Lufthansa-Chef wird Opfer von Lufthansa Sicherheitslücke

Im September 2022 wurde bekannt, dass der QR-Code der Bordkarte von Lufthansa-CEO Carsten Spohr ausgelesen und die darin enthaltenen persönlichen Daten extrahiert wurden. Der Vorfall offenbart ein grundsätzliches Problem: Lufthansa speichert in den QR-Codes ihrer Bordkarten nicht nur Fluginformationen, sondern auch Servicekartennummern, E-Mail-Adressen und Mobiltelefonnummern — und das lediglich codiert, nicht verschlüsselt.

Was passiert ist

Laut einem Bericht von DER SPIEGEL vom 23. September 2022 fotografierten Unbekannte die Bordkarte des Vorstandsvorsitzenden und lasen den QR-Code aus. Die darin enthaltenen Daten waren nicht kryptografisch geschützt, sondern lediglich im standardisierten BCBP-Format (Bar Coded Boarding Pass) codiert — ein Format, das mit jedem handelsüblichen QR-Code-Scanner lesbar ist.

Die Ironie: Lufthansa selbst empfiehlt Passagieren, ihre Bordkarte „wie Bargeld” zu behandeln. Der eigene CEO hielt sich offenbar nicht daran.

Das technische Problem: Codierung ist keine Verschlüsselung

Der Kern des Problems liegt in der Verwechslung von Codierung und Verschlüsselung — ein Fehler, der in der Praxis erstaunlich häufig vorkommt:

• Codierung (z.B. Base64, BCBP) wandelt Daten in ein anderes Format um, das von jedem mit dem passenden Decoder gelesen werden kann. Es bietet keinerlei Schutz gegen unbefugten Zugriff
• Verschlüsselung macht Daten ohne den passenden Schlüssel unlesbar. Selbst wenn jemand den QR-Code scannt, bleiben die Daten geschützt

Der BCBP-Standard der IATA, der den Inhalt von Bordkarten-Barcodes definiert, sieht keine Verschlüsselung vor. Das bedeutet: Jede Bordkarte — nicht nur die von Lufthansa — enthält potenziell sensible Daten im Klartext. Wer eine weggeworfene Bordkarte oder ein Foto davon in sozialen Medien findet, kann diese Daten extrahieren.

Welche Daten gefährdet sind

Je nach Airline und Buchungssystem können Bordkarten-QR-Codes folgende Informationen enthalten:

• Vollständiger Name des Passagiers
• Buchungscode (PNR) — ermöglicht Zugriff auf die gesamte Buchung
• Vielfliegernummer und Statuslevel
• E-Mail-Adresse und Telefonnummer
• Sitzplatz, Flugroute und Reisedaten

Mit dem Buchungscode allein lassen sich bei vielen Airlines Buchungen einsehen, ändern oder stornieren. In Kombination mit Name und Vielfliegernummer öffnen sich weitere Angriffsvektoren — von gezieltem Social Engineering bis zum Account-Takeover des Vielfliegerprogramms.

Ein Problem weit über Lufthansa hinaus

Der Fall betrifft nicht nur Lufthansa. Der BCBP-Standard wird von praktisch allen IATA-Mitgliedsairlines weltweit genutzt. Sicherheitsforscher wie Michal Špaček und Karsten Nohl weisen seit Jahren darauf hin, dass Bordkarten-Barcodes ein unterschätztes Datenschutzrisiko darstellen. Nohl demonstrierte bereits 2016 auf dem 33C3, wie sich aus Boarding-Pass-Barcodes vollständige Reiseprofile rekonstruieren lassen.

Handlungsempfehlungen

• Bordkarten nicht fotografieren oder in sozialen Medien teilen — auch nicht „zum Angeben”. Der QR-Code enthält mehr Daten, als auf der Karte gedruckt steht
• Digitale Bordkarten bevorzugen und nach der Reise aus der Wallet-App entfernen
• Papier-Bordkarten schreddern, nicht einfach in den Mülleimer werfen
• Für Unternehmen: Prüfen Sie, ob Ihre eigenen optisch lesbaren Datenträger (QR-Codes, Barcodes auf Ausweisen, Zugangskarten) sensible Daten codiert statt verschlüsselt enthalten. Codierung bietet keinen Schutz