[datensicherheit.de, 27.06.2025] Eine solche Durchsage dürfte wohl jeder Fluggast bereits vernommen haben: „Herzlich willkommen an Bord: Wir bitten Sie nun, Ihre Plätze einzunehmen und die Sicherheitsgurte zu schließen. Bitte stellen Sie sicher, dass alle elektronischen Geräte entweder ausgeschaltet oder in den Flugmodus versetzt sind!“ Eine aktuelle Bitkom-Umfrage zeigt nun aber auf, dass offensichtlich nicht alle Passagiere dieser Bitte auch immer nachkommen: Demnach geben 42 Prozent der deutschen Fluggäste zu, während eines Fluges schon einmal heimlich ein technisches Gerät ohne Flugmodus verwendet zu haben. Grundlage dieser Erkenntnis ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverbands Bitkom durchgeführt hat: „Dabei wurden 1.006 Personen ab 16 Jahren in Deutschland telefonisch befragt, darunter 835 Flugreisende.“ Diese Umfrage sei repräsentativ und habe im Zeitraum der Kalenderwochen 18 bis KW 21 2025 stattgefunden.

Der Flugmodus soll verhindern, dass elektronische Geräte die Bordtechnik und den Funkverkehr stören

Unter den jüngeren Flugreisenden zwischen 16 bis 29 Jahren seien es mit 54 Prozent sogar mehr als die Hälfte, während sich in der Generation ab 65 Jahren mit 18 Prozent die meisten an die Vorgaben hielten. „Der Flugmodus soll verhindern, dass elektronische Geräte die Bordtechnik und den Funkverkehr stören“, betont Dr. Sebastian Klöß, Experte für „Consumer Technology“ beim Bitkom.

Er führt aus: „Inzwischen erlauben einige Airlines aber die Nutzung von WLAN oder ,Bluetooth’ während des Fluges, weil moderne Systeme besser abgeschirmt sind. Trotzdem bleibt der Flugmodus besonders zu Beginn und am Ende des Fluges eine Sicherheitsvorkehrung, die nicht leichtfertig ignoriert werden sollte!“

Immerhin fast ein Drittel lädt vor dem Flug Musik oder Filme zur Offline-Nutzung herunter

Für viele sollte dies auch kein allzu großes Problem sein, denn sie sorgten für die Offline-Zeit im Flieger vor: „Fast ein Drittel (31%) lädt sich in der Regel vor einem Flug Musik oder Filme herunter. Auch das ist unter den Jüngeren mit 47 Prozent wesentlich verbreiteter als bei den Älteren (15%).“

Auch bei der Frage nach Online- oder Offline-Check-in zeigten sich die Altersgruppen gespalten: „Bei den 16- bis 29-Jährigen, die schon einmal geflogen sind, bevorzugen zwei Drittel (66%) den Online-Check-in, in der Altersgruppe ab 65 Jahren hingegen nur 35 Prozent.“ Insgesamt checke rund die Hälfte (51%) der Fluggäste nach eigenen Angaben grundsätzlich lieber online als vor Ort am Schalter ein.

Flughäfen und Airlines bauen ihre digitalen Angebote aus

„Check-in erledigt, Koffer abgegeben und jetzt nur noch schnell durch die Sicherheitskontrolle?“ Gerade zur Ferienzeit könne es auch mal zu langen Warteschlangen kommen. Insgesamt 37 Prozent der Passagiere würden gerne vorab online ein Zeitfenster für ihre Sicherheitskontrolle am Flughafen reservieren:

Unter den 16- bis 29-Jährigen seien es mit 45 Prozent im Vergleich am meisten, in der Gruppe ab 65 Jahren mit 26 Prozent die wenigsten. Klöß kommentiert: „Ob digitale Bordkarte, ,Self-Bag-Drop-off’ oder reservierbare Zeitfenster für die Sicherheitskontrolle – Flughäfen und Airlines bauen ihre digitalen Angebote aus.“ Das steigere häufig nicht nur die Effizienz, sondern biete auch mehr Komfort für Reisende.

