Panorama

28. Dezember 2016 | Von: Gernot Zielonka

Amadeus reagiert auf Vorwürfe

Amadeus-Daten sind unsicher. IT-Kenner können sie missbrauchen und z.B. Flugtickets problemlos auf sich umbuchen (DMM berichtet): Nachdem SR Labs eine bitterböse und fahrlässige Sicherheitslücke beim Buchungssystem von Amadeus publik machte und das ganze beim großen Treff des Chaos Computer Club demonstrierte, will Amadeus sich daran machen, Lösungen zu finden.

In einer Mitteilung schreibt das Unternehmen, dass man der Sicherheit von Kundensystemen und Daten höchste Priorität einräume und die Systeme und Prozesse kontinuierlich überprüfe. Man werde die Erkenntnisse von SR Labs berücksichtigen und eng mit den Partnern in der Branche zusammenarbeiten, um die dargelegten Probleme anzusprechen und Lösungen für mögliche Probleme zu finden.

Während eines temporären Wartungsfensters unterlag die CheckMyTrip-Website einer Reihe von sogenannten Brute-Force-Attacken (Anm.d.Red.: Angriff von mehreren Rechnern). Ergebnis laut  Amadeus: "CheckMyTrip ist durch ein System der Benutzerverhaltensanalyse geschützt, das automatisierte Roboterangriffe in Echtzeit erkennt und blockiert." Der Angriff auf CheckMyTrip führte zu einem Alarm der Monitoring-Tools, die sofort interne Untersuchungen auslösten. Die Seite ist jetzt angeblich gegen diese Art von Angriffen geschützt.

Angeblich sei das Amadeus-System nicht so einfach zu hacken wie im Bericht der IT-Experten beschrieben. "Der Zugang zu einer Buchung erfordert eine Kombination von persönlichen Daten und Buchungsinformationen und ist nicht leicht zu erraten. Die Systeme werden außerdem durch ein System von Benutzerverhaltensanalysen geschützt, das automatisierte Roboterangriffe in Echtzeit erkennt und blockiert. Mit den vielfältigen Schutzmechanismen an der richtigen Stelle sind Buchungen sicher.", behauptet Amadeus, die IT-Experten sagen das Gegenteil.

Amadeus weiter: "Cyber-Bedrohung sei im Geschäftsleben allgegenwärtig. Jede kommerzielle und staatliche Organisation registriere Angriffe auf ihre IT-Systeme und Amadeus ist hierbei keine Ausnahme." Selbstverständlich schütze Amadeus seine Systeme einschließlich CheckMyTrip vor den in diesem Bericht beschriebenen automatisierten Roboterangriffen. Man implementiere, pflege und überwache mehrere Schutz- und Abwehrsysteme, die Informationen sowohl bei der Verarbeitung als auch gespeichert schützen.

Das Sicherheits-Framework von Amadeus entspricht den ISO-Normen und Empfehlungen für die Implementierung eines Informationssicherheitsmanagements sowie der Cybertrust Security Management Programme (SMP) Perimeter Certification. Zusätzliche Sicherheitsmaßnahmen wie die Einführung eines Passwort würden geprüft, denn ob Passagierdaten während der Sicherheitslücke zugänglich waren, könne man noch nicht sagen – die internen Untersuchungen seien noch am Laufen.

Karsten Nohl, Sicherheitsexperte und Chef von SR Labs, erklärte hingegen, das System von Amadeus stamme aus den 1980er-Jahren und ist nicht auf dem neusten Stand. Man habe ohne Probleme die private Telefonnummer eines Bundestagsabgeordneten aus der Buchung herausziehen können, das seien alles Daten, die nicht öffentlich im Internet stehen sollten. Nch seiner Ansicht und der von echten IT-Fachleuten muss man gerde ältere Systeme wie die von Amadeus sicherer machen. Im Übrigen muss eine Lösung entwickelt werden, die für alle Airlines zusammen gilt. Quelle: Amadeus / DMM

Schließen