Jeder Passagier benötigt einen Boarding Pass, der wichtige Informationen wie den Buchungscode und den Namen des Passagiers enthält. Allerdings sollten diese sensiblen Daten nicht öffentlich preisgegeben werden. Warum das so ist, erklären wir Euch in diesem Guide.
Inhaltsverzeichnis
Im Jahr 2023 verzeichneten die 23 wichtigsten Flughäfen Deutschlands einen starken Zustrom von Fluggästen, mit insgesamt rund 185,2 Millionen Passagieren. Diese Zahl stellt einen Anstieg um 19,3 Prozent gegenüber dem Vorjahr dar. Zu einem Flug gehört immer auch eine Bordkarte. Mittlerweile finden sich in den sozialen Medien (#boardingpass) zahlreiche Bilder von unzensierten Bordkarten, Buchungsbestätigungen mit Buchungscode oder QR-Codes vom Gepäckanhänger. Damit können fremde Personen allerlei Unsinn anstellen. Wir möchten Euch mögliche Probleme aufzeigen und in Bezug auf Eure eigenen Daten auf dem Boarding Pass sensibilisieren. Selbst die privaten Daten von Lufthansa CEO Carsten Spohr wurden schon ausgespäht, wie der Spiegel berichtete.
Warum sollten Bordkarten-Daten geschützt werden?
Für viele Reisende stellt eine Flugreise ein besonderes Ereignis dar. Infolgedessen ist es üblich, dass Passagiere ihre Reiseerlebnisse in sozialen Medien teilen, oft auch mit Fotos ihrer Bordkarten. Dies birgt jedoch das Risiko, dass diese sensiblen Daten in die Hände von Kriminellen gelangen. Auf einer Bordkarte sind neben einem individuellen Buchungscode auch der Name des Passagiers vermerkt. Bei einigen Fluggesellschaften, wie der Lufthansa, genügt der Nachname und der Buchungscode, um Zugang zu den Buchungsdetails zu erhalten. Dies ermöglicht es potenziell Fremden, auf die persönlichen Buchungsdaten zuzugreifen.
Neben der Offenlegung persönlicher Daten wie Telefonnummer oder Adresse besteht auch die Möglichkeit, Änderungen an der Buchung vorzunehmen. Während Reisende am Gate warten, besteht die potenzielle Gefahr, dass Fremde im schlimmsten Fall die Buchung stornieren können. Erfahrene Hacker könnten sogar versuchen, mit den persönlichen Daten wie Adresse und Telefonnummer auf das Bankkonto zuzugreifen. Darüber hinaus können neben den grundlegenden Daten auch weitere sensible Informationen zugänglich sein, wie die Namen von Mitreisenden, spezielle Essenspräferenzen, Details zu Mietwagenbuchungen und Hotelreservierungen, insbesondere wenn diese über das Globale Distributionssystem (GDS) gebucht wurden.
Kann das Flugticket storniert werden?
Um die Ernsthaftigkeit dieser Gefahren zu veranschaulichen, möchten wir ein Beispiel aus unserem Bekanntenkreis anführen. Folgende Instagram-Story war öffentlich einsehbar, wobei die sensiblen Daten im Nachhinein nachträglich zensiert wurden.
Neben Einsicht in den kompletten Reiseverlauf, besteht in diesem Beispiel die Möglichkeit den Sitzplatz zu ändern. Außerdem können persönliche Daten wie E-Mail-Adresse, Handynummer und Adresse abgerufen werden. Während der Reise wissen Kriminelle nun möglicherweise, dass niemand zu Hause ist. Eine Person mit betrügerischen Absichten könnte ebenfalls das Ticket stornieren. Selbst wenn man bereits im Flugzeug sitzt, kann eine Stornierung den geplanten Weiter- oder Rückflug beeinflussen. Eine andere Möglichkeit wäre, die persönlichen Daten zu modifizieren und dann den Namen zu ändern. So könnte der Täter die Buchung für sich nutzen und müsste eventuell nur eine geringe Bearbeitungsgebühr an die Fluggesellschaft selbst zahlen.
Wie kann man sich am besten schützen?
