Ryanair: Online-Buchungssystem mit Sicherheitslücken

Man stelle sich vor: Man plant seinen Urlaub mit der Familie an einem idyllischen Ort und freut sich auf eine entspannte Zeit – und bucht hierfür Flüge mit Ryanair – natürlich online. Doch bei der Ankunft stellt sich heraus, dass durch das Online-System ein teurer Mietwagen gebucht wurde (der keineswegs umsonst ist) oder der Anschlussflug erst in drei Tagen geht.

Hat man sich dann bei der Buchung einfach vertan? Nein. Denn wie der tagesspiegel gestern berichtete, lässt sich die Online-Buchung bei Ryanair ganz leicht von Dritten manipulieren.

Das “sichere” Buchungssystem von Ryanair

Bucht man sich bei Ryanair einen Flug über das Online-Buchungssystem, kann man seine Daten später einsehen und verändern: um dies zu tun, kann man zum einen seine Reservierungsnummer angeben, die man nach der Buchung per E-Mail zugeschickt bekommen hat.

Die Lücke im System

Die andere Möglichkeit, sich zu identifizieren, ist: Flugdatum, die bei der Buchung angegebene E-Mail-Adresse und den Abflugs- und Ankunftsort eingeben – fertig. Und dies sind keineswegs Daten, die besonders schwer zu erraten sind, selbst, wenn man die Person nur flüchtig kennt.

Michael Gröne, Experte für Identitätsmanagement am Institut für Internet-Sicherheit in Gelsenkirchen, sagt hierzu:

„Zur eindeutigen Identifizierung gibt es kein Geheimnis, dass nur dem Nutzer und Ryanair bekannt ist. Mit relativ wenigen, auch in Online-Netzwerken wie Facebook öffentlich einsehbaren, Informationen ist es möglich, an die Daten zu kommen.“

Und wer ist verantwortlich?

Ryanairs Buchungssystem ist also mehr als unsicher. Persönliche Daten, die der Reisende bei der Buchung angibt, können nicht nur von Dritten eingesehen, sondern sogar manipuliert werden.

Tipp für den Buchenden: Man sollte die Buchung gleich abspeichern und ausdrucken und spätere Änderungen, die nicht von einem selbst getätigt wurden, gegenüber Ryanair geltend machen. Denn solange das System nicht bestimmten Sicherheitsstandards entspricht, ist Ryanair auch für rechtswidrige Manipulationen durch Dritte verantwortlich.

Ryanair weist Bedenken zurück

„Die vom Tagesspiegel befragten Experten reden kompletten Müll“

erklärt Daniel de Carvalho, Sprecher von Ryanair. Jeder Passagier sei für die Geheimhaltung seiner Daten selbst verantwortlich.

Ganz unrecht hat er damit natürlich nicht: einer gewissen kriminellen Energie bedarf es sicherlich, um mit E-Mail-Adresse und ungefährem Reiseziel jemandem Schaden zuzufügen. Andererseits steht Ryanair mit seinem Buchungssystem allein auf weiter Fl…

» Vollständiger Artikel