Fluggastdatenspeicherung: Wer wo welche Daten über Passagiere sammelt und wie
Im Jahr 1953, so will es die Legende(öffnet im neuen Fenster) , hatte Cyrus Rowlett Smith eine Idee, die das globale Reisen grundlegend verändert hat. Auf einem Flug von Los Angeles nach New York saß der Manager der Fluglinie American Airlines neben einem Ingenieur von IBM. Ein Gespräch mit diesem brachte ihn auf die Idee, die Informationen seiner Kunden künftig nicht mehr in Papierakten zu speichern, sondern in einem aus der Ferne zugänglichen System. Der erste elektronische Passenger Name Record war geboren: Sabre.
Als erster Server fungierten IBM-7090-Mainframes. Sie konnten 84.000 Anfragen gleichzeitig verkraften und übertrugen die Informationen an Terminals in den USA. In den folgenden Jahren wurde das System auf die ganze Welt ausgedehnt. Nach den Fluglinien wurden Reisebüros an das System angeschlossen und andere Buchungssysteme wurden in Konkurrenz zu Sabre entwickelt. Heute werden die Systeme von Fluglinien, Hotels und einigen Eisenbahngesellschaften genutzt, um Reisende an ihr Ziel zu bringen. Für den Nutzer ist das System zwar praktisch, aber schwer durchschaubar und nicht besonders sicher.
Die Datensammlungen der Luftfahrtunternehmen erregen das Interesse von Sicherheitspolitikern; die Daten werden in der EU künftig auf Vorrat gespeichert, wie das EU-Parlament am 14. April beschlossen hat .
PNR-Systeme als Vorläufer des Internets
In San Francisco haben wir mit einem Mann gesprochen, der in den 90er Jahren ganz nah an der Entwicklung vernetzter Buchungssysteme dran war: Edward Hasbrouck arbeitete in Reisebüros und beriet diese bei der Entwicklung der weiteren Vernetzung – einer Vernetzung, die das Internet praktisch vorwegnahm: "Die Buchungssysteme waren eigentlich Vorläufer des Internets, von Software-as-a-Service und Cloud Computing – in den 60-Jahren" , sagt Hasbrouck.
Die technischen Möglichkeiten waren allerdings begrenzt. Bei den frühen Systemen wurden Informationen von den Mainframes per Fernschreiber an das Gate gesendet – und dort ausgedruckt. "Es ist eigentlich ein Wunder, dass das alles funktioniert hat" , sagt Hasbrouck. Die Crew vor Ort musste Änderungen der Passagierliste dann per Telefon an die Zentrale zurückübermitteln. Dort wurden diese Informationen dann wieder in das System aufgenommen.
Was das Buchungssystem über den Passagier weiß
In den Buchungssystemen stecken heute die Daten von Abermillionen Reisenden weltweit. Doch was genau steht eigentlich in einem solchen Passenger Name Record? "Erstens natürlich grundlegende Informationen über den Reisenden – Name, Geburtsdatum, Passnummer" , sagt Hasbrouck.
Doch in den Systemen gibt es noch mehr Informationen: "Wenn Sie vegetarisches Essen bestellen, dann steht das im PNR, denn die Fluglinie muss ja entsprechend einkaufen" , sagt Hasbrouck. Diese Informationen sind notwendig, um den Flug ordnungsgemäß durchzuführen. Doch sie können natürlich auch genutzt werden, um Profile zu bilden. Wer sein Essen koscher oder halal bestellt, gibt natürlich Informationen über seine religiöse Ausrichtung preis.
Außerdem gibt es Freitextfelder, in die praktisch alles eingetragen werden kann. Wenn die Fluglinie zum Beispiel weiß, dass jemand zu einer Beerdigung fliegt, kann die Kabinencrew entsprechend vorbereitet werden. Aber auch andere Merkmale können eingetragen werden, etwa wenn ein Passagier aufgrund einer Behinderung spezielle Assistenz benötigt. Ein PNR kann bis zu 60 persönliche Merkmale enthalten.
Die Systeme werden über Terminals angeschlossen
Weltweit gibt es nur wenige Systeme, die fast alle Fluglinien miteinander vernetzen. Das älteste unter ihnen ist Sabre, in den USA gibt es außerdem Galileo und Worldspan. Das einzige europäische Unternehmen ist Amadeus, das 1987 von den europäischen Fluggesellschaften Lufthansa, Iberia, Air France und SAS gegründet wurde. Alle großen Fluglinien nutzen eines der Systeme. Nur Billigflieger wie Easyjet und Ryanair unterhalten eigene IT-Systeme.
Seitdem das System in den 60er Jahren aufgebaut wurde, hat es sich kaum verändert. Immer mehr Rechner und Terminals wurden an das System angeschlossen, doch bis weit in die 90er liefen die Systeme auf alten Mainframe-Rechnern. "Bis heute werden die Informationen über Terminals ausgeliefert", sagt Hasbrouck. Diese Terminals basieren auf Java-Software, die Informationen werden als XML-Datensatz vorgehalten. Um die Daten zu verwalten und Reisen zu managen, müssen Mitarbeiter von Reisebüros aber nicht auf die Kommandozeile gehen – in Deutschland ist zum Beispiel das Programm Merlin mit GUI verbreitet.
