© kasto, 123RF

Das EU-Parlament hat die Speicherung von Fluggastdaten beschlossen. Schon in den 60ern vernetzten sich Fluggesellschaften und sammelten Daten. Das Problem für die Passagiere: Sie wissen nicht, wo die Informationen liegen, ob es Missbrauch oder Zugriffe von Regierungen gegeben hat.

Die vom EU-Parlament beschlossene Speicherung gilt für Passagiere auf allen Flügen, die die EU verlassen oder in sie einreisen. Basis ist der Passenger Name Record (PNR) der Fluggesellschaften. In ihm sind Adresse, Kreditkartennummer, Anschlussflüge, Vielfliegernummer, Essenswünsche und Allergien gespeichert. Außerdem gibt es Freitextfelder. Die Speicherung erfolgt ohne konkreten Anlass für sechs Monate auf Vorrat und danach für weitere fünf Jahre anonymisiert.

Aller Anfang

Im Jahr 1953, so will es die Legende [1], hatte Cyrus Rowlett Smith eine Idee, die das globale Reisen grundlegend verändern sollte. Auf einem Flug saß der Manager der Fluglinie American Airlines neben einem Ingenieur von IBM. Das Gespräch brachte ihn auf die Idee, die Kundeninformationen nicht mehr in Papierakten zu speichern, sondern in einem aus der Ferne zugänglichen System. Der elektronische Passenger Name Record war geboren: Sabre.

Als Server fungierten IBM-7090-Mainframes, sie übertrugen die Informationen an Terminals in den USA. In der Folge dehnte sich das System auf die ganze Welt aus. Den Fluglinien folgten Reisebüros und es entstanden weitere Buchungssysteme in Konkurrenz zu Sabre. Heute nutzen Fluglinien, Hotels und einige Eisenbahngesellschaften die Systeme, um Reisende an ihr Ziel zu bringen. Für den Nutzer ist das System zwar praktisch, aber schwer durchschaubar und nicht besonders sicher.

PNR-Systeme

In San Francisco steht dazu ein Mann Rede und Antwort, der in den 90er Jahren nah an der Entwicklung vernetzter Buchungssysteme dran war: Edward Hasbrouck [2] arbeitete in Reisebüros und beriet diese bei der Entwicklung der weiteren Vernetzung: “Die Buchungssysteme waren eigentlich Vorläufer des Internets, von Software-as-a-Service und Cloud Computing – in den 60er Jahren”, sagt Hasbrouck.

Bei den frühen Systemen gingen Informationen von den Mainframes per Fernschreiber an das Gate und dort an den Drucker. Die Crew vor Ort musste Änderungen der Passagierliste per Telefon an die Zentrale zurückübermitteln.

Wissendes Buchungssystem

In den Buchungssystemen stecken heute die Daten von Millionen Reisenden. Doch was genau steht in einem solchen Passenger Name Record? “Erstens natürlich grundlegende Informationen über den Reisenden – Name, Geburtsdatum, Passnummer”, sagt Hasbrouck. Doch in den Systemen steckt mehr: “Wenn Sie vegetarisches Essen bestellen, dann steht das im PNR, denn die Fluglinie muss entsprechend einkaufen”, sagt Hasbrouck. Die Informationen lassen sich nutzen, um Profile zu bilden.

Wer koscheres Essen bestellt, gibt Informationen zur religiösen Ausrichtung preis. Außerdem gibt es Freitextfelder, in die sich fast alles eintragen lässt. Wenn die Fluglinie weiß, dass jemand zu einer Beerdigung fliegt, kann sich die Kabinencrew vorbereiten. Ein PNR kann bis zu 60 persönliche Merkmale enthalten.

Systeme und Terminals

Weltweit gibt es nur wenige Systeme, die fast alle Fluglinien miteinander vernetzen. Das älteste ist Sabre, in den USA gibt es außerdem Galileo und Worldspan. Das einzige europäische Unternehmen ist Amadeus, das 1987 die europäischen Fluggesellschaften Lufthansa, Iberia, Air France und SAS gründeten. Alle großen Fluglinien nutzen eines der Systeme. Nur Billigflieger wie Easyjet und Ryanair unterhalten eigene IT-Systeme.

Bis in die 90er liefen die Systeme auf Mainframe-Rechnern. “Auch heute werden die Informationen über Terminals ausgeliefert”, sagt Hasbrouck. Die Terminals basieren auf Java-Software, die Informationen liegen als XML-Datensatz vor. Mitarbeiter von Reisebüros müssen aber nicht auf die Kommandozeile gehen – in Deutschland ist etwa das Programm Merlin mit GUI verbreitet.

Niemand protokolliert

Wenn sich ein Reisebüro an das System anschließen will, geschieht dies entweder über einen VPN-Zugang oder über eine Standleitung zum Betreiber des Buchungssystems. Dort findet ein weiterer Login mit den persönlichen Daten statt. Einen solchen Zugang zu bekommen ist nicht besonders schwer: Wer sich als Reisebüro lizenzieren lässt, kann gegen Gebühr auch einen Zugang zu den Buchungssystemen beantragen.

