Hacker-Angriff

Gute Nachrichten, gut versteckt

Alarmstimmung bei mindestens 60 Online-Reisebüros und ihrem wichtigsten IT-Partner Traveltainment. Das Schweigen der Amadeus-Tochter schürt die Spekulationen und verhindert positive Nachrichten. Aber auch die gibt es. Ein Überblick.

von Dirk Rogl, 22.04.2013, 14:53 Uhr

Niemand weiß bislang genau, wie es zu dem am Wochenende bekannt gewordenen Datenleck nei Traveltainment gekommen ist. Trotz des offenbar von der Staatsanwaltschaft verordneten Schweigen Traveltainments lassen sich ein paar gute Nachrichten ableiten. Die Auflösung der wichtigsten Mißverständnisse im Überblick:

Weitere News und Hintergründe zu dem Thema gibt es exklusiv für unsere Leser auf fvw.de und in fvw 10/13, die am Freitag dieser Woche erscheint.

Kommentare

von Timo Iserlohe, 22.04.13, 15:50
Warten wir ab was der "man in the middle" so alles abgegriffen hat!

von Chris, 22.04.13, 16:07
Da geht wohl noch einiges an Informationen durcheinander, daher hier ein paar Anmerkungen aus "Informatiker"-Sicht: Kommentare beziehen sich auf die Darstellung in den Artikeln auf fvw.de: a) Durch Javascript kann nirgendswo irgendwas gesichert werden. Javascript ist eine Skriptsprache, die auf Rechnern von Seitenbesuchern innerhalb des Browsers ausgeführt wird und damit per se unsicher ist. b) Server wie secure.traveltainment.de oder secure2.traveltainment.de (SSL-gesicherte IBE Buchungsmaske) werden im Traveltainment Netzwerk/RZ betrieben. So lässt sich die Aussage von Expedia, VIR etc. also auch deuten. Auf diesen Servern laufen die Onlinebuchungsmasken für Partner wie opodo.de etc. c) Wenn die CVV (nicht VCC) Daten abgegriffen wurden, klingt es von außen betrachtet erstmal nach einem Einbruch in die IBE Server (insb. jenes Cluster, welches secure2.traveltainment.de etc. bedient), auf denen dann z.B. durch Seitenmanipulation der Buchungsmaske über Javascript Schadcode "mithorchen" konnte (und somit dise Daten an andere Server versenden konnte als die Traveltainment Server), wenn Daten in die Buchungsmaske seitens Endkunden eingetragen werden. In ähnlicher Weise werden z.B. Drive-By-Downloads verteilt. Das Javascript muss dabei die Daten beim "Tippen" abfangen, da sie sonst SSL-verschlüsselt übertragen werden. d) Letzteres ließe sich vermuten, wenn man den Meldungen (z.B. in der Touristik Aktuell) glauben schenken darf, es seien Buchungen am 10. sowie 11.4. betroffen - dann besteht vermutlich kein direkter Zugang auf Datenbanken, sondern eben eine Schwachstelle auf den Servern wie z.B. secure2.traveltainment.de für die zwei Tage. D.h.: Die oder der Hacker konnte auf die Server(cluster) eindringen und den Quelltext z.B. so manipulieren, dass ein externes Javascript eingebunden wurde. Dieses wird dann bei Aufruf der Buchungsmaske auf secure(2).traveltainment.de auf dem Rechner des Buchenden ausgeführt und kann dabei alle eingegebenen Daten abgreifen und an dritte Server versenden, bevor diese überhaupt SSL-verschlüsselt an die Traveltainment Server geschickt wurden. Es bliebt ansonsten zu hoffen, dass die KK Daten (und insb. die CVV Daten) getrennt auf anderen Systemen bei Traveltainment lager(t)en und nicht dort eingebrochen wurde sondern eben wie oben beschrieben auf den Buchungsmasken. Denn sonst wären wohl schnell alle Kunden betroffen und nicht nur eine Auswahl.

von Wolfgang Hoffmann, 22.04.13, 16:12
...und, ob es einen möglicherweise entstehenden Imageschaden für die Tourismusindustrie aufzuhalten gilt. Zumal die Bildzeitung schon Sensationen wittert