Niemand protokolliert, wer die Daten einsieht
Wenn sich ein Reisebüro an das System anschließen will, geschieht dies entweder über einen VPN-Zugang oder über eine Standleitung zum Betreiber des Buchungssystems. Dort findet ein weiterer Login mit den persönlichen Daten statt. Einen solchen Zugang zu bekommen, ist nicht besonders schwer – wer sich als Reisebüro lizenzieren lässt, kann gegen Gebühr auch einen Zugang zu den Buchungssystemen beantragen.
Ein Reisebüro kann dann auf alle Buchungen zugreifen, die von den Mitarbeitern selbst angelegt werden. Deutlich mehr Zugang haben natürlich die Mitarbeiter von Fluglinien. Sie können alle Buchungen einsehen, die ihr Unternehmen betreffen – weltweit. "Eine Protokollierung, wer wann auf wessen Informationen zugegriffen hat, gibt es nicht" , sagt Hasbrouck.
Wo also liegen die Informationen zu meinem Flug?
Es ist nicht ganz einfach, die Frage zu beantworten, wo die Informationen zu einem Flug liegen. Sagen wir, ein Passagier hätte einen Flug bei der Lufthansa gebucht. Dann wäre sein PNR bei Amadeus gehostet. Doch einer der Flüge auf einer längeren Reise wird von einem Star-Alliance-Partner durchgeführt; dann wird ein verknüpfter PNR im System der jeweiligen Fluglinie angelegt – also bei Sabre, Galileo oder Worldspan.
Außerdem hat der Passagier über die Fluglinie noch ein Hotel und einen Mietwagen gebucht. All diese Datensätze liegen in verschiedenen, verknüpften Datenbanken vor. Der Kunde bekommt davon jedoch im Zweifelsfall nichts mit. Nur, wenn auf einer komplizierten Buchung mehrere Buchungscodes stehen, deutet dies daraufhin, dass die Informationen in verschiedenen Systemen gespeichert sind.
Buchungscode + Nachname = Benutzername + Passwort
Wie sicher sind diese Informationen? Experte Hasbrouck sagt: "Einen Zugang zu einem solchen Buchungssystem zu bekommen, ist nicht so schwer" Die einfachste Möglichkeit: ein unauffälliger Schulterblick am Flughafen. "Die Systeme sind so aufgebaut, dass sie für den Kunden möglichst leicht zu bedienen sind" , sagt Hasbrouck. Auf der Webseite der Fluglinien müssen nur der sechstellige Buchungscode und der Nachname des Reisenden eingegeben werden. Beide Informationen sind auf den meisten Flugtickets zu finden.
Wer über diese Informationen verfügt, kann den weiteren Reiseplan einsehen – oder ändern. Denn Buchungscode und Nachname sind letztlich Nutzername und Passwort. Wenn bei der Fluglinie bereits eine Kreditkarte hinterlegt ist, dann könnten Umbuchungen der Reise vorgenommen und auch bezahlt werden. Im System würde dann hinterlegt, dass der Reiseplan "auf Kundenwunsch hin" geändert wurde.
Doch auch ohne die Informationen zu ändern, kann ein Einblick in die Systeme interessant sein: "Ich kann herausfinden, wann dein Rückflug stattfindet. Vielleicht möchte ich herausfinden, wie viel Zeit ich habe, um dein Haus auszurauben, bevor du nach Hause kommst. Oder ich kann herausfinden, wo du als Nächstes hinfliegst – vielleicht fliegst du zu einem anderen Ort, und das könnte für mich interessant sein, um Industriespionage zu betreiben." Und in brenzligen Familiensituationen oder bei Stalkern könnten Informationen aus PNRs dazu genutzt werden, den Aufenthaltsort einer Person zu ermitteln.
Die Buchungsinformationen können nicht nur bei den Fluglinien selbst eingesehen werden. Alle großen Betreiber unterhalten Angebote, die den direkten Zugriff auf den eigenen PNR ermöglichen. Wer einen Buchungscode und einen Nachnamen weiß, muss also nicht mal den Namen der Fluglinie in Erfahrung bringen, um auf die Informationen zuzugreifen – ausprobieren bei den vier Portalen reicht aus.
Austausch von PNR-Daten
Die von den Fluglinien gespeicherten Informationen sind aus Sicht von Sicherheitspolitikern von großem Wert für die Terrorismusbekämpfung. Seit vielen Jahren werden die PNR-Daten daher zwischen der EU und anderen Staaten im Rahmen der internationalen Terrorismusbekämpfung ausgetauscht. Ein entsprechendes Abkommen mit den USA scheiterte zwar zwischenzeitlich am Widerstand des EU-Parlaments, ist aber mittlerweile seit einigen Jahren in Kraft.
