Ein Cyberangriff auf das Vielfliegerprogramm Flying Blue der Air France KLM Group hat persönliche Daten zahlreicher Kunden kompromittiert. Die Folgen dieses Vorfalls werfen erneut ein Schlaglicht auf die angreifbare Infrastruktur großer internationaler Fluggesellschaften – und auf notwendige Schutzmaßnahmen für Nutzer.
Was ist passiert: Details zum Cyberangriff auf Flying Blue
Am 20. Juli 2025 meldete die französisch-niederländische Fluggesellschaft Air France KLM offiziell einen Cyberangriff auf ihr gemeinsames Vielfliegerprogramm „Flying Blue“. Laut Stellungnahme wurden dabei unberechtigte Zugriffe auf Kundenkonten festgestellt, die über sogenannte „Credential Stuffing“-Techniken erfolgt sind. Diese Methode beruht darauf, dass Angreifer gestohlene Anmeldeinformationen aus anderen Datenlecks zum Login auf verschiedenen Plattformen verwenden – mit zum Teil alarmierender Erfolgsquote.
Betroffen sind diesem Vorfall zufolge nicht nur Namen und E-Mail-Adressen, sondern auch Vielfliegernummern, Kontostände an gesammelten Meilen, Telefonnummern, Reisehistorien und in einigen Fällen auch Teilabschnitte von Reisepässen. Zahlungsdaten und Reisepasskopien sollen nach Unternehmensangaben jedoch nicht betroffen sein.
Die Air France KLM Group hat betroffene Nutzer mittlerweile per E-Mail informiert, ihre Passwörter zwangsweise zurückgesetzt und überprüft laut eigenen Angaben laufend die gesamten Systeme auf weitere Schwachstellen.
Wie viele Kunden sind betroffen – und wie gefährdet sind sie?
Laut ersten Einschätzungen der Groupe Air France KLM sind rund 1,2 Millionen Konten weltweit betroffen – das berichtet das französische Nachrichtenportal Le Monde unter Berufung auf Behördenquellen (Quelle: Le Monde, Juli 2025). Das Flying Blue-Programm zählt nach eigenen Angaben über 20 Millionen Mitglieder in Europa, Nordamerika, Afrika und Asien.
Die betroffenen Daten können vielfältig missbraucht werden – zum Beispiel für gezielten Phishing-Betrug, Identitätsdiebstahl oder zur Kompromittierung weiterer Konten unter derselben E-Mail. Nicht zuletzt macht die Kombination aus Namen, Vielflieger- und Reisedaten Kunden zu potenziellen Zielen für Social-Engineering-Angriffe oder Deepfake-basierte Erpressungsversuche.
Wie können Nutzer prüfen, ob sie betroffen sind?
Flying Blue hat keine öffentliche Datenbank mit kompromittierten Kundennummern veröffentlicht. Folgende Maßnahmen helfen dabei, schnell zu klären, ob man betroffen ist:
- Überprüfen Sie Ihr E-Mail-Postfach auf Benachrichtigungen von Flying Blue, Air France oder KLM aus dem Zeitraum zwischen dem 20. und 25. Juli 2025.
- Melden Sie sich direkt bei www.flyingblue.com an und ändern Sie Ihr Passwort – auch dann, wenn Sie keine E-Mail erhalten haben.
- Verwenden Sie Dienste wie haveibeenpwned.com, um zu prüfen, ob Ihre E-Mail-Adresse in bekannten Datenlecks enthalten ist.
Die Airline-Gruppe rät ausdrücklich dazu, das Konto (etwaige Bonusmeilen, eingelöste Prämien oder neue Reisen) auf Unregelmäßigkeiten zu überprüfen und umgehend verdächtige Aktivitäten zu melden.
Cyberkriminalität in der Luftfahrt: ein wachsendes Problem
Airlines und Reiseunternehmen zählen laut IBM „Cost of a Data Breach Report 2024“ mit zu den am stärksten betroffenen Branchen in Bezug auf den durchschnittlichen Schaden durch Datenlecks – mit durchschnittlich 4,92 Millionen US-Dollar pro Sicherheitsvorfall (Quelle: IBM, 2024).
Bereits 2018 war British Airways Ziel eines massiven Cyberangriffs mit mehr als 500.000 betroffenen Kunden. Im Mai 2023 traf es wiederholt das Vielfliegerprogramm Flying Blue – der aktuelle Vorfall ist somit der zweite innerhalb von zwei Jahren. Dasselbe belegt eine Untersuchung des SITA-Reports (Air Transport IT Insights 2024), nach welchem 75 % aller Airline-IT-Systeme 2024 mindestens ein sicherheitsrelevantes Ereignis verzeichneten.
