Vorsicht Boardkarten: nicht achtlos wegwerfen!
Laut einem Bericht der aktuellen c´t (Nr. 21 vom 30.09.2017) enthalten Boardkarten (welche für den Check-In am Flughafen benötigt werden), entweder im Klartext oder über den unverschlüsselt aufgedruckten Matrixcode, eine Buchungsnummer, die es in vielen Fällen ermöglicht, über spezielle Service-Angebote (z.Bsp. CheckMyTrip) auch Zugang zum Online-Check-In der Airlines zu erlangen.
Ein Login soll dann größtenteils relativ einfach nur mit der Buchungsnummer und dem Nachnamen möglich sein. Nur in wenigen Fällen sollen weitere Daten abgefragt werden. Dort einmal eingeloggt, können Angreifer Flugdaten, Adressdaten, Telefonnummern, E-Mail-Adressen, Kreditkartendaten und Reisepassdaten einsehen.
Die Airlines wissen offenbar um diese Sicherheitslücke, haben sie bisher aber noch nicht geschlossen. Warum? Ist der wirtschaftliche Druck, den der liberalisierte Markt des Flugverkehrs auf die Airlines ausübt, zwischenzeitlich so groß geworden, dass man sich den Aufwand für Daten- und Informationssicherheit nicht mehr leisten will? Dafür aber einen Rechtsverstoß u.a. gegen die DSGVO (Artikel 32), vielleicht in der Hoffnung, unentdeckt zu bleiben? Und dies alles noch im Kontext von nicht unerheblichen Bußgeldern, die die DSGVO künftig für solche Fälle vorsieht sowie eventueller Schadensersatzforderungen von Betroffenen wegen der Beeinträchtigung von Rechten und Freiheiten?
In diesem Zusammenhang wäre es auch interessant, in die Verzeichnisse für die Verarbeitungstätigkeiten Einsicht zu nehmen und zu schauen, wer als Verantwortlicher für diese (unsicheren) Prozesse hinterlegt ist.
Als Konsequenz empfehlen wir allen Fluggästen, ihre Boardingkarten sorgfältig zu vernichten und nicht einfach arglos wegzuwerfen. Auch Gepäckanhänger sollen von diesem Risiko betroffen sein.