von Chris, 22.04.13, 17:14
Inzw. liest sich der Analyse Artikel schon etwas besser. Allerdings gehen manche Angaben immer noch durcheinander. Aus der Ferne analysiert ist ein Einbruch in Datenbanken im Traveltainment RZ unwahrscheinlich. Denn dann wären auch Portale betroffen, die die XML Schnittstelle nutzen. Ohne die Systeme / Struktur im Traveltainment RZ zu kennen, wäre zu vermuten, dass hier verschiedene Application Layer (d.h. verschiedene Rechensysteme für verschiedene Aufgaben) laufen. Weit im Inneren und stark abgeschottet von Verbindungen nach außen werden Daten wie Kundendaten,KK-Daten etc. gelagert. Dass dieser Application Layer für unterschiedliche Buchungsvarianten wie Traveltainment IBE direkt oder XML unterschiedlich aufgebaut sein soll, ist eher unwahrscheinlich. Wenn aber die XML Kunden nicht betroffen sind, steht daher weiterhin die Vermutung, dass die Hacker die Webserver angegriffen haben, über die die Buchungsmaske für normale Kunden wie weg.de, opdo.de, lastminute.de etc. bereitgestellt wird. Also secure.traveltainment.de und secure2.traveltainment.de. Durch Zugriff auf diese Server konnte deren Programmcode so verändert werden, dass ein Horchsystem installiert wurde, dass die Daten während der Eingabe abgriff und an dritte Systeme sendete. Daher sind vermutlich auch nicht Reisebüros betroffen, die über Bistro o.ä. einbuchen (wobei mir das Bistro System nicht bekannt ist und ich daher nicht sagen kann, ob dieses irgendwo auf die Buchungsmaske unter secure(2).traveltainment.de zugreift). Verwirrend klingt dann nur der Hinweis im Update bei Heise.de. Wenn man übrigens heute z.B. mit dem Safebrowsing Diagnostics Tool von Google verschiedene IBE Server verschiedener IBE Anbieter testet, werden auch für zwei kleinere, ältere (und gottseidank wohl inzw. fast nirgendswo mehr bentutze) IBE Server eines anderen Anbieters Sicherheitswarnungen ausgegeben, weil diese Server eventuell Malware verteilen. Den Einbruch bei Traveltainment sollten sich daher vll. alle IBE Anbieter zum Anlass nehmen, mal ein Security Audit ihrer Systeme vorzunehmen. Eine 100% Sicherheit wird technisch zwar nie zu erreichen sein, aber man sollte zumindest das Bestmögliche versuchen. Erschreckend ist auch, dass z.B. nur für Traveltainment ein benannter Datenschutzbeauftragter zu finden ist, bei anderen IBE Anbietern dies zumindest online nicht rauszufinden ist.... und das bei den tausenden von (Kunden-)Daten, die dort auftragsmäßig verarbeitet werden. Im Bereich Qualitätsmanagement bleibt bei den IBE Anbietern wohl noch viel zu tun. Und der Imageschaden ist ganz klar wieder für die ganze Branche vorhanden, da nur die wenigsten Endkunden in der Lage sein werden, zu verstehen, wer wie wo Traveltainment nutzt oder nicht. :/

von Jürgen Barthel, 22.04.13, 17:40
Sarkastisch: Ist doch schön, dann geht der Kunde wieder ins Reisebüro, dort ist ja nix passiert...

von Chris, 22.04.13, 17:56
@JB: Da die Medien (derzeit) anders berichten und u.a. hervorheben, dass Traveltainment Systeme von 9000 Reisebüros genutzt werden, werden viele Kunden bzgl. Reisebüro auch verunsichert sein. Daher Imageschaden für die ganze Branche. (Genauso wie alle OTA schnell mit Unister gleichgesetzt werden). Obige Anmerkungen (die auch nur Spekulationen mit einem etwas größeren technischen Verständnis darstellen, als man es Journalisten abverlangen kann) sollten übrigens gerade auch den Counterkräften dienen, die nun wieder mit verunsicherten Kunden zu tun haben. @Dirk Rogl: Bzgl. Analyse: Statt Servereinbruch und/oder Spyware sollte es eher heißen: Datendiebstahl durch Spyware nach Servereinbruch. Erst wurde in die Webserver eingebrochen (wohl ohne Zugriff zu den Datenbankservern) und dann dort die Spyware in die Seiten der Buchungsmaske eingeschleust.

von Dirk Rogl, 22.04.13, 18:17
@Chris Danke für den wertvollen Input. In Ihrem Fall kann ich die Anonymität ausnahmsweise gut nachvollziehen. Allerdings beziehen sich Ihre Kommentare auf unsere Texte auf fvw.de, die für die Fachöffentlichkeit bestimmt sind und was hier für Verwirrung sorgen kann. Ich denke, dass wir dort nach Stand der Recherche einen kleinen aber eben aktuell bestmöglichen Hinweis auf die Frage (und nicht die Antwort) "Servereinbruch und/oder Spyware?" geben. Dass in vielen Publikumsmedien fälschlicherweise die Rede von 9000 Reisebüros ist, erfüllt mich auch mit Sorge. Ich bleibe vorerst bei den uns vorliegenden internen Informationen, dass es sich um 60 Reisebüros handelt. Hier können wir im Sinne der Branche nur auf ein schnelles Statement Traveltainments hoffen.

