FRANKFURT - Flugdokumente enthalten persönliche Daten - und sollten sehr sorgsam behandelt werden. Darauf weist Lufthansa Passagiere hin. Hintergrund ist ein aktueller Zwischenfall in der Chefetage: über eine Sicherheitslücke sind Unbekannte an sensible Daten von Lufthansa-Chef Carsten Spohr gelangt.
Persönliche Email-Adresse und Mobilnummer: Framde haben sich über eine Lücke im Lufthansa-IT-System Zugriff auf diese und weitere Daten von Lufthansa-Chef Carsten Spohr verschafft.
Das berichtet das Nachrichtenmagazin "Der Spiegel".Einfallstor war offenbar ein freiliegender QR-Code auf einem Boardingpass des Lufthansa-Chefs. Über den ließen sich die aktuelle Buchung, die Vielfliegernummer und weitere persönliche Daten auslesen.
Lufthansa sieht darin zwar kein generelles Sicherheitsrisiko, mahnt Passagiere aber, Flugdokumente "wie Bargeld" zu behandeln. "Wir empfehlen unseren Fluggästen, grundsätzlich sehr sorgsam mit den Flugdokumenten umzugehen", sagte ein Sprecher dem "Spiegel".
Lufthansa hat gerade eine Digitaloffensive für die Netzairlines gestartet. Der Konzern will für den "Digital Hangar" 500 neue IT-Fachkräfte anstellen.
© aero.de | Abb.: Lufthansa | 28.09.2022 05:22
Um einen Kommentar schreiben zu können, müssen Sie sich bei aero.de
registrieren oder
einloggen.
Beitrag vom 29.09.2022 - 18:59 Uhr
Es ist definitiv ein Problem, wenn auch kein wirklich neues, und auch kein Lufthansa-spezifisches. Natürlich sind auf Bordkarten scanbare Codes, die ein Datum bereitstellen, anhand derer der Mitarbeiter am Gate (ggf. mit Hilfe eines automatisierten Systems) feststellen kann, ob der Inhaber der Bordkarte berechtigt ist, an Bord zu gehen.
Problematisch ist, dass bei einigen Airlines diese Angaben genügen, um auf das Online-Boarding System zugreifen zu können, wo dann ggf. weitere personenbezogene Daten einsehbar sind, die für die Boarding-Entscheidung völlig irrelevant sind (z. B. die Email-Adresse). Aus Sicherheitsgründen und um den DSGVO Anforderungen zu genügen, müsste es hier eigentlich eine weitere technische Hürde geben (sprich: ein Passwort oder sonstiges Geheimnis, das nur der betreffende Fluggast kennen darf), die den Zugriff auf Daten schützt, die nicht für den eigentlichen Boarding-Vorgang benötigt werden.
Da hilft übrigens auch die Empfehlung nicht, die Boardkarte verdeckt zu tragen - der Mitarbeiter am Gate bekommt sie zu Gesicht, und die DSGVO regelt, dass dieser nur die personenbezogenen Daten erhalten darf, die zur Erfüllung seiner Aufgabe notwendig sind.
Umgekehrt ist es natürlich für Fluggäste unbequem, sich für jedes Online-Checkin-System ein Passwort merken zu müssen, oder ein Online-Konto anzulegen, das einem nur nervige Werbung einbringt. Eine Möglichkeit wäre, anstelle eines Kennworts die Nummer des amtlichen Ausweisdokuments abzufragen, die für die Buchung verwendet wurde.
Ein weiterer Hebel, an dem man ansetzen könnte, wäre übrigens die Anzahl der verschiedenen Check-in Systeme zu verringern (auch im Lufthansa-Konzern betreibt jede Marke noch ihr eigenes Check-in Portal).
Beitrag vom 29.09.2022 - 17:43 Uhr
Lufthansa sieht darin zwar kein generelles Sicherheitsrisiko
Das ist aus meiner Sicht nicht konsistent. Ein Foto des Boarding Pass ermöglicht Angreifern über den QR Code an sensible Informationen zu kommen.
Das _ist_ ein Sicherheitsrisiko - für den Kunden.
Das solle der LH so egal nicht sein...
Erstens war es mit Sicherheit kein QR Code, der da gescannt wurde.
Wenn es so im Artikel steht : Warum nicht?
Beitrag vom 29.09.2022 - 17:39 Uhr
, mahnt Passagiere aber, Flugdokumente "wie Bargeld" zu behandeln.
Der Bargeld-Vergleich ist ebenfalls unseriös. Mit einem Foto meines Bargelds kann kein Angreifer etwas anfangen.
Das war auch kein Vergleich mit Bargeld, sondern ein Hinweis es so zu schützen. Den Unterschied kann man schon erfassen.
Ja, wenn es um Lufthansa geht, bekommt der eine oder andere schnell einen Tunnelblick ;-)
und
Und ich meine, man muss schon ziemlich verbohrt sein, um in der Empfehlung, Flugdokumente wie Bargeld zu behandeln, irgendetwas unseriöses zu sehen.
@Christian159
Das Kompliment kann ich zurückgeben. Manche wollen einfach keine Probleme sehen, wenn es um die LH geht :)
Laut Artikel _war_ ein QR Code der Auslöser. Den Artikel könnte man aber schon mal lesen, oder?