"Grundsätzlich gibt es zwei Verfahren, um der Regierung die Daten zur Verfügung zu stellen – Push und Pull." Beim Push-Verfahren werden alle Informationen aus den Systemen über eine API an die Ermittlungsbehörden geleitet – und dort gespeichert, durchsucht und schließlich wieder gelöscht.
Doch die USA hätten dieses Abkommen nur in wenigen Fällen wirklich gebraucht, sagt Hasbrouck. "Die US-Regierung hat einen Root-Zugriff auf die Datenbanken der US-PNR-Betreiber" . Sie sei also als einzige Instanz in der Lage, die Informationen aus diesen verschiedenen Datenbanken zentral zusammenzuführen.
Kein Rechtsschutz für EU-Bürger
Das Problem für EU-Bürger: Es gibt keinen Rechtsschutz, um sich über illegale Speicherung von Daten zu beschweren. Denn das mittlerweile gekippte transatlantische Datenschutzverfahren Safe-Harbor-Abkommen stand unter der (theoretischen) Kontrolle der US-Handelskommission FTC (Federal Trade Commission), die in den USA in Ermangelung einer zentralen Datenschutzbehörde die Aufsicht über Datensammler hat.
Doch die Aufsicht über das Transportwesen und die Datensammlung der Verkehrsunternehmen obliegen einer anderen Behörde: dem US-Verkehrsministerium. Diese aber ist weder vom Safe-Harbour-Abkommen noch vom derzeit verhandelten Privacy Shield betroffen.
Mehrere Jahre hat auch die EU über ein eigenes Speichersystem nachgedacht. Zwischenzeitlich sollten darin sogar alle Informationen über Flüge innerhalb der EU gespeichert werden. Dazu ist es jetzt nicht gekommen. Trotzdem sollen künftig alle Informationen von Passagieren, die mit dem Flugzeug in die EU einreisen oder sie verlassen, für sechs Monate gespeichert werden. Nach Ablauf dieser Frist sollen die Informationen noch anonymisiert vorgehalten werden. Doch der Buchungscode wäre immer noch unter diesen Daten – damit könnte der Reisende im Zweifel durch eine einfache Abfrage bei den Fluggesellschaften wieder identifiziert werden.
Lufthansa speichert "Nach den Maßgaben der ordentlichen Buchführung"
Doch wie lange sind die Informationen in den Systemen der Fluggesellschaften gespeichert? Aus der Datenschutzabteilung der Lufthansa ist zu erfahren, dass die Informationen "zu Abrechnungszwecken, nach den Maßgaben der ordentlichen Buchführung" gespeichert würden. Das wären im Regelfall also zehn Jahre. Eine Anfrage des Redakteurs nach einem Zugang zu seinem PNR wird wie folgt beantwortet "Das wird etwas dauern. Wir brauchen die Buchungsnummer, Reisetag und Strecke." Eine Aggregation der Daten nach Passagier oder anderen Merkmalen erfolge nicht, wird uns versichert, solange ein Passagier nicht beim Bonusprogramm Miles und More angemeldet sei.
Eine offizielle Stellungnahme der Fluggesellschaft zu den beschlossenen Regeln liegt uns bislang nicht vor. Der PNR-Betreiber der Lufthansa, Amadeus, teilt auf Anfrage mit: "Amadeus verfolgt die Diskussionen um den Zugang zu Passagierdaten für Regierungen sehr sorgfältig, da jede neue rechtliche Verpflichtung, die Fluggesellschaften und anderen Amadeus-Kunden auferlegt wird, Veränderungen bedeuten kann für die Unterstützung der effektiven Einhaltung durch Amadeus' Technologie. Aus Sicht von Amadeus ist dies allerdings eine politische und keine technologische Debatte." Es sei Sache der Politiker, "über das Vorgehen hinsichtlich der Datensicherheit zu entscheiden."
Auch wenn die Mehrheit für die Fluggastdatenspeicherung im Europäischen Parlament, vermutlich auch unter dem Eindruck der Terroranschläge in Brüssel, groß war, gibt es Kritik. Der Europaabgeordnete Jan Philipp Albrecht schreibt auf seiner Webseite(öffnet im neuen Fenster) : "Die anlasslose Analyse und Speicherung von Fluggastdaten aller Reisenden hilft nicht weiter. Es ist ein teures Placebo, das nach Schätzungen der Europäischen Kommission etwa 500 Millionen Euro kosten wird. Geld, das bei den Polizeibehörden fehlt, die diese und alle anderen Daten auswerten und entsprechende Verdachtsmomente nachverfolgen müssen."
Wie es weitergeht? Auf der Webseite von Hasbroucks Identitiy Project(öffnet im neuen Fenster) steht: "Wir kennen zahlreiche Sicherheitsprobleme in den Systemen der CRS-Betreiber. Wenn diese mit uns Kontakt aufnehmen, geben wir die Informationen gerne weiter."
- Anzeige Hier geht es zu Fliegen: Die Geschichte der Luftfahrt bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.