Gründe für die Anfälligkeit sind vielfältig: veraltete IT-Infrastrukturen in Legacy-Systemen, unzureichende Sicherheitsstandards in Drittsystemen und hoher Druck zur Digitalisierung, ohne dass Sicherheit vollumfänglich mitgedacht wird.
Besonders problematisch im aktuellen Fall: Der Angriff erfolgte über Anmeldedaten, nicht über einen Servereinbruch. Das zeigt, wie gefährlich einfache Passwörter und Passwort-Wiederverwendung auch im Jahr 2025 noch sind.
Präventionsstrategien: Was Nutzer jetzt tun sollten
- Vermeiden Sie Passwort-Wiederverwendung: Nutzen Sie für jedes Online-Konto ein einzigartiges, komplexes Passwort. Passwortmanager wie Bitwarden oder 1Password helfen dabei.
- Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA): Wenn Flying Blue oder verbundene Systeme diese Option anbieten, sollten Sie diese aktivieren.
- Behalten Sie Ihre Kontoaktivitäten im Blick: Checken Sie regelmäßig Vielfliegerkonten, Reisebuchungen und Bonusmeilen – und melden Sie verdächtige Aktivitäten umgehend.
Zusätzlich empfiehlt es sich, auf aktuelle Sicherheitswarnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu achten und Tools wie Identity Protection-Services von Creditreform oder Kaspersky zu erwägen.
Datenschutzrechtliche Folgen und öffentliche Reaktionen
In Frankreich und den Niederlanden haben Datenschutzaufsichtsbehörden offiziell Untersuchungen eingeleitet. Gemäß der EU-Datenschutzgrundverordnung (DSGVO) drohen Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes, falls nachgewiesen wird, dass die Airline ihre Schutzpflichten verletzt hat – insbesondere im Bereich Zugangskontrolle und Benachrichtigungspflichten.
Verbraucherschutzorganisationen wie UFC-Que Choisir in Frankreich und der niederländische Consumentenbond fordern umfassende Transparenz von Air France KLM, insbesondere zur Frage, ob und wie lange Zugangsdaten unverschlüsselt gespeichert wurden. Erste Stimmen aus der Branche fordern zudem, Vielfliegersysteme nur noch mit verpflichtender Zwei-Faktor-Authentifizierung zu betreiben.
Sicherheitslehren für die Zukunft
Der Fall Air France KLM zeigt exemplarisch, wie kritisch eine stärkere Nutzeraufklärung in Kombination mit technischer Prävention ist. Account-basierte Angriffe wie Credential Stuffing lassen sich nicht durch Firewalls allein verhindern – vielmehr geht es um Sicherheitskultur, Passworthygiene und regelmäßige Systemüberprüfungen.
Organisationen, die mit personenbezogenen Daten arbeiten – gerade im Reise- und Finanzbereich – sollten Zero-Trust-Architekturen, Multifaktor-Authentifizierung und fortlaufendes Security-Monitoring als Standard etablieren. Die Reaktionszeit im Vorfall zeigt zwar, dass Prozesse greifen – doch die Prävention war offenbar unzureichend.
In einer global vernetzten Reisewelt, in der Datenströme zwischen Hotels, Airlines, Kreditkartenanbietern und Flugbuchungssystemen nahezu in Echtzeit geteilt werden, ist Datenschutz kein Kürthema mehr, sondern Pflicht.
Fazit: Mehr Sicherheit beginnt beim Nutzer
Nach den wiederholten Vorfällen rund um das Flying Blue-Programm sollte sich jeder Nutzer – ob Vielflieger oder Gelegenheitskunde – bewusst machen: Digitale Identitäten sind angreifbar. Doch mit den richtigen Maßnahmen lässt sich das Risiko deutlich reduzieren. Wer heute konsequent auf Passwortmanagement, Zwei-Faktor-Authentifizierung und wachsamkeit achtet, schützt sich effektiv vor Schaden.
Teilen Sie Ihre Erfahrungen und Gedanken zu diesem Fall in den Kommentaren: Wurden Sie benachrichtigt? Haben Sie weitere verdächtige Aktivitäten entdeckt? Gemeinsam können wir mehr Aufmerksamkeit für IT- und Datensicherheit schaffen – besonders in sensiblen Dienstleistungsbereichen wie der Luftfahrt.
