Im digitalen Zeitalter wird das Reisen zunehmend mit Online-Buchungen und dem Umgang mit elektronischen Zahlungsmethoden komfortabler, aber auch komplexer. Fluggesellschaften wie Air Canada bieten ihren Kunden digitale Funktionen an, darunter sogenannte digitale Wallets, um Flugguthaben sicher zu speichern und flexible Zahlungsmöglichkeiten zu ermöglichen. Doch was passiert, wenn genau diese Systeme zur Schwachstelle werden? Die erschütternde Geschichte eines Paares aus Ontario wirft ein Licht auf mögliche Sicherheitslücken und auf die Verantwortung von Fluggesellschaften im Umgang mit Kundendaten und -guthaben. Bill und Sandra Barlow aus Milton, Ontario, hatten über ein Jahr hinweg für eine Traumreise nach Süd- und Mittelamerika gespart. Die Reise sollte ein besonderes Jubiläum, den 75.
Geburtstag von Bill, feiern. Mit einer Kombination aus Geld und Aeroplan-Punkten buchten sie Business-Class-Rückflüge für knapp über 5.000 kanadische Dollar. Doch kurz vor ihrem Rückflug erlebten sie die Ernüchterung: Ihre Flüge waren storniert worden. Noch schlimmer – ihr digitales Flugguthaben wurde ohne ihr Wissen für den Kauf eines Business-Class-Tickets nach Tokio von einer völlig fremden Person genutzt.
Für die Barlows kam die Nachricht wie ein Schock. Sie hatten keine Ahnung von der Existenz des sogenannten Air Canada Wallet, einer digitalen Brieftasche, die von der Airline im Juni 2023 eingeführt worden war, um Flugguthaben sicher zu verwalten. Die Barlows hatten diese Funktion weder aktiviert noch für ihre Buchungen verwendet. Als sie die Airline kontaktierte, wurde ihnen jedoch die Schuld für die missbräuchliche Nutzung ihres Flugguthabens gegeben. Air Canada argumentierte, dass das Paar Opfer eines Hacks ihres persönlichen E-Mail-Kontos geworden sei.
Die Hacker hätten über die „Passwort vergessen“-Funktion Zugang zu ihrem Aeroplan-Konto erlangt, den Flugguthaben gestohlen und dabei Benachrichtigungen der Airline abgefangen. Die Folge sei, dass niemand das unautorisierte Buchen des Fluges beobachtet habe. Diese Darstellung wurde jedoch von einem unabhängigen Cybersicherheitsexperten als dubios eingestuft. Claudiu Popa, ein renommierter Experte auf dem Gebiet Cyberkriminalität, wies darauf hin, dass es keinerlei Beweise gebe, die eine Kompromittierung des E-Mail-Kontos durch die Airline belegten. Zudem wirft er der Fluggesellschaft vor, Sicherheitslücken innerhalb ihrer eigenen Systeme nicht ausreichend zu prüfen und ihre Kunden der Gefahr schutzlos auszusetzen.
Die Rolle der Airline wirft damit grundlegende Fragen zu digitaler Sicherheit, Kundenschutz und transparenter Kommunikation auf. Die Barlows erklärten, sie seien nicht darüber informiert worden, dass der Air Canada Wallet auf ihrem Konto aktiv sei. Ebenso sei die Airline nicht in der Lage gewesen, detailliert oder überzeugend darzulegen, welche Ermittlungen sie in dem Fall angestellt habe. Es bleibt unklar, wie es einem Dritten überhaupt gelingen konnte, Zugang zu diesem speziellen System zu bekommen. Go Public, das investigative Rechercheteam von CBC, verfolgte die Spur weiter und stieß auf die Person, die mit dem gestohlenen Guthaben den Flug nach Tokio gebucht hatte: eine Frau aus Las Vegas, die den Flug über ein örtliches Reisebüro gebucht haben will.
Seltsam daran ist, dass sie sagte, von Air Canada nie kontaktiert worden zu sein, um zu klären, warum ihr Name auf einem Ticket stand, das mit gestohlenem Guthaben bezahlt wurde. Sie meinte sogar, es kümmere sie nicht weiter, was mit dem Fall geschehen sei, da sie bereits bezahlt habe – angeblich mit einer Kreditkarte – eine Aussage, die nicht bestätigt werden konnte. Die gesamte Situation offenbart eine unklare Verantwortlichkeit bei Air Canada und lässt viele Fragen offen: Wie gut ist die Sicherheit der digital gespeicherten Kundenkredite tatsächlich? Wie ernst nimmt die Airline Betrugsfälle? Werden Betroffene fair und transparent behandelt? Laut Popa ist die Weigerung der Airline, genaue Einblicke in ihre Untersuchung zu geben, bedenklich. Sie offenbart „große Löcher“ in der betrieblichen Krisenbewältigung und im betrieblichen Datenschutz. Darüber hinaus kritisierte er, dass wichtige Benachrichtigungen wie Ticketstornierungen oder Wallet-Aktivitäten ausschließlich per E-Mail kommuniziert würden.
