Mehr als 100 000 Kunden von Online-Reiseanbietern sind von dem Datenklau betroffen. Verbraucherschützer kritisieren, die Sicherheitsvorkehrungen der Unternehmen seien unzureichend.
Berlin - Ein neuer Hackerskandal erschüttert die Reise- und Finanzbranche. Kriminelle haben in großem Umfang die Kreditkartendaten von Reisenden gestohlen. Vom Datenklau bei der Amadeus-Tochter Traveltainment, dem wichtigsten Dienstleiter der Tourismusbranche im digitalen Geschäft, sollen nach Informationen der Stuttgarter Zeitung mehr als 100 000 Kunden von Online-Reiseanbietern betroffen sein. Darunter sind auch Branchenriesen wie Tui, DER Touristik, Expedia und Opodo. Empfohlen wird betroffenen Verbrauchern, ihre Kreditkarten gegebenenfalls sofort sperren zu lassen.
Bekannt wurde der Datenskandal erst durch eine Mail des Online-Reisebüros Opodo an betroffene Kunden, die im Internet auf dem Informationsportal Golem.de veröffentlicht wurde. Dort heißt es, dass die Kriminellen komplette Kreditkartendatensätze von den Servern von Traveltainment kopiert haben sollen. Darunter seien Kreditkartentyp, Kreditkartennummer, CVC-Nummer, Ablaufdatum und Name, Adresse und E-Mail des Inhabers. Die Betroffenen müssten damit rechnen, dass Kriminelle mit ihren Kreditkartendaten einkaufen gehen.
Traveltainment spricht von einer kleinen Zahl Betroffener
Traveltainment gab sich auf Anfrage einsilbig. Betroffen sei lediglich „eine relativ kleine Zahl von Kunden“. Relativ ist in diesem Fall allerdings ein dehnbarer Begriff. Das Unternehmen aus Würselen bei Aachen bündelt als zentrale Drehscheibe jeden Tag rund 15 Milliarden Reisen und bereitet die Flug- und Hotelangebote in digitaler Form für mehr als 9000 Vermittler auf. Veranstalter können selbst Pauschal- und Lastminute-Reisen auf der Plattform einstellen. Zur Abwicklung von Buchungen werden auch die Auftrags- und Zahlungsdaten der Reisenden erfasst.
Kriminellen ist es gelungen, diese sensiblen Daten abzugreifen. Konkrete Angaben wollte eine Sprecherin nicht machen. Den Angaben zufolge sei die Datenlücke bereits am 11. April entdeckt und das Einfallstor gleich geschlossen worden. Alle betroffenen Partner- und Kreditkartenunternehmen seien dann informiert worden. Auch die betroffenen Kunden wüssten inzwischen Bescheid.
Das Unternehmen verwies auf die laufenden Ermittlungen des Landeskriminalamts Nordrhein-Westfalen, das die Täter ausfindig machen soll. Man habe Strafanzeige erstattet. Die zuständige Staatsanwaltschaft Aachen wollte zunächst keine weiteren Angaben machen. Die Ermittlungen stünden noch am Anfang, erklärte die Behörde. In der Reisebranche ist die Verärgerung über die Sicherheitslücke groß. „Das darf nicht passieren und wird Konsequenzen haben“, hieß es bei großen Veranstaltern. Europas Marktführer Tui räumte ein, dass „eine überschaubare Zahl von Kunden“ bei Portalen wie 1-2-fly und Discounttravel betroffen sei, die mit Traveltainment zusammenarbeiten. Die großen Portalen Tui.com und Tui-Fly.com seien nicht betroffen.
Opodo: Unsere eigenen Reiseangebote sind nicht tangiert
Auch der Reiseanbieter Opodo betonte, dass die eigenen Online-Reiseangebote und Systeme von den illegalen Zugriffen nicht betroffen seien. Das Einfallstor für die Kriminellen sei das Zahlungssystem von Traveltainment für die Veranstalter gewesen, das offenbar mit Hilfe der Polizei geschlossen worden sei. Es gebe noch keine abschließenden Erkenntnisse, inwieweit den Verbrauchern ein finanzieller Schaden entstanden sei.
Die Dachorganisation der Verbraucherzentralen, der Verbraucherzentrale Bundesverband (VZBV), kritisierte die offenbar unzureichenden Vorkehrungen bei den Datenverarbeitern. „Hier muss dringend mehr in die Datensicherheit investiert werden“, sagte die VZBV-Expertin Michaela Zinke der Stuttgarter Zeitung. Es könne zwar keine 100-prozentige Sicherheit geben. Aber die sich häufenden Datenskandale der vergangenen Jahre zeigten, dass es zu viele Lücken gebe, die Kriminelle nutzen.