Millionen personenbezogene Daten von Flugreisenden standen wegen einer Datenschutzpanne beim Berliner Ticket-Großhändler Aerticket jahrelang offen im Internet.

Das Unternehmen habe die inzwischen geschlossene Sicherheitslücke in der vergangenen Woche der Behörde gemeldet, sagte ein Sprecher des Berliner Beauftragten für Datenschutz und Informationsfreiheit am Montag der Deutschen Presse-Agentur und bestätigte damit einen Bericht der «Süddeutschen Zeitung». Bei Aerticket war am Montag niemand für eine Stellungnahme erreichbar.

Die Recherchen der «Süddeutschen Zeitung» hatten ergeben, dass es ohne technische Kenntnisse möglich war, Tickets, Reisepläne, Rechnungen, Name, Anschrift und teilweise auch Bankdaten einzusehen. Jeder konnte demnach die Informationen mit geringem Aufwand abfragen. Ersten Prüfungen zufolge sei das Datenleck nicht von Kriminellen ausgenutzt worden.

Aerticket stellt Tickets für mehrere tausend Großkunden aus. Darunter sind viele Reisebüros, aber auch Online-Reiseportale wie etwa die Unister-Töchter Fluege.de, Ab-in-den-Urlaub und Flug 24 oder Flugpreissuchmaschinen wie Tripado und Travel-Overland. Die Portale sind für die Sicherheitslücke nicht verantwortlich. Es besteht auch kein Zusammenhang mit der Insolvenz des Leipziger Unternehmens Unister, das Webportale betreibt.

Aerticket erklärte der «Süddeutschen Zeitung», von der Sicherheitslücke seien rund ein Viertel der Tickets betroffen gewesen, also rund 1,5 Millionen Buchungen pro Jahr.