Ryanair: Online-Buchungssystem mit Sicherheitslücken

ryanair 01
News

Man stelle sich vor: Man plant seinen Urlaub mit der Familie an einem idyllischen Ort und freut sich auf eine entspannte Zeit – und bucht hierfür Flüge mit Ryanair – natürlich online. Doch bei der Ankunft stellt sich heraus, dass durch das Online-System ein teurer Mietwagen gebucht wurde (der keineswegs umsonst ist) oder der Anschlussflug erst in drei Tagen geht.

Hat man sich dann bei der Buchung einfach vertan? Nein. Denn wie der tagesspiegel gestern berichtete, lässt sich die Online-Buchung bei Ryanair ganz leicht von Dritten manipulieren.

Das „sichere“ Buchungssystem von Ryanair

Bucht man sich bei Ryanair einen Flug über das Online-Buchungssystem, kann man seine Daten später einsehen und verändern: um dies zu tun, kann man zum einen seine Reservierungsnummer angeben, die man nach der Buchung per E-Mail zugeschickt bekommen hat.

Die Lücke im System

Die andere Möglichkeit, sich zu identifizieren, ist: Flugdatum, die bei der Buchung angegebene E-Mail-Adresse und den Abflugs- und Ankunftsort eingeben – fertig. Und dies sind keineswegs Daten, die besonders schwer zu erraten sind, selbst, wenn man die Person nur flüchtig kennt.

Michael Gröne, Experte für Identitätsmanagement am Institut für Internet-Sicherheit in Gelsenkirchen, sagt hierzu:

„Zur eindeutigen Identifizierung gibt es kein Geheimnis, dass nur dem Nutzer und Ryanair bekannt ist. Mit relativ wenigen, auch in Online-Netzwerken wie Facebook öffentlich einsehbaren, Informationen ist es möglich, an die Daten zu kommen.“

Und wer ist verantwortlich?

Ryanairs Buchungssystem ist also mehr als unsicher. Persönliche Daten, die der Reisende bei der Buchung angibt, können nicht nur von Dritten eingesehen, sondern sogar manipuliert werden.

Tipp für den Buchenden: Man sollte die Buchung gleich abspeichern und ausdrucken und spätere Änderungen, die nicht von einem selbst getätigt wurden, gegenüber Ryanair geltend machen. Denn solange das System nicht bestimmten Sicherheitsstandards entspricht, ist Ryanair auch für rechtswidrige Manipulationen durch Dritte verantwortlich.

Ryanair weist Bedenken zurück

„Die vom Tagesspiegel befragten Experten reden kompletten Müll“

erklärt Daniel de Carvalho, Sprecher von Ryanair. Jeder Passagier sei für die Geheimhaltung seiner Daten selbst verantwortlich.

Ganz unrecht hat er damit natürlich nicht: einer gewissen kriminellen Energie bedarf es sicherlich, um mit E-Mail-Adresse und ungefährem Reiseziel jemandem Schaden zuzufügen. Andererseits steht Ryanair mit seinem Buchungssystem allein auf weiter Flur: Bei anderen großen Fluggesellschaften gibt es ein gesondertes Passwort oder eine Buchungsnummer, welche zur Identifizierung verwendet werden.

Irische Datenschutzbehörde nimmt sich dem Thema an

Ryanair hat keine Niederlassung in Deutschland, so dass sich die Zulässigkeit und Sicherheit des Buchungssystems allein nach irischem Recht beurteilt.

Diarmuid Hallinan von der irischen Datenschutzbehörde verspricht, den Fall zu prüfen:

„Nach irischem Recht wäre Ryanair für die absolute Sicherheit der Kundendaten zuständig. Wir werden uns diese Angelegenheit auf jeden Fall näher anschauen“.

Wir dürfen also gespannt sein, ob Ryanair seine Praxis beim Buchungssystem in Zukunft datenschutzkonform ausgestalten wird. Bis dahin sollte jeder, der bei Ryanair bucht, mit seinen Daten sehr sorgsam umgehen…

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.