von Chris, 22.04.13, 18:31
@Dirk Rogl: Die Zahl in den Allgemeinmedien stammt wohl aus dem Fakt, dass die Journalisten dort einfach die Zahl aus der Traveltainment Seite (z.B. hier: http://www.traveltainment.de/reviews/ , dort ist die Rede von 11000 Büros) gezogen haben (die Unterseite war sogar in einem Artikel verlinkt). Genauso wie Sie habe ich auch nur die (Nicht-)Fakten, die durch die Medien geistern (bzw. Sie müssten mehr haben durch Direktkontakte) und dadurch ein Bild der Lage zusammengeschustert unter Zuhilfenahme eines technischen Grundverständnisses solcher IT-Systeme. Und daher wollte ich nur darauf hinaus, dass eben vermutlich die Webserver, nicht Datenbanken (die wohl auf anderen Servern lagern), betroffen sind. Bzgl. Spyware oder Servereinbruch meinte ich nur: Ohne Servereinbruch keine Spyware(verteilung) ;) Aber Sie haben mit dem CRS Hinweis im Fackartikel recht, wenigstens dort ist es besser dargestellt als in den Massenmedien und damit dürften alle Reisebüros beruhigt sein, die nicht zugleich die IBE von TT einsetzen. Und bei den IBE nutzenden Reisebüros dürften wohl nur jene Kunden betroffen sein, die am 10. oder 11. dort online eine Buchung getätigt haben. Die OTAs sind natürlich viel stärker betroffen. PS: Ich bin allgemein als Datenschutzfreund eher anonym unterwegs, aber falls Kontaktbedarf besteht, haben zumindest Sie in der Redaktion Zugriff auf die hier zwingend anzugebende E-Mail ;)

von ICH, 24.04.13, 13:06
@ Jürgen Barthel Wenn die Verbraucher wüßten, wie lasch und abenteuerlich bis gar nicht, stationäre Reisebüros mit dem Schutz von Daten, Rechnern und Unterlagen umgehen, dann würde wahrscheinlich keiner mehr im stationären Reisebüro buchen. ;-)

von Wolfgang Hoffmann, 25.04.13, 12:11
<<< Wenn die Verbraucher wüßten, wie lasch und abenteuerlich bis gar nicht, stationäre Reisebüros mit dem Schutz von Daten, Rechnern und Unterlagen umgehen, dann würde wahrscheinlich keiner mehr im stationären Reisebüro buchen. ;-) >>> ...und wenn meine Oma Räder hätte, dann wäre sie ein Auto... Man darf als Verbraucher davon ausgehen, dass die Datensicherheit in stationären Reisebüros garantiert ist. Anderslautende Mutmaßungen kann man zwar mal anstellen, sind aber Unsinn.

von ICH, 25.04.13, 13:51
@Wolfgang Hoffmann Wunschdenken! Ich kann mir kaum vorstellen, dass Sie datenschutzrechtlich so versiert sind, entsprechende Äußerung zu tätigen. Die wenigsten stationären Reisebüros haben einen Tresor und abschließbaren Metalschrank nach DIN Klasse XY, die wenigsten Reisebüro Mitarbeiter werden regelmäßig datenschutzrechtlich geschult oder haben Ahnung von der Materie. Von gesetzeskonformen Datensicherungen der PCs mal ganz zu schweigen. Ich denke, dass online Reisebüros definitiv in Punkto Datensicherheit besser aufgestellt sind, als stationäre Reisebüros, was sich aus der Materie heraus schon logischer Weise ergibt. Um mich abschließend auf ihr Niveau herabzulassen: "Wenn Ihre Oma Räder hätte, wäre sie ein Oldtimer" ähnlich vieler Reisebüros. In diesem Sinne, Gott hab Ihre Oma seelig und ein wenig mehr Sensibilität zum Thema Datenschutz auch bei stationären Reisebüros.

von Wolfgang Hoffmann, 25.04.13, 14:27
wer oder was "ICH" auch sein mag, es hat sich in der Richtung geirrt. mein Niveau ist oberhalb..., also ...* Jetzt Sie wieder *freu* Anm. d. Red.: *=Kommentar erscheint an dieser Stelle gekürzt. Bitte beachten Sie unsere Kommentarrichtlinien. Auf ein respektvolles Miteinander, jeweils. Danke! DR"

0
Folgen Sie uns:
Top
© 2017 FVW Medien GmbH, Alle Rechte vorbehalten
Über uns FAQ Impressum AGB Datenschutz Kontakt Mediadaten