Weitere Informationen zum Thema:

bitkom
Dr. Sebastian Klöß / Leiter Märkte & Technologien Bitkom e.V.

datensicherheit.de, 28.05.2025
Damit Flughäfen online bleiben: SITA bietet neuen Satelliten-Konnektivitätsdienst / Mit der Einführung von „SITA Managed Satellites“ sollen Flughäfen weltweit nun jederzeit eine essenzielle Kommunikation aufrechterhalten können – selbst bei Stromausfällen oder Naturkatastrophen

datensicherheit.de, 15.04.2025
Luftfahrt-Infrastruktur unter Druck: Flugreisen in den Osterferien erhöhen Herausforderungen / Ostern als eine der Hauptreisezeiten könnte Probleme für Urlauber mit sich bringen, denn die Flugsicherungszentren haben u.a. mit Personalknappheit zu kämpfen

datensicherheit.de, 19.02.2025
Kleine und mittlere Flughäfen: BSI stellt IT-Grundschutz-Profil bereit / BSI-Empfehlungen für Mindestabsicherung kleiner und mittlerer Flughäfen in Deutschland

datensicherheit.de, 21.08.2024
Cyber-Sicherheit in der Luftfahrt: Schutz vor digitalen Bedrohungen muss mit Transformation einhergehen / Untersuchungen von BlueVoyant zeigen deutlichen Anstieg digitaler Bedrohungen gegen die Luftfahrtindustrie

datensicherheit.de, 19.06.2018
Luftsicherheit in Deutschland: Einheitliche Standards und Vorgaben gefordert / Bundesverband für Luftsicherheit schlägt ständigen Bund-Länder-Ausschuss vor

[datensicherheit.de, 20.02.2020] Die IATA-Fluggesellschaften schützen ihre Passagiere und andere IT-Anwender offenbar nicht davor, betrügerische E-Mails eben im Namen der jeweiligen Fluggesellschaft zu erhalten – dies haben nach eigenen Angaben Sicherheitsexperten des US-amerikanischen Cybersecurity-Unternehmens proofpoint im Rahmen einer Untersuchung festgestellt. Dabei seien alle 296 Mitgliedsfluggesellschaften der IATA (International Air Transport Association) berücksichtigt worden – auf diese IATA-Mitgliedsgesellschaften entfielen 82 Prozent des gesamten Flugverkehrs.

Abbildung: proofpoint

proofpoint-Untersuchung zu fehlenden DMARC-Einträgen bei IATA-Fluggesellschaften

Herausforderungen für IATA-Airlines: Storni, Verspätungen, Corona-Hotspots…

Gestrichene Flüge, vom Veranstalter stornierte Fernreisen, Verspätungen und Urlaubsziele, welche sich zu „Corona-Hotspots“ entwickeln… All dies verunsichere gegenwärtig die Passagiere der Fluggesellschaften. Für diese nicht stattfindenden Reisen möchten Fluggäste natürlich ihr bereits bezahltes Geld wieder zurück. Ein Großteil der betreffenden Kommunikation zwischen Reisenden und Fluggesellschaften finde via E-Mail statt.
Nachdem der Reisesektor schon immer ein weit verbreitetes Ziel für Cyber-Kriminelle gewesen sei, steigerten die durch die aktuelle „Pandemie“ ausgelösten Absagen die Unsicherheit im Reisemarkt und damit auch das Interesse der Hacker. „Denn ob bei der Buchung neuer Flüge oder der Suche nach Informationen über Flug-Annullierungen, Informationen zu den Stornokosten – eines bleibt gleich: Viele Menschen weltweit warten sehnsüchtig auf die Kommunikation mit den Fluggesellschaften. Das versuchen opportunistische Cyber-Kriminelle auszunutzen – kaum überraschend, denn E-Mail ist nach wie vor der wichtigste Bedrohungsvektor für Cyber-Kriminelle.“

Gefälschte E-Mails: IATA-Fluggesellschaften nutzen kaum Schutzmaßnahmen

Was viel mehr überrasche: „Dass die große Mehrheit der Fluggesellschaften gar nicht alle Möglichkeiten nutzt, um die Passagiere davor zu schützen, Opfer von betrügerischen E-Mails zu werden, die diese Menschen im Namen der Fluggesellschaften erhalten.“ Dabei wäre das mit einem DMARC-Eintrag schnell und einfach zu lösen.
Bei einer Untersuchung der 296 Mitgliedsfluggesellschaften der IATA habe proofpoint festgestellt, dass weit mehr als die Hälfte (61 Prozent) dieser Organisationen über keinen veröffentlichten DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügten.

Nur 7% der IATA-Fluggesellschaften haben bisher vollständigen DMARC-Schutz umgesetzt

Dabei sei DMARC ein E-Mail-Validierungsprotokoll, welches Domain-Namen vor dem Missbrauch durch Cyber-Kriminelle weitestgehend schütze. Mit seiner Hilfe lasse sich die Identität des Absenders verlässlich authentifizieren, „bevor die Nachricht ihre beabsichtigte Bestimmung erreichen kann“. Es verifiziere, „dass die angebliche Domäne des Absenders nicht imitiert oder gefälscht wurde, und stützt sich auf die etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework), um sicherzustellen, dass die E-Mail die vertrauenswürdige Domäne nicht fälscht“.
Überhaupt hätten nur sieben Prozent der IATA-Fluggesellschaften einen vollständigen und damit auch den empfohlenen DMARC-Schutz umgesetzt. „Das heißt, 93 von 100 tun dieses nicht.“ Diese Einstellung und Richtlinie sei unter der Bezeichnung „Reject“ bekannt und blockiere betrügerische E-Mails dabei ihr beabsichtigtes Ziel zu erreichen. „Das bedeutet, dass nur sieben Prozent proaktiv verhindern, dass betrügerische E-Mails die Posteingänge ihrer Kunden erreichen.“

Mehrzahl der IATA-Fluglinien lassen Unternehmensdomains für diverse Angriffe wie Phishing, Identitätsdiebstahl etc. offen

Insgesamt versäumten es die großen globalen Fluggesellschaften, einen angemessenen E-Mail-Schutz zu implementieren – und ließen ihre Unternehmensdomains für diverse Angriffe wie Phishing, Identitätsdiebstahl und andere unbefugte Nutzung offen.
Allerdings sei die Akzeptanz von Region zu Region unterschiedlich hoch. Von den von der IATA klassifizierten Regionen wiesen China und Nordasien den niedrigsten Grad an DMARC-Annahme auf, wobei 85 Prozent überhaupt keine veröffentlichten Richtlinien und daher keinen Einblick in die unbefugte Nutzung ihrer Domänen hätten. Es folgten der asiatisch-pazifische Raum (70 Prozent), Europa sowie der Nahe Osten und Afrika (beide Regionen mit 57 Prozent) und Amerika (43 Prozent).

In China & Nordasien hat bisher kein IATA-Carrier die strengste DMARC-Richtlinie (Reject) implementiert

Wenn es darum geht, ihre Kunden proaktiv vor E-Mail-Betrug zu schützen, schneide die Region „China & Nordasien“ am schlechtesten ab: Keiner der dortigen Carrier habe die strengste DMARC-Richtlinie (Reject) implementiert. Es folgten „Europa“ und der „Nahe Osten & Afrika“ (beide Regionen mit 93 Prozent) sowie „APAC“ und „Amerika“ (beide mit 89 Prozent).
Es bleibe zu hoffen, dass die Fluggesellschaften hierbei sehr schnell tätig werden, „um ihre Kunden besser vor Cyber-Angriffen, die die Domainnamen der Carrier missbrauchen, zu schützen“.

Weitere Informationen zum Thema:

proofpoint
White Paper / Getting Started with DMARC

datensicherheit.de, 24.05.2020
ZLoader: Malwareanalyse von Proofpoint belegt neue Variante

[datensicherheit.de, 02.03.2017] Nach einer Mitteilung des DRV Deutscher ReiseVerband e.V. trägt dessen politische Arbeit Früchte – das Bundeskabinett hat demnach einen Entwurf für ein Fluggastdatengesetz verabschiedet, in dem die Bundesregierung der vom DRV vorgetragenen Kritik bei der Erfassung der Passagierdaten Rechnung trägt.

