert werden wie Passwörter oder Kopien von Reisepässen», sagt Swiss-Sprecher Florian Flämig auf Anfrage.
Ähnlich reagiert der weltweite Fluggesellschaften-Dachverband Iata: «Passagiere sollten Boardingpässe wie andere vertrauliche Kaufdokumente behandeln, die sensible Personendaten enthalten.»
Ob dieser Hinweis reicht, wird nun genauer abgeklärt. Der stellvertretende Datenschützer des Bundes, Jean-Philippe Walter, sagt, dass man die Swiss offiziell um Aufklärung erbeten habe.
* Namen geändert