Es geht um mehrere Millionen Tickets: War der Flug erstmal gebucht, waren Name und Anschrift des Reisenden, Flugdaten und teilweise sogar Bankangaben frei zugänglich - für jeden. Ein Medienbericht deckt die Sicherheitslücke bei Aerticket nun auf.

Millionen personenbezogene Daten von Flugreisenden standen wegen einer Datenschutzpanne beim Berliner Ticket-Großhändler Aerticket jahrelang offen im Internet. Das Unternehmen habe die inzwischen geschlossene Sicherheitslücke in der vergangenen Woche der Behörde gemeldet, sagte ein Sprecher des Berliner Beauftragten für Datenschutz und Informationsfreiheit. Damit bestätigte er einen Bericht der "Süddeutschen Zeitung".

Die Recherchen der "Süddeutschen Zeitung" hatten ergeben, dass es ohne technische Kenntnisse möglich war, Tickets, Reisepläne, Rechnungen, Name, Anschrift und teilweise auch Bankdaten einzusehen. Jeder konnte demnach die Informationen mit geringem Aufwand abfragen. Dafür brauchte man nur eine der acht Ziffern aus der Internetadresse, über die ein Kunde seine Dokumente abrufen konnte, zu ändern.

Weder Code noch E-Mail

Während andere Flugportale die Dateien per E-Mail oder einen zufällig generierten Code aus Zahlen und Buchstaben verschicken, vergab Aerticket mit der URL eine manuell veränderbare Zahl, die Buchung für Buchung stieg. Eine Sicherheitsabfrage gab es nicht. Wie die "Süddeutsche Zeitung" schreibt, war es so möglich, nach und nach alle Dokumente eines beliebigen Datums abzurufen. Allein am 28. Juni seien 15.266 Unterlagen mit der achtstelligen Nummer versehen worden, die dann online frei zugänglich waren.

Ersten Prüfungen zufolge sei das Datenleck nicht von Kriminellen ausgenutzt worden, sagt Aerticket. Das Unternehmen stellt Tickets für fast 15.000 Großkunden aus. Darunter sind viele Reisebüros, aber auch Online-Reiseportale wie etwa die Unister-Töchter Fluege.de, Ab-in-den-Urlaub und Flug 24 oder Flugpreissuchmaschinen wie Tripado und Travel-Overland. Die Portale sind für die Sicherheitslücke nicht verantwortlich. Es besteht auch kein Zusammenhang mit der Insolvenz des Leipziger Unternehmens Unister, das Webportale betreibt.

Wie die "SZ" schreibt, reagierte Aerticket sofort auf die Rechercheergebnisse und schloss die Schwachstelle binnen Stunden. Das Problem bestand offenbar seit Ende 2011. Rund ein Viertel der Tickets sollen von der Sicherheitslücke betroffen gewesen sein, das sind rund 1,5 Millionen Buchungen pro Jahr.

Der Berliner Datenschutzbeauftragte prüft den Fall. Zu möglichen Konsequenzen gibt es noch keine Angaben.