Essen. Expedia, Opodo, TUI: Von Traveltainment, dem wichtigsten Online-Dienstleister der Branche aus Aachen, haben Hacker offenbar Datensätze tausender Kunden gestohlen - darunter Kreditkartennummern, Kontonummern und E-Mail-Adressen. Das Cyber-Zentrum des Landeskriminalamts NRW ermittelt.
Rund 20 Prozent der Deutschen buchen heute ihren Urlaub im Netz. Vorallem jüngere Menschen haben dabei viel Vertrauen ins Internet. Gut die Hälfte der Bundesbürger allerdings sieht Internetbuchungen skeptisch. Vor allem deshalb, weil bei einer Buchung die Bank- oder Kreditkartendaten ins Netz gelangen.
Dass es um die Sicherheit dieser sensiblen Daten nicht so gut bestellt ist, wie einem die Internetdienstleister immer glauben machen wollen, zeigt der neueste Datenskandal bei Traveltainment. Der Marktführer aus Aachen macht zum Beispiel für Online-Portale wie Opodo und Expedia, aber auch für die Reiseveranstalter TUI und Thomas Cook die digitale Buchungsarbeit.
Traveltainment ist das wichtigste Buchungssystem der Branche. Es läuft im Hintergrund, nennt die Hotelkapazitäten, die freie Plätze auf den Flugzeugen und kombiniert alles miteinander. Für den Kunden ist das System unsichtbar.
Wie viele Daten sind betroffen?
Nach Angaben von Traveltainment „suchen und buchen rund 11.000 touristische Reisebüros in Deutschland die Pauschalreisen für ihre Kunden über unseren Server“. Die Technologie ist also bei fast allen Online-Reisebüros im Einsatz. Von dem Datenleck könnten also sehr viele Kunden betroffen sein.
Die Täter hatten es bei dem Angriff wie so oft auf die Kreditkartendaten der Kunden abgesehen. Nach Angaben von Traveltainment ist „die Sicherheitslücke in den Servern gestopft“, nur "partielle Kreditkartendaten einer relativ kleinen Zahl von Kunden“ seien kopiert worden.
Dem touristischen Fachmagazin fvw zufolge kam es dagegen zum Raub von Datensätzen „im fünfstelligen Bereich“ - darunter E-Mail-Adressen, Kontonummern und Kreditkartennummern.
Das Cybercrime-Zentrum des Landeskriminalamts Nordrhein-Westfalen ermittelt bereits. Genauere Informationen zum Umfang und Zeitpunkt des Einbruchs bleiben zunächst aus polizeilichen Gründen unveröffentlicht. Mittlerweile wurde Strafanzeige erstattet.
Opodo und Lastminute.de warnten bereits ihre Kunden
Opodo und Lastminute.de haben ihre Kunden mittlerweile per E-Mail über den Vorfall informiert und warnten vor falschen Kreditkartenbuchungen.
In dem Schreiben, dass dem Reise Journal der WAZ Mediengruppe vorliegt, heißt es, dass es „zu einem missbräuchlichen Zugriff durch Unberechtigte auf die bereitgestellten Systeme“ gekommen sei.
Und weiter: „Da der Datendiebstahl leider bereits bei Ihrer Buchungsanfrage stattgefunden hat, ist es nicht relevant, ob die Buchung vom Reiseveranstalter verbindlich bestätigt wurde oder Sie diese zwischenzeitlich storniert haben“. Daher müssten grundsätzlich alle Kunden damit rechnen, dass Unberechtigte mit ihrer Kreditkarte einkaufen gehen.
Nicht betroffen von dem Datenklau sind zum Beispiel die Reiseportale der Unister-Gruppe (ab-in-den-urlaub.de), Hlx.com sowie Holidaycheck.
Der Fall Traveltainment zeigt erneut, wie schnell vermeintlich sichere Netzwerke von einer kleinen Gruppe gut ausgebildeter Internet-Betrüger gehackt werden können. Das Online-Reisegeschäft ist dabei ein gefundenes Fressen für Internetdiebe: Urlauber geben heute jährlich 20 Milliarden Euro im Netz für Reisen aus.