Gerade bei einem Vorfall, bei dem genau diese E-Mails abgefangen oder manipuliert worden sein könnten, erscheint das Kommunikationsmittel als besonders verletzlich. Stärker gesicherte Kanäle oder mehrstufige Authentifizierung könnten solche Risiken mindern. Das Beispiel der Barlows steht stellvertretend für wachsende Herausforderungen in der digitalen Reisesicherheit. Flugguthaben und Bonusprogramme haben sich in den letzten Jahren als wichtige Elemente im Wettbewerb der Airlines entwickelt. Digitale Wallets bieten Komfort, setzen aber auch voraus, dass Kunden und Anbieter ein hohes Maß an Risiko- und Sicherheitsmanagement betreiben.
Die Antwort von Air Canada, nach der sie keine Verantwortung für die Sicherheit der persönlichen E-Mail-Konten der Kunden übernehmen könne und ihre AGB dies klar regelten, trifft bei vielen Betroffenen auf Unverständnis. Die Grenze zwischen Verantwortung der Nutzer und Schutzpflicht der Dienstleister muss sinnvoll abgewogen werden, zumal Kunden in der Regel nicht über alle technischen Details verfügen und auf den Schutz der Anbieter vertrauen. Der Vorfall mit dem Kanadischen Paar ist keine Einzelerfahrung. In der Vergangenheit hatte Air Canada bereits mit Sicherheitsvorfällen zu kämpfen. 2018 kam es zu einem Datenleck bei der Airline-App, das die Informationen von etwa 20.
000 Kunden kompromittierte. 2023 wurden zudem Mitarbeiterdaten von Hackern abgegriffen. Diese Ereignisse zeigen, dass IT-Sicherheit bei der Fluggesellschaft offenbar immer wieder Herausforderungen bereitet. Was bedeutet das für Reisende? Anliegen wie Schutz vor Identitätsdiebstahl, sichere Speicherung von Flugguthaben und schnelle sowie transparente Unterstützung bei Betrugsfällen werden immer relevanter. Experten empfehlen, auf starke Passwörter und nach Möglichkeit Zweifaktorauthentifizierung zu setzen, die eigene Kontokommunikation genau zu beobachten und frühzeitig bei Unregelmäßigkeiten Alarm zu schlagen.
Die Barlows mussten selbst noch einmal in erheblichem Umfang Geld investieren, um rechtzeitig nach Hause zurückzukehren. Mit lediglich zwei Tagen Vorlauf zahlten sie für Economy-Tickets knapp 2.800 kanadische Dollar. Hätte die Buchung später stattgefunden, wären die Kosten noch deutlich höher gewesen. Statt einer sorglosen Heimkehr erlebten sie finanziellen Schaden, Zeitdruck und emotionalen Stress – und das alles auf einer Reise, die Freude bringen sollte.
Zusammenfassend zeigt der Fall auf, wie wichtig es ist, dass Fluggesellschaften wie Air Canada digitale Zahlungssysteme und Kundenkonten zuverlässig sichern und Missbrauchsfälle gründlich aufklären. Es geht nicht nur um technische Sicherheit, sondern auch um Vertrauen, Konsumentenschutz und eine faire Behandlung der betroffenen Passagiere. Nur so können Kunden sich sicher fühlen und die Vorteile moderner Technologien genießen, anstatt ihnen mit Sorge zu begegnen. Für Verbraucher bleibt die Botschaft, wachsam zu sein, sich über angebotene digitale Dienste zu informieren und mögliche Risiken zu kennen. Für Airlines steht die Herausforderung, Sicherheitslücken zu schließen und Prozesse transparenter zu gestalten.
Verbesserte Sicherheitsstandards, regelmäßige Audits und klare Kommunikation sind unerlässlich, um ähnliche Vorfälle künftig zu vermeiden und das Vertrauen der Kunden zurückzugewinnen. Die Geschichte des Paars Barlow ist Mahnung und Aufruf zugleich: In einer zunehmend digitalisierten Welt müssen sowohl Unternehmen als auch Nutzer ihre Verantwortung ernst nehmen. Nur durch gemeinsame Anstrengungen lassen sich digitale Risiken minimieren, damit Traumreisen nicht zum Alptraum werden.
