Berlin. Daten von Millionen Reisenden standen über Jahre offen im Netz. Grund ist eine Datenschutzpanne bei einem Berliner Ticket-Anbieter.
Millionen personenbezogene Daten von Flugreisenden standen wegen einer Datenschutzpanne beim Berliner Ticket-Großhändler Aerticket jahrelang offen im Internet. Das Unternehmen habe die inzwischen geschlossene Sicherheitslücke in der vergangenen Woche der Behörde gemeldet, sagte Joachim-Martin Mehlitz, ein Sprecher der Berliner Beauftragten für Datenschutz und Informationsfreiheit, am Montag der Berliner Morgenpost. Er bestätigte damit einen Bericht der „Süddeutschen Zeitung“.
Laut Bundesdatenschutzgesetz (Paragraf 42a) sind Fälle, in denen personenbezogene Daten unrechtmäßig übermittelt oder anderen unrechtmäßig zugänglich wurden, meldepflichtig. Die Behörde prüft anschließend diese gemeldeten Fälle hinsichtlich ihrer Schwere und kann Bußgelder bis zu 300.000 Euro verhängen.
Die Sprecherin von Aerticket, Susanne Roggemann, bestätigte die Datenpanne. „Wir wurden durch die Recherchen der Süddeutschen Zeitung auf die Sicherheitslücke aufmerksam, die wir innerhalb weniger Stunden geschlossen haben“, sagte Susanne Roggemann. Es sei auch kein auffällig hoher Datenverkehr auf der Online-Plattform festgestellt worden, der auf einen rechtswidrigen Download von Kundendaten deuten könnte. „Es haben sich bei uns auch keine Betroffenen gemeldet.“
Leck anscheinend nicht von Kriminellen ausgenutzt
„Die Nachricht über die Datenpanne hat uns sehr erschreckt“, sagte Roggemann. „Wir haben den Vorfall sofort der Datenschutzbeauftragten gemeldet und auch unsere Kunden informiert.“ Wie die Sprecherin erläuterte, war es möglich, durch die Eingabe des Buchungscodes auf einer Webseite des Unternehmens Fluginformationen abzurufen. Ob auch Bankdaten der Kunden öffentlich zugänglich waren, werde zurzeit geprüft. Kreditkartendaten von Kunden seien auf keinen Fall betroffen gewesen.
Das Reiseunternehmen Aerticket ist seit mehr als 20 Jahren in Berlin aktiv. Es ist aus einer Einkaufskooperative mehrerer alternativer Reisebüros in Kreuzberg hervorgegangen. Aerticket handelt mit Fluggesellschaften niedrige Preise für Tickets aus, die dann über die angeschlossenen Reisebüros weiterverkauft werden.
Die Aerticket AG bezeichnet sich auf ihrer Internetseite selbst als „größten Flugticketgroßhändler weltweit“. Das Unternehmen hat 450 Mitarbeiter an 20 internationalen Standorten und stellt jährlich rund 3,5 Millionen Tickets aus. In der Datenbank des Unternehmens sind den Angaben zufolge 5,5 Millionen Flugtarife zu finden.
Die Recherchen der „Süddeutschen Zeitung“ hatten ergeben, dass es ohne technische Kenntnisse möglich war, Tickets, Reisepläne, Rechnungen, Name, Anschrift und teilweise auch Bankdaten einzusehen. Jeder konnte demnach die Informationen mit geringem Aufwand abfragen. Ersten Prüfungen zufolge sei das Datenleck nicht von Kriminellen ausgenutzt worden.
Unter den Kunden sind viele Reisebüros, aber auch Online-Reiseportale wie etwa die Unister-Töchter Fluege.de, Ab-in-den-Urlaub und Flug 24 oder Flugpreissuchmaschinen wie Tripado und Travel-Overland. Die Portale sind für die Sicherheitslücke nicht verantwortlich. Es besteht auch kein Zusammenhang mit der Insolvenz des Leipziger Unternehmens Unister, das Webportale betreibt.
Aerticket erklärte, von der Sicherheitslücke seien rund ein Viertel der Tickets betroffen gewesen, also rund 1,5 Millionen Buchungen pro Jahr.