Fast alle Airlines raten ihren Passagieren mittlerweile, mit einer Bordkarte so sorgsam umzugehen wie mit dem Reisepass. Woher die fast schon übertrieben wirkende Vorsicht? Kommen Boardingpässe in falsche Hände, können damit viel zu einfach sensible Daten eruiert werden. Wie der "Spiegel" berichtet, hielt sich aber offenbar nicht einmal Lufthansa-Vorstandschef Carsten Spohr daran. Mithilfe seiner Bordkarte wurden unter anderem seine E-Mail-Adresse und die Handynummer ausfindig gemacht.

Umbuchung leicht gemacht

Sicherheitsexperten weisen bereits seit Jahren darauf hin, dass der Barcode auf einer Bordkarte auch dafür verwendet werden kann, geplante Reisen auszuspähen. Darüber ist es auch möglich, bevorstehende Flüge zu ändern und zu stornieren. Die Vielfliegerinfos eines Reisenden liegen per Barcode ebenfalls bereits nach wenigen Handgriffen offen. Der Grund dafür liegt in einer technischen Nachlässigkeit vieler Airlines. Auf manchen Webseiten reichen bereits der Nachname und die Buchungsnummer für Stornierungen und Umbuchungen.

Fremde können durch die Bordkarte an die Log-in-Daten eines Fluggastes kommen und zum Beispiel dessen Rückflug von der Reise annullieren. Der Betroffene hat unter Umständen noch gar nicht eingecheckt und bemerkt den Datendiebstahl erst, wenn längst ein anderer den freien Platz im Flieger ergattert hat. Aus diesem Grund ist es auch besonders ungeschickt, Bordkarten auf sozialen Medien zu posten, sobald man in den Urlaub abgehoben ist. Wer etwa auf Instagram nach dem Hashtag "Boarding Pass" sucht, bekommt mehr als 134.000 Einträge. Offenbar machen sich die wenigsten Gedanken über ihre Sicherheit, wenn sie mit dieser Trophäe im Netz angeben.

Die Sicherheitslücke ist mindestens seit fünf Jahren bekannt, wie die Branchenexperten von "Business Traveller" festhalten. Sie haben schon mehrfach von den Missständen berichtet. Schon 2017 machten erste Sicherheitsexperten darauf aufmerksam, dass Fluggesellschaften den sechsstelligen Buchungscode (PNR) als temporäres Passwort verwenden. Während Passagiere reisen, wird der PNR auf Bordkarten und auf Gepäckaufkleber in Verbindung mit dem Namen des Reisenden gedruckt. Boardingpässe mancher Fluggesellschaften enthalten aber nicht nur Informationen zum jeweiligen Flug, sondern auch die Vielfliegernummer.

Alles in Klartext

Mit dieser Nummer und dem Nachnamen des Kunden können Dritte völlig unkompliziert etwa die aktuelle Buchung auslesen, Bordkarten drucken oder die Versandart für Boardingpässe ändern. Erst um sich ins Nutzerprofil einzuloggen, ist eine PIN nötig. Und auch um Barcodes auf Bordkarten auszulesen ist nicht viel technisches Wissen nötig. Ein Barcodelesegerät, das man um wenige Euro im Onlinehandel kaufen kann, genügt. Dieses steckt man bloß statt der Tastatur an den Computer, und schon liegen die gespeicherten Informationen im Klartext vor.

Für Flugreisende heißt das: Die Bordkarte sollte so sorgfältig wie der Reisepass behandelt werden, in dem sie häufig steckt. Fotos davon postet man nicht, und man lässt auch keine abgelaufenen Bordkarten im Hotel liegen. Am besten werden sie in kleine Stücke zerrissen und dann in unterschiedlichen Mistkübel entsorgt. Eine sichere Alternative: Der Flugreisende verwendet eine mobile Bordkarte, die nur auf dem Handy verfügbar ist. Der Sicherheitscode des Mobilgeräts schützt diese Daten, auch wenn das Smartphone gestohlen wird oder verlorengeht. Am sichersten ist es freilich, während des Fluges ein schönes Bild des Sonnenuntergangs oder der Flugzeugflügel zu machen und dieses dann statt der Bordkarte zu teilen. (red, 10.10.2022)