IT-Sicherheitslücke bei Lufthansa: Chef der Fluglinie selbst betroffen

Lufthansa-Chef Carsten Spohr ist offenbar auf eine Sicherheitslücke der Fluglinie hereingefallen. Unbekannte ergatterten Daten mithilfe seines Boarding-Passes.

In Pocket speichern vorlesen Druckansicht 100 Kommentare lesen

(Bild: Sorbis/Shutterstock.com)

Lesezeit: 2 Min.

Lufthansa-Chef Carsten Spohr ist offenbar Opfer einer IT-Sicherheitslücke seines Unternehmens geworden. Wie der Spiegel berichtet, hätten Unbekannte mithilfe des QR-Codes auf einem von Spohrs Boarding-Pässen auf sensible Daten zugegriffen. Darunter seien Spohrs E-Mail-Adresse und seine Handynummer. Carsten Spohr ist Vorstandsvorsitzender der Fluglinie.

Die Sicherheitslücke sei der Lufthansa bereits bekannt. Boarding-Pässe der Fluglinie würden nicht nur Informationen zum jeweiligen Flug enthalten, sondern eben auch sensible Daten, heißt es beim Spiegel. Darunter sei bei Vielfliegern zum Beispiel deren Servicekartennummer. Mit dieser Nummer und dem Nachnamen des Kunden können Unbefugte auf der Lufthansa-Website etwa die jeweilige Buchung auslesen, Bordkarten drucken oder die Versandart für Boarding-Pässe ändern. Um sich ins Nutzerprofil einzuloggen, ist aber eine PIN nötig.

Gegenüber dem Spiegel bestätigte ein Sprecher der Lufthansa, dass über den Boarding-Pass Daten auslesbar seien. Er dementierte, dass ein Sicherheitsrisiko vorliege, erklärte aber, dass Lufthansa unter dem Titel "Digitaler Hangar" an neuen Industriestandards arbeite. Bis auf Weiteres müssten die Kunden jedoch selbst auf ihre Daten aufpassen: "Wir empfehlen unseren Fluggästen, [...] [die Flugdokumente] wie Bargeld zu behandeln", so der Sprecher.

Anfang 2021 waren Passagierdaten unter anderem von Lufthansa geleakt worden. Damals hatten Unbekannte die Server des Dienstleisters Sita angegriffen. Sita verwaltet für die Star Alliance, zu der auch die Lufthansa gehört, unter anderem Daten zu Passagieren und Gepäck. Von Lufthansa-Kunden seien damals laut einem Schreiben der Fluglinie Informationen zu Servicekartennummer, Statuslevel und teilweise zum Namen betroffen gewesen, aber keine E-Mail-Adressen, Passwörter oder andere persönliche Daten.

(gref)