Ein Reisebüro kann dann auf die Buchungen zugreifen, die seine Mitarbeitern selbst angelegt haben. Deutlich mehr Datensätze stehen Mitarbeitern von Fluglinien offen. Sie können alle Buchungen einsehen, die ihr Unternehmen betreffen – weltweit. “Eine Protokollierung, wer wann auf wessen Informationen zugegriffen hat, gibt es nicht”, sagt Hasbrouck.

Wo sind die Informationen?

Es ist nicht einfach zu sagen, wo Informationen zu einem Flug liegen. Hat ein Passagier bei der Lufthansa gebucht, wäre sein PNR bei Amadeus gehostet. Führt auf einer längeren Reise einen der Flüge ein Star-Alliance-Partner durch, wird ein verknüpfter PNR im System der jeweiligen Fluglinie angelegt.

Hat der Passagier über die Fluglinie zusätzlich noch ein Hotel und einen Mietwagen gebucht, liegen all diese Datensätze in verschiedenen, verknüpften Datenbanken. Stehen auf einer komplizierten Buchung mehrere Buchungscodes, deutet dies daraufhin, dass die Informationen in verschiedenen Systemen gespeichert sind.

Sicherheitsfragen

Wie sicher sind diese Informationen? Experte Hasbrouck sagt: “Einen Zugang zu einem solchen Buchungssystem zu bekommen ist nicht so schwer.” Die einfachste sei ein Schulterblick am Flughafen. “Die Systeme sind so aufgebaut, dass sie für den Kunden möglichst leicht zu bedienen sind”, sagt Hasbrouck. Auf der Webseite der Fluglinien genüge es, den sechstelligen Buchungscode und den Nachnamen einzugeben. Wer über diese Informationen verfüge, könne den weiteren Reiseplan einsehen – oder ändern. Noch profaner: “Ich kann herausfinden, wann dein Rückflug stattfindet. Vielleicht möchte ich herausfinden, wie viel Zeit ich habe, um dein Haus auszurauben”, sagt Hasbrouck.

Austausch von PNR-Daten

Die Informationen sind aus Sicht von Sicherheitspolitikern von großem Wert für die Terrorismusbekämpfung. Seit Jahren tauschen die EU und anderen Staaten im Rahmen der internationalen Terrorismusbekämpfung PNR-Daten aus. Ein entsprechendes Abkommen mit den USA scheiterte zwar zwischenzeitlich am Widerstand des EU-Parlaments, ist aber seit einigen Jahren trotzdem in Kraft.

Doch die USA hätten dieses Abkommen nur in wenigen Fällen wirklich gebraucht, sagt Hasbrouck. “Die US-Regierung hat einen Rootzugriff auf die Datenbanken der US-PNR-Betreiber.” Sie sei also als einzige Instanz in der Lage, die Informationen aus diesen verschiedenen Datenbanken zentral zusammenzuführen.

Kein Schutz für EU-Bürger

Das Problem für EU-Bürger: Es gibt keinen Rechtsschutz, um sich über illegale Speicherung von Daten zu beschweren. Die Aufsicht über das Transportwesen und die Datensammlung der Verkehrsunternehmen obliegen dem US-Verkehrsministerium. Dieses ist weder vom Safe-Harbor-Abkommen noch vom derzeit verhandelten Privacy Shield tangiert.

Auch die EU hat über ein Speichersystem für Flüge innerhalb der EU nachgedacht. Dazu ist es nicht gekommen. Nun will das EU-Parlament Informationen von Passagieren, die mit dem Flieger in die EU einreisen oder sie verlassen, für sechs Monate speichern und danach anonymisiert vorhalten. Der Buchungscode wäre dann immer noch unter diesen Daten – damit ließe sich der Reisende im Zweifel durch eine einfache Abfrage bei den Fluggesellschaften wieder identifizieren.

Ordentliche Buchführung

Aus der Datenschutzabteilung der Lufthansa ist zu erfahren, dass die Informationen “zu Abrechnungszwecken, nach den Maßgaben der ordentlichen Buchführung” gespeichert würden. Das wären im Regelfall also zehn Jahre. Eine Aggregation der Daten nach Passagier oder anderen Merkmalen erfolge nicht, solange ein Passagier nicht beim Bonusprogramm Miles und More angemeldet sei.

Auch wenn eine große Mehrheit im Europäischen Parlament für die Fluggastdatenspeicherung stimmte, gibt es Kritik. Der Europa-Abgeordnete Jan Philipp Albrecht [3]: “Es ist ein teures Placebo, das nach Schätzungen der EU-Kommission etwa 500 Millionen Euro kosten wird. Geld, das bei den Polizeibehörden fehlt, die diese und alle anderen Daten auswerten und entsprechende Verdachtsmomente nachverfolgen müssen.” (uba)

Der Autor

Hauke Gierow schreibt für Golem.de über IT-Security, Datenschutz und Urheberrecht. Zuvor arbeitete er für “Reporter ohne Grenzen,” das “Mercator Institut für China-Studien” (Merics) und die “Open Knowledge Foundation”. Er hat Politikwissenschaften und Sinologie studiert.