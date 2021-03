Am 24. Februar wurde in eine Datenbank der Sita eingebrochen. Gemeldet wurde der Vorfall den betroffenen Fluggesellschaften am 27. Februar. Knapp eine Woche später ging die Luftfahrt-IT-Firma per Statement an die Öffentlichkeit und am 5. März wurde der Großteil der Passagiere über die Presse sowie über diverse Vielfliegerprogramme direkt informiert. So weit, so gut. Doch was ging eigentlich verloren und wie kritisch ist der Einbruch?

Auf den ersten Blick klingt alles harmlos. Vorname, Nachname, Vielfliegernummer und Status bei der Allianz, hieß es. Manchmal ist der bevorzugte Sitzplatz Teil dieser Daten, manchmal gab es auch keinen Allianzstatus, der heruntergeladen wurde. Das ist etwa bei den Oneworld-Mitgliedern British Airways und Finnair der Fall. Zahlungsdaten, Passwörter oder auch Passdaten sind ausdrücklich nicht betroffen.

Das klingt auf den ersten Blick nicht besorgniserregend. Was soll ein Angreifer auch mit der Information anfangen, dass der Passagier gerne am Fenster sitzt und vegetarische Menüs vorzieht? Vermutlich nichts. Der Status in der Star Alliance hingegen kann durchaus im wahrsten Wortsinne Gold wert sein.

Auch wenn es schwer vorstellbar ist: Es gibt mit hoher Wahrscheinlichkeit jemanden, der mit genug Kreativität Profit daraus schlagen kann. Und sei nur das Einlösen von Meilen in Gutscheine, wie es laut "Handelsblatt" 2015 schon einmal gemacht wurde.

Kreative Angreifer finden einen Weg

Doch die Sita-Daten alleine reichen für einen Angriff auf die Meilenkonten nur bedingt aus. Zwar gibt es Vielfliegersysteme, die eine Anmeldung über den Nachnamen oder die Vielfliegernummer erlauben. Doch zusätzlich muss ein Passwort eingegeben werden. Das müssten Angreifer erst einmal erraten, was bei der Masse der erbeuteten Daten kein gangbarer Weg ist. Zumal viele - aber nicht alle - Vielfliegerprogramme sichere Passwörter verlangen. Das Potential für Angreifer liegt daher im Kombinieren mit der Beute aus anderen Angriffen.