Mit einer elektronischen Zimmerkarte wird die Tür eines Hotels geöffnet | Bildquelle: picture alliance / dpa Themendie

Schlüssel manipulierbar Sicherheitslücke in Hotels entdeckt

Stand: 25.04.2018 15:00 Uhr

Kriminelle könnten elektronische Türschlösser von Hotelzimmern knacken - zu diesem Ergebnis kommen Recherchen von WDR, NDR und SZ. Möglich wäre dies bei mehr als einer Million Türen weltweit, gut 30.000 davon in Deutschland.

Von Anja Bröker, WDR, und Reiko Pinkert, NDR

Von Finnlands Hauptstadt Helsinki aus forschten die IT-Sicherheitsexperten der Firma F-Secure 15 Jahre lang zur Sicherheit von Hotels. Sie fanden eine folgenschwere Sicherheitslücke in einem als besonders sicher geltenden Schließsystem, das in 166 Ländern verwendet wird. Dieses Schließsystem wird von dem schwedischen Unternehmen Assa Abloy vertrieben, eine Firma die sich in Werbevideos als "global leader" der Branche bezeichnet. Der firmeneigenen Website kann man entnehmen, dass das Unternehmen weltweit in 42.000 Hotels mehr als sieben Millionen Türen sichert.

Im konkreten Fall geht es um die Hotelkarten, mit denen Gäste die Türen ihrer Zimmer öffnen. In diesen Karten befinden sich sogenannte RFID-Chips, die von den Sicherheitsexperten ausgewertet und analysiert wurden.

Hotelschlösser durch Sicherheitslücke gefährdet
nachtmagazin 00:15 Uhr, 26.04.2018, Anja Bröker, WDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Karten lassen sich manipulieren

Eine einzige Hotelkarte in die Hände zu bekommen, reichte den IT-Technikern aus, um potenziell alle Gästezimmer eines ganzen Hotels zu öffnen. Nur ein paar Sekunden brauchen sie, um diese Karte mit einem Gerät, kaum größer als eine Zigarettenschachtel, auszulesen.

Hierbei wird ein Generalschlüssel errechnet, der dann alle anderen Türen öffnen kann. Fahrstühle, mit denen man die einzelnen Etagen lediglich mit seiner Hotelkarte ansteuern kann, lassen sich so ebenfalls täuschen. Darüber hinaus gelang es den IT-Experten, über das Netzwerk der betroffenen Hotels selbst einige Kundendaten auszulesen.

Die IT-Sicherheitsexperten informierten die Herstellerfirma Assa Abloy im März 2017. Fast ein Jahr später, im Februar dieses Jahres, veröffentlichte das Unternehmen ein Redesign, eine Art Update des Systems, auf seiner Homepage. Betroffene Hotels können sich das herunterladen. Denn um sich vor der Sicherheitslücke und potenziellen Einbrechern zu schützen, muss das Schließsystem aktualisiert und bei jeder einzelnen Tür neu eingespielt werden.

Wie viele Hotels seitdem ihre Systeme mit dem Update auf den aktuellen Stand gebracht haben, ist ungewiss. Assa Abloy konnte auf Nachfrage keine Angaben dazu machen, schätzt aber, dass weltweit noch bis zu sechs Prozent aller Hotelzimmer mit dem alten System arbeiten.

Mit einer elektronischen Zimmerkarte wird die Tür eines Hotels geöffnet | Bildquelle: picture alliance / dpa Themendie
galerie

Sicherheitsexperten warnen: Weltweit könnten in Hotels elektronische Türschlösser geknackt werden.

Betroffenes Unternehmen: Hotelgäste weiterhin sicher

Christophe Sut, Vizechef von Assa Abloy, antwortete auf Anfrage von WDR, NDR und SZ: "Wir gehen nicht davon aus, dass es sich um eine riskante Sicherheitslücke handelt." Schließlich hätten die Forscher jahrelang mehr als 1000 Stunden daran gearbeitet, außerdem ließe sich der Angriff nicht so einfach nachbauen. "Hotelgäste können sich weiterhin sicher in ihren Zimmern fühlen." Nach seinen Angaben sind weltweit knapp mehr als eine Million Türen betroffen, in Deutschland wären das etwa 30.000 Hotelzimmer.

Thorsten Schröder vom Chaos Computerclub hält die Entdeckung der IT-Techniker dagegen für weitaus gefährlicher: "Es ist nicht sicher, weil der Hersteller darauf setzt, dass bestimmte Teile, bestimmte Informationen nicht ausgelesen werden können von unberechtigten Leuten. Dieser Fehler zieht sich durch die gesamte Branche der Keycard-Hersteller."

Sicherheitslücke bei elektronischen Schließsystemen in zahlreichen Hotels
tagesschau24 15:00, 25.04.2018, Anja Bröker, WDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

"Im schlimmsten Fall koordinierter Raubüberfall"

Tomi Hirvonen, einer der Forscher der IT-Sicherheitsfirma F-Secure, sagt: "Im schlimmsten Fall könnte eine Gruppe Krimineller einen koordinierten Raubüberfall auf alle größeren Hotels, die diese Sicherheitslücke haben, gleichzeitig starten." Aber auch er betont, dass der Angriff sehr komplex sei: "Deshalb sehe ich das nicht als unmittelbare Gefahr für reguläre Hotelgäste", so Horvinen.

Am Donnerstag werden er und seine Kollegen ihre Forschungsergebnisse auf einer renommierten Fachkonferenz in Miami präsentieren. Die Forscher wollen jedoch keine technisch tiefer gehenden Details veröffentlichen. Schließlich wolle man potenziellen Einbrechern nicht die Möglichkeit geben, den Angriff kostengünstig nachzubauen.

Über dieses Thema berichtete tagesschau24 am 25. April 2018 um 15:00 Uhr.

Darstellung: