Datenleck bei Air France und KLM: Wieder einmal versagen Drittanbieter beim Schutz von Kundendaten

Die europäischen Luftfahrtgiganten Air France und KLM sind die jüngsten Opfer in einer endlosen Serie von Datenpannen geworden, die einmal mehr die katastrophale Sicherheitslage bei externen Dienstleistern offenlegt. Während die Airlines selbst beteuern, ihre internen Systeme seien sicher, mussten sie eingestehen, dass Cyberkriminelle über eine externe Plattform Zugang zu Kundendaten erlangt haben. Ein Déjà-vu, das mittlerweile zur traurigen Normalität geworden ist.

Das übliche Spiel: Externe Dienstleister als Achillesferse

Die zur Air France-KLM Gruppe gehörenden Fluggesellschaften entdeckten nach eigenen Angaben "ungewöhnliche Aktivitäten" auf einer externen Plattform, die für den Kundenservice genutzt wird. Die IT-Sicherheitsteams hätten sofort reagiert und den unbefugten Zugriff gestoppt, heißt es in der obligatorischen Beschwichtigungserklärung. Doch der Schaden war bereits angerichtet.

Was genau gestohlen wurde? Die Airlines bleiben vage, betonen aber eilig, dass keine "sensiblen Daten" wie Passwörter, Reisedetails oder Kreditkarteninformationen betroffen seien. Kundenbenachrichtigungen, die online zirkulieren, zeichnen jedoch ein anderes Bild: Vor- und Nachnamen, Kontaktdaten, Flying Blue-Nummern und sogar die Betreffzeilen von Service-Anfragen seien in die Hände der Angreifer gefallen.

Die Phishing-Welle rollt bereits

Barry ter Voert, Chief Experience Officer bei KLM, warnte die betroffenen Kunden eindringlich vor den zu erwartenden Phishing-Versuchen. Die gestohlenen Daten würden es Kriminellen ermöglichen, ihre betrügerischen Nachrichten deutlich glaubwürdiger zu gestalten. Eine Warnung, die in ihrer Hilflosigkeit fast schon zynisch wirkt: Man solle "wachsam bleiben" und "die Authentizität überprüfen" - als ob das für den durchschnittlichen Kunden so einfach wäre.

Die Unternehmen haben sich pflichtschuldig an die niederländischen und französischen Datenschutzbehörden gewandt. Doch was nützen solche Meldungen, wenn der Schaden bereits entstanden ist und die Daten längst im Darknet gehandelt werden?

Ein Muster, das sich endlos wiederholt

Der Vorfall reiht sich nahtlos in eine erschreckende Serie ähnlicher Datenlecks ein. Allein in den vergangenen Wochen meldeten Luxusmarken wie Dior, Chanel und Pandora vergleichbare Sicherheitsverletzungen - alle durch Drittanbieter verursacht. Auch Tech-Gigant Google, die australische Qantas und der Versicherungsriese Allianz wurden Opfer solcher Angriffe.

Besonders pikant: Keines der betroffenen Unternehmen wollte den verantwortlichen Drittanbieter beim Namen nennen. Einzig Google gab zu, dass eine seiner Salesforce-Instanzen kompromittiert wurde. Diese Intransparenz verhindert, dass andere Unternehmen aus den Fehlern lernen und sich schützen können.

Die üblichen Verdächtigen: ShinyHunters und Scattered Spider

Sicherheitsexperten vermuten die berüchtigte Cybercrime-Gruppe ShinyHunters hinter den Angriffen. Die Bande machte bereits im vergangenen Jahr mit spektakulären Attacken auf Snowflake-Kunden von sich reden. Auch die Gruppe Scattered Spider, die sich neuerdings verstärkt auf Fluggesellschaften konzentriert, könnte beteiligt sein. Die Angriffe auf Hawaiian Airlines, Qantas und WestJet innerhalb von nur drei Wochen tragen deren Handschrift.

Was diese Vorfälle besonders beunruhigend macht, ist die scheinbare Hilflosigkeit der betroffenen Unternehmen. Trotz aller Beteuerungen über "sofortige Maßnahmen" und "verstärkte Sicherheitsvorkehrungen" häufen sich die Datenlecks in beängstigendem Tempo.

Die bittere Wahrheit über Outsourcing und Datensicherheit

Der Fall Air France-KLM offenbart einmal mehr die fundamentalen Schwächen moderner Geschäftsmodelle, die auf extensive Auslagerung setzen. Während Unternehmen ihre eigenen Systeme mit Millionenaufwand absichern, öffnen sie gleichzeitig Hintertüren durch die Integration unzähliger externer Dienstleister. Jeder dieser Partner wird zur potenziellen Schwachstelle im Sicherheitsgefüge.

Die Ironie dabei: Während die Politik immer neue Datenschutzverordnungen erlässt und Unternehmen mit bürokratischen Auflagen überhäuft, versagen die grundlegendsten Sicherheitsmechanismen. Die DSGVO mag gut gemeint sein, doch was nützen all die Compliance-Bemühungen, wenn die Daten am Ende doch gestohlen werden?

Für die betroffenen Kunden bleibt nur die vage Hoffnung, dass ihre Daten nicht für kriminelle Zwecke missbraucht werden. Die Empfehlung, bei verdächtigen E-Mails "wachsam zu sein", wirkt angesichts der Raffinesse moderner Phishing-Kampagnen fast schon naiv. Wer kann heute noch zweifelsfrei eine echte von einer gefälschten Nachricht unterscheiden, wenn die Betrüger über authentische Kundendaten verfügen?

Es ist höchste Zeit, dass Unternehmen ihre Verantwortung ernst nehmen und die Sicherheit ihrer Kundendaten nicht länger dem billigsten Anbieter überlassen. Doch solange die Kosten für Datenlecks niedriger sind als die Investitionen in robuste Sicherheitssysteme, wird sich an dieser Misere wohl kaum etwas ändern. Die Leidtragenden sind wie immer die Kunden, deren persönliche Daten zur Handelsware im digitalen Untergrund werden.