Über 70 Millionen Passagiere wurden 2021 von Deutschland aus mit dem Flugzeug befördert. Dies sind zwar nicht so viele wie vor Corona, aber für 2022 ist eine weitere Steigerung wahrscheinlich. Wie sensibel Eure Daten auf dem Boardingpass sind, zeigen wir Euch in diesem Guide.
In den sozialen Medien (#boardingpass) findet man haufenweise Bilder von unzensierten Bordkarten, Buchungsbestätigungen inklusive Buchungscode oder QR-Codes vom Baggage-Tag. Damit können fremde Personen allerlei Unsinn anstellen. Wir möchten Euch mögliche Probleme aufzeigen und in Bezug auf Eure eigenen Daten auf dem Boardingpass sensibilisieren. Selbst die privaten Daten von Lufthansa CEO Carsten Spohr wurden schon ausgespäht, wie der Spiegel berichtete.
Bordkarten und Buchungscodes
Für viele Menschen ist eine Flugreise etwas Besonderes. Aus diesem Grund teilen Passagiere ihre Erfahrungen gerne in den sozialen Medien, inklusive Fotos von der Bordkarte. Dadurch besteht eine erhöhte Gefahr, dass diese Daten in die Hände von Kriminellen gelangen. Wie Ihr Euch davor schützen könnt, stellen wir Euch unter anderem hier vor.

Auf einer Bordkarte befindet sich neben einem individuellen Buchungscode auch noch der Name des jeweiligen Passagiers. Bei der Lufthansa reicht der Nachname und eben der Buchungscode aus, um Einblick in die Buchung zu bekommen. Dies führt dazu, dass Fremde ganz leicht Zugriff auf Eure Buchung erhalten können. Neben der Einsicht von persönlichen Daten wie Telefonnummer oder Adresse lassen sich auch Änderungen an der Buchung an sich vornehmen. Während Ihr also am Gate sitzt, besteht die Gefahr, dass ein Fremder im schlimmsten Fall einfach Eure Buchung storniert.
Die Gefahren – an einem Beispiel erklärt
Um zu zeigen, dass das alles nicht nur abstrakte Gefahren sind, möchten wir euch an einem Beispiel aus unserem Bekanntenkreis aufzeigen. Folgende Instagram-Story war öffentlich einsehbar, wobei die sensiblen Daten im Nachhinein nachträglich zensiert wurden.

Neben Einsicht in den kompletten Reiseverlauf, besteht in diesem Beispiel die Möglichkeit den Sitzplatz zu ändern. Ebenso ist ein Zugriff auf die persönlichen Daten wie E-Mail-Adresse, Handynummer und Adresse möglich. Während Ihr also verreist, wissen Kriminelle nun, dass unter der angegeben Adresse womöglich keiner zu Hause ist. Wer Euch nicht wohl gesonnen ist, kann zudem das Ticket stornieren. Selbst wenn Ihr schon im Flugzeug sitzen solltet, hat eine Stornierung Einfluss auf einen eventuellen Weiter- oder Rückflug. Falls Ihr auf der Suche nach generellen Informationen zur Boarding-Pass seid, empfehle ich Euch unseren reisetopia Basic Artikel darüber.
So könnt Ihr Euch schützen
Im besten Fall erstmal keine Bordkarten oder Buchungscodes auf den einschlägigen Social Media Webseiten posten. Wollt Ihr dennoch ein Foto von Eurer Bordkarte hochladen, solltet Ihr unbedingt vorher den Buchungscode als auch den QR-Code im Vorfeld zensieren. Ein privates Profil ist ebenso hilfreich, da dort im Zweifel nur Freunde auf die Posts Zugriff haben. Gerne werden auch die Bordkarten nach dem Flug direkt am Flughafen im Müll entsorgt, was ebenfalls nicht empfehlenswert ist. Auf dem Rückflug erfolgt dann das böse Erwachen, wenn jemand Fremdes einfach Euren Flug storniert hat.

Das Gleiche kann passieren, wenn Ihr das Baggage Tag achtlos wegwerft. Auf diesem befindet sich ebenfalls Euer Buchungscode. In Kombination mit Eurem Nachnahmen sind ebenso ungewollte Änderungen durch Dritte möglich. Deswegen solltet Ihr das Baggage Tag als auch Eure Bordkarte erst am Zielort (und nicht direkt am Flughafen) entsorgen. Im Fall von Carsten Spohr konnten Fremde durch den QR-Code auf der Bordkarte Zugriff auf seine private Handynummer und E-Mail-Adresse erhalten. Für den CEO einer Fluggesellschaft wie der Lufthansa ein sehr unerfreuliches Ereignis, da infolgedessen wohl eine neue Handynummer und E-Mail nötig wurde.
Meilenkonto ebenfalls in Gefahr?
Der US-Journalist Brian Krebs hat veranschaulicht, wie leicht Fremde sogar Zugriff auf das Meilenkonto der jeweiligen Person erhalten könnten. Dies geht natürlich nur, sofern die Nummer im Ticket hinterlegt ist. Letztendlich musste man lediglich eine vorausgewählte Sicherheitsfrage beantworten, die in diesem Fall nach dem Geburtsnamen der Mutter fragte. Durch eine Recherche in der Freundesliste auf Facebook kann so etwas relativ einfach herausgefunden werden. Auch die Frage nach der Lieblingsfußballmannschaft ist keine wirkliche Sicherheitsfrage, die ihren Namen verdient.