Im besten Fall sollte man keine Bordkarten oder Buchungscodes auf den einschlägigen Social Media Webseiten posten. Möchte man dennoch ein Foto von der Bordkarte hochladen, sollte man unbedingt vorher den Buchungscode als auch den QR-Code im Vorfeld zensieren. Ein privates Profil ist ebenso hilfreich, da dort im Zweifel nur Freunde auf die Posts Zugriff haben. Oftmals werden auch die Bordkarten nach dem Flug direkt am Flughafen im Müll entsorgt, was ebenfalls nicht empfehlenswert ist. Auf dem Rückflug erfolgt dann das böse Erwachen, wenn jemand Fremdes einfach den Flug storniert hat.
Dasselbe kann passieren, wenn der Gepäckanhänger achtlos weggeworfen wird. Auf diesem befindet sich ebenfalls der Buchungscode. In Kombination mit dem Nachnamen sind ungewollte Änderungen durch Dritte möglich. Deshalb sollte der Gepäckanhänger sowie die Bordkarte erst am Zielort (und nicht direkt am Flughafen) entsorgt werden. Manchmal fehlt auf dem Gepäckanhänger der Buchungscode. Dennoch sollte man sich nicht täuschen lassen, da die genannten Informationen unter Umständen aus dem QR-Code des Gepäckanhängers ausgelesen werden können.
Im Fall von Carsten Spohr konnten Fremde durch den QR-Code auf der Bordkarte Zugriff auf seine private Handynummer und E-Mail-Adresse erhalten. Für den CEO einer Fluggesellschaft wie der Lufthansa ein sehr unerfreuliches Ereignis, da infolgedessen wohl eine neue Handynummer und E-Mail nötig wurde.
Meilenkonto ebenfalls in Gefahr?
Der US-Journalist Brian Krebs hat veranschaulicht, wie leicht Fremde sogar Zugriff auf das Meilenkonto der jeweiligen Person erhalten könnten. Dies geht natürlich nur, sofern die Nummer im Ticket hinterlegt ist. Letztlich musste man lediglich eine vorausgewählte Sicherheitsfrage beantworten, die in diesem Fall nach dem Geburtsnamen der Mutter fragte. Durch eine Recherche in der Freundesliste auf Facebook, Instagram und Co. kann so etwas relativ einfach herausgefunden werden. Auch die Frage nach der Lieblingsfußballmannschaft ist keine wirkliche Sicherheitsfrage, die ihren Namen verdient.
Bei dem beliebtesten Vielfliegerprogramm der Deutschen, Miles & More, ist das Meilenkonto ausschließlich durch eine fünfstellige Pin geschützt. Eine 2-Faktor Autorisierung besteht ausschließlich in Bezug auf eine Datenänderung. Reine Flugbuchungen, auch für Dritte, lassen sich problemlos ohne 2-Faktor Absicherung durchführen. Wer nicht täglich in sein Meilenkonto schaut, kann hier eine böse Überraschung erleben.
Fazit zur Sicherheit der Bordkarte
Man kann jedem nur empfehlen, keine eigenen sensiblen Daten auf den sozialen Medien zu verbreiten. Anhand des Buchungscodes lassen sich in Kombination mit dem Nachnamen gravierende Änderungen bei einer Buchung vornehmen. Deshalb sollte man immer daran denken, entsprechende Stellen ausreichend zu zensieren. Im Zweifel besser gar nichts hochladen.
Ja, Du hast recht, hängt wohl von der Airline ab, Lufthansa hat’s bei mir den Buchungscode nicht drauf, Brussels Airlines schon, jetzt passe ich besser auf, Danke!
Danke für deine Rückmeldung, Markus!
Und ja, lieber ein mal mehr vorsichtig sein als später ohne Rückflug (oder ähnlichem) dazustehen.
Mein baggage tag hat nur einen Strichcode keinen QR-Code.
Ich glaube hier liegt ein Missverständnis vor.
Nur das erste Bild ganz links war eine Story und dementsprechend öffentlich. Das mittlere und rechte Bild zeigt, was Fremde hätten anrichten können.
Hallo Hubert, ich stelle fest, Sie haben den Artikel nicht verstanden.Die Wichtigkeit auf diese Daten zu verweisen ist enorm, viele beachten das zu wenig.