Die Reisebranche gerät durch Cyberangriffe zunehmend unter Druck. Die Frage ist nicht mehr „ob“ Kundendaten gestohlen werden, sondern „wann“. Unternehmen wie British Airways oder Air Canada inszenieren sich als Opfer und versuchen mit allen Mitteln, den Imageschaden zu begrenzen. Dabei übersehen sie völlig, wer die wahren Opfer sind.
Die Reisebranche gerät durch die jüngsten Hacks, betroffen sind unter anderem British Airways, Air Canada und Thomas Cook, zunehmend unter Druck. Durch die im Mai eingeführte DSGVO-Regelung wurden bislang jeden Monat neue Fälle bekannt, in denen Unternehmen erklären mussten, Opfer von erfolgreichen Cyberattacken und Datendiebstählen geworden zu sein.
Darunter auch British Airways, die nach dem Start ihrer neuen Marketingkampagne auf noch mehr zufriedene Kunden hoffte. Stattdessen jedoch führte die Aktion zu einem PR-Desaster. Denn was nicht vorhersehbar war: Auch Hacker wurden auf diese Kampagne aufmerksam und nutzen Sicherheitslücken auf der Webseite und der mobilen App, um über einen längeren Zeitraum unbemerkt Kunden- und Zahlungsdaten abzugreifen. Nach der Entdeckung des Datendiebstahls wandte sich British Airways an die Öffentlichkeit und erklärte, dass eine „dringende“ Untersuchung über den Vorfall eingeleitet worden sei und die Polizei über den Hack informiert wurde. Denn gemäß der neuen Datenschutz-Grundverordnung sind Unternehmen verpflichtet, einen Verstoß gegen die Datenschutzbestimmungen innerhalb von 72 Stunden zu melden.
Reisebranche als neues Angriffsziel
British Airways erklärte, dass der Hack irgendwann zwischen dem 21. August und dem 5. September stattfand, nicht weniger als 380.000 Datensätze wurden kompromittiert. Glück im Unglück – die Angreifer konnten offensichtlich keine Reise- und Passdaten erbeuten. Betroffene Kunden, die über die Website oder App der Fluggesellschaft gebucht haben, wurden bereits aufgefordert, sich an ihre Bank oder ihren Kreditkartenanbieter zu wenden.
Offensichtlich ist die Reisebranche ist derzeit bei Hackern sehr beliebt. Bereits vor 2 Wochen wurde Air Canada Opfer eines Cyberangriffs, bei dem „nur“ 20.000 Kundendaten erbeutet wurden. British Airways und Air Canada sind jedoch keine Einzelfälle. Thomas Cook wurde im Juli dieses Jahres ebenfalls von einem Hack überrascht. Der Schaden hielt sich jedoch in Grenzen, weniger als 100 Buchungen waren betroffen.
Die wahren Opfer
„Der Diebstahl von persönlichen und finanziellen Daten von mehreren hunderttausend British Airways Kunden ist eine erneute Erinnerung an die Realität, in der wir heute leben. Es geht nicht mehr darum, „ob“ unsere Daten gestohlen werden, sondern „wann“ sie gestohlen werden. Bei British Airways haben sie damit begonnen, die betroffenen Kunden zu warnen und gleichzeitig den Schaden für das Markenimage zu minimieren. Während die Fluglinie jedoch mit der negativen öffentlichen Wahrnehmung und potenziellen DSGVO-Sanktionen konfrontiert ist, sind die wahren Opfer in diesem Szenario die Kunden von British Airways. Denn sobald die Betrüger ihre persönlichen Daten (Name, E-Mail-Adresse und Kreditkartendetails) haben, haben sie auch Zugang zu ihren persönlichen Bankkonten. Sie können hiermit neue Konten in ihrem Namen eröffnen oder die persönlichen Daten verwenden, um betrügerische Einkäufe zu tätigen. Dieser Schaden mag kurzfristig sein, die Betroffenen sollten sich jedoch auch dann nicht in Sicherheit wiegen, wenn zunächst nichts weiter passiert. Ihre persönlichen Informationen sind eine begehrte Handelsware im Darknet, ein Paralleluniversum zu dem Internet. Die langfristigen Auswirkungen des aktuellen Datendiebstahls sind also nicht absehbar“, erklärt Giovanni Verhaeghe, Vice President Corporate Development und Hardware Operations bei OneSpan.
Lektion gelernt?
Aus dem Databreach bei British Airlines lassen sich drei wichtige Lehren ziehen:
- Breaches sind auch in Zukunft der Treibstoff für Betrug, Kontoübernahmen und Application Fraud.
- Durch eine schlechte Passworthygiene wird Fraud zu immer neuen Höhenflügen ansetzen.
- Kein Passwort ist sicher; jedes Passwort ist angreifbar.
Kunden von British Airways sollten zeitnah ihre Passwörter ändern. Und die Tourismusbranche, insbesondere Fluggesellschaften, sind gut beraten, ihre aktuellen Sicherheitsvorkehrungen gegen Cyberangriffe zu überprüfen. Denn wer ist der Nächste?
www.onespan.com