Bei dem beliebtesten Vielfliegerprogramm der Deutschen, Miles&More, ist das Meilenkonto ausschließlich durch eine fünfstellige Pin geschützt. Eine 2-Faktor Autorisierung besteht ausschließlich in Bezug auf eine Datenänderung. Reine Flugbuchungen, auch für Dritte, lassen sich problemlos ohne 2-Faktor Absicherung durchführen. Wer nicht täglich in sein Meilenkonto schaut, kann hier eine böse Überraschung erleben.
Fazit zur Sicherheit der Bordkarte
Ich kann jedem nur empfehlen, keine eigenen sensiblen Daten auf den sozialen Medien zu verbreiten. Anhand des Buchungscodes lassen sich, in Kombination mit dem Nachnamen, gravierende Änderung bei einer Buchung vornehmen. Deswegen bitte immer daran denken, entsprechende Stellen ausreichend zu zensieren. Im Zweifel besser gar nichts hochladen. Falls Ihr Fragen zum Thema habt, hinterlasst gerne einen Kommentar.
Auf meinem Baggage Tag steht kein Buchungscode und die Ticketnr. ist stark gekürzt, also weitere Daten erhält man damit nicht.
Die genannten Informationen sind aus dem QR-Code des Baggage Tags unter Umständen trotzdem auslesbar.
Mein baggage tag hat nur einen Strichcode keinen QR-Code.
Ich melde mich nochmal bei dir Markus.
Ich hatte diese Woche zwei Flüge mit Aufgabegepäck. Auf beiden Tags stand klar deutlich Nachname/Vorname als auch die Buchungsnummer.
Ich kann aber nicht ausschließen, dass es da Unterschiede zwischen den verschiedenen Airlines gibt.
Ja, Du hast recht, hängt wohl von der Airline ab, Lufthansa hat’s bei mir den Buchungscode nicht drauf, Brussels Airlines schon, jetzt passe ich besser auf, Danke!
Danke für deine Rückmeldung, Markus!
Und ja, lieber ein mal mehr vorsichtig sein als später ohne Rückflug (oder ähnlichem) dazustehen.
Auch wenn es Generation Smartphone nicht so gerne hört:
Allein die Information, dass ich im Urlaub (und folgerichtig nicht zu Hause) bin, hat in der Öffentlichkeit so rein gar nichts zu suchen, wenn ich nicht erleben will, das meine Bude nach Rückkehr völlig leergeräumt ist.
Also im Zweifel die Social Media Konten auf privat oder nur für Freunde sichtbar stellen oder am besten Urlaubsfotos erst nach Rückkehr (optimal bearbeitet) hochladen.
Danke für diesen offenen und ehrlichen Bericht, andere Website scheinen hier Problem mit zu haben oder wollen sich nicht mit Werbekunden anlegen?
Das Ganze ist seit Jahren ein von Datenschützern völlig ignorierter Bereich. Ich vermute, dass weil “es alle so machen” keiner sich gegenseitig anzeigen will (Wettbewerbssituation)
Es fehlt noch, dass noch weitere sensible Daten zugänglich sind:
– Namen von Mitreisenden (z.B. wenn Kinder den Namen des Ehemanns haben)
– Präferenzen beim Essen (Vegetarier, Religion, etc.)
– Mietwagen Details falls über GDS gebucht (Business Trip, die Reiseportale wie Cytrix erstellen Amadeus “Reisepläne” aus den PNRs), mit Kreditkarteninfos und ggf. vertraulichen Details (Behinderung)
– Hotel Details falls über GDS gebucht, mit Kreditkarteninfos
Es wird Zeit, dass diese Daten nur über 2 Faktor Authenifzierung zugänglich werden bzw. Stornierungen nur nach doppelter Anfrage der Identität durch laufen (ja das Ticket wird nicht storniert, aber der bestätigte Sitzplatz im gebuchten Flug fällt ggf. raus)
Super Julius, gute Tipps zur Sicherheit !
Ich bin überrascht, dass jemand so b*** ist und solche Daten öffentlich macht. Es postet doch auch niemand seine Bank – oder Kreditkarte.
Hallo Hubert, ich stelle fest, Sie haben den Artikel nicht verstanden.Die Wichtigkeit auf diese Daten zu verweisen ist enorm, viele beachten das zu wenig.
Ich glaube hier liegt ein Missverständnis vor.
Nur das erste Bild ganz links war eine Story und dementsprechend öffentlich. Das mittlere und rechte Bild zeigt, was Fremde hätten anrichten können.