Begrenzte Datenweitergabe

Wenn Unternehmen Flüge buchen oder an der Ausstellung von Flugscheinen beteiligt sind, müssten sie bestimmte Daten rechtzeitig an die Sicherheitsbehörden weitergeben. Aber diese Pflicht zur Datenweitergabe betreffe laut aktuellem Gesetzentwurf nur die reinen Buchungsdaten. Das seien die zur Durchführung eines Fluges erhobenen Daten wie Buchungscode, Vor- und Nachname.
Weitere Daten wie z.B. Angaben zum Sitzplatz, Gepäck oder zu Mitreisenden müssten nicht weitergeleitet werden. Es bestehe auch keine Pflicht, zusätzliche technische Strukturen für die Datenübertragung zu schaffen.

Gesetzentwurf im Sinne der Reisebranche verbessert

„Der inzwischen vorliegende Gesetzentwurf ist im Sinne der Reisebranche verbessert worden. Wir hatten als DRV erhebliche Bedenken zum vorausgegangenen Referentenentwurf angemeldet“, kommentiert DRV-Präsident Norbert Fiebig. Er sei froh, dass „diese gehört und berücksichtigt wurden“. Der DRV unterstütze die Zielsetzung, die Sicherheit für Flugreisende zu erhöhen, setze sich aber zugleich für „praxistaugliche Lösungen“ ein.
Wäre es bei der ursprünglichen Formulierung geblieben, so Fiebig, „wären Reisebüros und Reiseveranstalter in der Praxis gezwungen worden, für Flugbuchungen 19 verschiedene Datensätze abzuprüfen und die ihnen vorliegenden Informationen zum Passagier einzutragen“. Dies hätte den Aufwand für Flugbuchungen erheblich gesteigert. Nun werde diese deutliche Mehrbelastung von Reisebüros und Reiseveranstaltern beim Flugverkauf voraussichtlich vermieden.

Hintergrund: Das Fluggastdatengesetz

Das Fluggastdatengesetz soll der Umsetzung der sogenannten EU-PNR-Richtlinie (EU 2016/681) dienen. PNR steht dabei für „Passenger Name Record“ und umfasst laut DRV persönliche Angaben von Fluggästen. Die Richtlinie erlaube es den Mitgliedstaaten, Fluggastdaten zu Zwecken der Terror- und Kriminalitätsbekämpfung zu sammeln und auszuwerten.
Der DRV hatte nach eigenen Angaben das europäische Gesetzgebungsverfahren von Beginn an, d.h. ab 2011, aktiv und intensiv begleitet, um sicherzustellen, dass es für die Reisebranche zu praxisgerechten Lösungen kommt.

Die weitere Entwicklung

Der Gesetzestext werde nun dem Bundestag zur Beratung und Beschlussfassung zugeleitet. Der DRV will sich im weiteren Gesetzgebungsverfahren dafür einsetzen, dass der Bundestag dem Ansatz der Bundesregierung folgt und es zu keiner Mehrbelastung von Reisebüros und Reiseveranstaltern kommt.
Um die Richtlinie fristgerecht umzusetzen, müsse ein „straffer Zeitplan“ eingehalten werden. Dem Bundestag bleibe allerdings nur wenig Zeit vor der Sommerpause und der Bundestagswahl im September 2017, um seine Beratungen abzuschließen. Nur wenn dies gelingt, könne die Richtlinie fristgerecht umgesetzt werden. Dann würde das Fluggastdatengesetz planmäßig am 25. Mai 2018 in Kraft treten.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2016
EU-Parlament hat Passagier-Richtlinie endgültig verabschiedet

datensicherheit.de, 29.04.2012
Fünf Jahre Speicherung von Fluggastdaten: Peter Schaar kritisiert Entscheidung der EU-Innenminister

[datensicherheit.de, 14.04.2016] Die sogenannte „Passagierdaten-Richtlinie“ ist am 14. April 2016 von der EU endgültig verabschiedet worden.