Den kann man fotografieren, auswerten und dann die Daten nutzen.
Und deshalb ist auch der Bargeld Vergleich nicht nur unseriös, sondern sogar gefährlich.
Einen 10 Euro Schein kann ich jedem zeigen, ihn fotografieren lassen, etc. Da passiert nichts, solange ich ihn nicht aus der Hand gebe.
Wer einen Boarding Pass so in der Hand hält, dass der QR Code fotografiert werden kann, verliert die Kontrolle über seine Daten. Ist eigentlich sehr einfach zu verstehen.
D.h. man muss Flugdokumente eigentlich wie eine EC-Pin behandeln. Nicht aus der Hand geben UND immer so halten, dass keiner draufschauen kann...
Aber, hey, wen interessieren schon Fakten, wenn man auch völlig ohne Ahnung einfach über andere Forumsteilneehmer herziehen kann...
Dieser Beitrag wurde am 29.09.2022 19:34 Uhr bearbeitet.
Kommentare (23) Zur Startseite
Um einen Kommentar schreiben zu können, müssen Sie sich bei aero.de registrieren oder einloggen.
Problematisch ist, dass bei einigen Airlines diese Angaben genügen, um auf das Online-Boarding System zugreifen zu können, wo dann ggf. weitere personenbezogene Daten einsehbar sind, die für die Boarding-Entscheidung völlig irrelevant sind (z. B. die Email-Adresse). Aus Sicherheitsgründen und um den DSGVO Anforderungen zu genügen, müsste es hier eigentlich eine weitere technische Hürde geben (sprich: ein Passwort oder sonstiges Geheimnis, das nur der betreffende Fluggast kennen darf), die den Zugriff auf Daten schützt, die nicht für den eigentlichen Boarding-Vorgang benötigt werden.
Da hilft übrigens auch die Empfehlung nicht, die Boardkarte verdeckt zu tragen - der Mitarbeiter am Gate bekommt sie zu Gesicht, und die DSGVO regelt, dass dieser nur die personenbezogenen Daten erhalten darf, die zur Erfüllung seiner Aufgabe notwendig sind.
Umgekehrt ist es natürlich für Fluggäste unbequem, sich für jedes Online-Checkin-System ein Passwort merken zu müssen, oder ein Online-Konto anzulegen, das einem nur nervige Werbung einbringt. Eine Möglichkeit wäre, anstelle eines Kennworts die Nummer des amtlichen Ausweisdokuments abzufragen, die für die Buchung verwendet wurde.
Ein weiterer Hebel, an dem man ansetzen könnte, wäre übrigens die Anzahl der verschiedenen Check-in Systeme zu verringern (auch im Lufthansa-Konzern betreibt jede Marke noch ihr eigenes Check-in Portal).
Das ist aus meiner Sicht nicht konsistent. Ein Foto des Boarding Pass ermöglicht Angreifern über den QR Code an sensible Informationen zu kommen.
Das _ist_ ein Sicherheitsrisiko - für den Kunden.
Das solle der LH so egal nicht sein...
Erstens war es mit Sicherheit kein QR Code, der da gescannt wurde.
Wenn es so im Artikel steht : Warum nicht?
, mahnt Passagiere aber, Flugdokumente "wie Bargeld" zu behandeln.
Der Bargeld-Vergleich ist ebenfalls unseriös. Mit einem Foto meines Bargelds kann kein Angreifer etwas anfangen.
Das war auch kein Vergleich mit Bargeld, sondern ein Hinweis es so zu schützen. Den Unterschied kann man schon erfassen.
Ja, wenn es um Lufthansa geht, bekommt der eine oder andere schnell einen Tunnelblick ;-)
und
Und ich meine, man muss schon ziemlich verbohrt sein, um in der Empfehlung, Flugdokumente wie Bargeld zu behandeln, irgendetwas unseriöses zu sehen.
@Christian159
Das Kompliment kann ich zurückgeben. Manche wollen einfach keine Probleme sehen, wenn es um die LH geht :)
Laut Artikel _war_ ein QR Code der Auslöser. Den Artikel könnte man aber schon mal lesen, oder?
Den kann man fotografieren, auswerten und dann die Daten nutzen.
Und deshalb ist auch der Bargeld Vergleich nicht nur unseriös, sondern sogar gefährlich.
Einen 10 Euro Schein kann ich jedem zeigen, ihn fotografieren lassen, etc. Da passiert nichts, solange ich ihn nicht aus der Hand gebe.
Wer einen Boarding Pass so in der Hand hält, dass der QR Code fotografiert werden kann, verliert die Kontrolle über seine Daten. Ist eigentlich sehr einfach zu verstehen.
D.h. man muss Flugdokumente eigentlich wie eine EC-Pin behandeln. Nicht aus der Hand geben UND immer so halten, dass keiner draufschauen kann...
Aber, hey, wen interessieren schon Fakten, wenn man auch völlig ohne Ahnung einfach über andere Forumsteilneehmer herziehen kann...
Dieser Beitrag wurde am 29.09.2022 19:34 Uhr bearbeitet.