DRV zieht positives Fazit

Nachdem Anfang Dezember 2015 hinsichtlich der Weitergabe von Passagierdaten (PNR) ein Kompromiss zwischen EU-Rat und EU-Parlament gefunden wurde, hat das Parlament die entsprechende EU-PNR-Richtlinie nun endgültig verabschiedet.
Fest steht damit laut einer Stellungnahme des DRV Deutscher ReiseVerband e.V., dass Reisebüros und Reiseveranstalter die Fluggastdaten, darunter Namen und Kreditkartennummer, nicht an die Sicherheitsbehörden weiterzuleiten brauchen. Der DRV zieht demnach ein positives Fazit des Gesetzgebungsverfahrens – man habe sich sehr lange und letztlich auch erfolgreich dafür eingesetzt, Reisebüros und Reiseveranstalter von der Richtlinie auszunehmen, resümiert DRV-Präsident Norbert Fiebig.

Fluggesellschaften in der Pflicht

Im ursprünglichen Richtlinienentwurf sei noch vorgesehen gewesen, dass Reisebüros und Reiseveranstalter zur Weiterleitung von Kundendaten an die Sicherheitsbehörden verpflichtet gewesen wären.
Auch künftig seien alleine die Fluggesellschaften gehalten, die entsprechenden Buchungsdaten vollautomatisiert an die zentrale Erfassungsstelle in der EU weiterzuleiten. Durch die Koordination und den Austausch der Daten erhofften sich die Institutionen und die Mitgliedsstaaten der EU die Kriminalitäts- und Terrorbekämpfung zu stärken.
Die Mitgliedstaaten hätten nun zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen. Diesen Prozess in Deutschland werde der DRV intensiv begleiten. Es gelte sicherzustellen, dass bei der Umsetzung in nationales Recht die Reisebüros und Reiseveranstalter auch weiterhin von der Pflicht befreit blieben, sensible Kundendaten an die Sicherheitsbehörden weiterleiten zu müssen.

Foto: BfDI

[datensicherheit.de, 17.12.2010] Nach Angaben des Bundesdatenschutzbeauftragten habe der internationale Airline-Verband IATA eine grundlegende Änderung des Systems der Sicherheitskontrollen auf Flughäfen vorgeschlagen, das auf einer Sortierung der Flugreisenden nach Risikokategorien basiere:
Demnach sollten die Passagiere zunächst mittels biometrischer Merkmale (etwa Fingerabdrücke und digitales Gesichtsbild) identifiziert werden – auf dieser Basis finde ein Abgleich mit den Buchungsdaten statt. In einem weiteren Schritt würden die Reisenden in die drei Kategorien „bekannte Flugreisende“, „normale Flugreisende“ und „potenzielle Gefährder“ eingeteilt.
Die IATA verspreche sich von ihrem Modell offensichtlich eine Beschleunigung der Passagierkontrollen; profitieren würden davon aber nur die Businessreisenden, die ihre Flüge auf der Überholspur erreichen könnten. Für die „Normal“-Reisenden ergäben sich im Regelfall keine Verbesserungen. Für diejenigen, die nach undurchschaubaren Kriterien als „potenzielle Gefährder“ einsortiert würden, wäre das IATA-Modell sogar mit umfangreicheren, langwierigen und tiefer gehenden Kontrollen verbunden.
Datenschutzrechtlich sei dieser Vorschlag problematisch, denn alle Reisenden würden einem umfassenden Datenabgleich unterzogen („electronic data pre-screening“). Damit würden aber Daten, die für völlig andere Zwecke erhoben worden seien (etwa Kreditkartennummer, Alter, Wohnort und Geburtsdatum und -ort, Reiserouten, frühere Flugreisen), für eine Risikobewertung verwendet. Vermutlich würden bei dem Abgleich auch zusätzliche Daten staatlicher Stellen, etwa „No-Flight-Lists“ und andere Daten der Sicherheitsbehörden einbezogen. Die zusätzlichen Verhaltenskontrollen auf Basis von individuellen Interviews („advanced behavior detection through intelligent questioning of passengers based on information“) wären weiterere schwerwiegende Eingriffe in das Persönlichkeitsrecht, so Peter Schaar ins einem Blog.

Weitere Informationen zum Thema:

PETER SCHAAR. Der Blog, 16.12.2010
Triage am Flughafen?