Zum Inhalt

Trendthemen

Hotelzimmerschlüssel können gehackt werden

F-Secure Deutschland

26.04.18 3 Minuten Lesezeit

Wenn Reisende ein Hotelzimmer buchen, ist unter anderem Sicherheit einer der Faktoren, den sie für wichtig erachten. Unabhängig davon, ob das Hotelzimmer über einen Zimmerservice verfügt, mit einer Klimaanlage ausgestattet ist oder kostenloses WLAN bereit stellt, möchten wir für die Dauer unseres Aufenthalts uns natürlich auch in Sicherheit wiegen. Je seriöser die Hotelmarke und je besser die Lage ist, desto sicherer fühlen wir uns.

Die F-Secure Experten Tomi Tuominen and Timo Hirvonen haben kritische Konstruktionsfehler in den von Assa Abloy weit verbreitetem Hotelschloss-Softwaresystem Vision by Vingcard gefunden. Die Entdeckung betrifft Millionen von Schlössern in Zehntausenden von Hotels auf der ganzen Welt, einschließlich der Standorte von bekannten internationalen Hotelketten.

Wie kann ein Angreifer die Schwachstellen ausnutzen?

Zunächst muss sich ein Angreifer einen elektronischen Schlüsselkarte zur Zielanlage besorgen. Tatsächlich reicht jede Art von Schlüsselkarte, sei es für ein Hotelzimmer, eine Abstellkammer oder eine Garage. Zudem muss die Karte zur Zeit des Angriffs nicht einmal aktiviert sein: Selbst eine abgelaufene Karte eines Aufenthaltes von vor fünf Jahren reicht aus.

Der Angreifer liest die Karte aus und verwendet dazu eine Hardware mit der er weitere Karten für das Gebäude errechnen lassen kann. Diese Karten können mit jedem Schloss in den Räumlichkeiten getestet werden. Innerhalb weniger Minuten ist das Lesegerät dann in der Lage, einen Generalschlüssel für das Gebäude zu generieren. Das Gerät selbst kann anschließend anstelle einer Schlüsselkarte verwendet werden, um jedes beliebige Schloss im Gebäude zu öffnen oder alternativ eine vorhandene Schlüsselkarte zu überschreiben, der dann den neu erstellten Generalschlüssel enthält.

Welche Hotels sind betroffen?

Alle Hotels, die Assa Abloys weit verbreitetes Vision-Softwaresystem verwenden, sind von dem Angriff betroffen. Die Vision-Software wird von unabhängigen Hotels und örtlichen Hotelketten sowie einigen bekannten, internationalen Unternehmen verwendet.

Könnte die Schwachstelle von jedem ausgenutzt werden?

Die Komplexität der Funktionsweise der Schließanlagen, der Software und der Schlüssel ist sehr hoch. Ein elektronisches Zutrittskontrollsystem zu bauen und zu hacken ist sehr schwierig, weil es dabei viele Facetten zu beachten gibt.

Assa Abloy ist ein renommierter Hersteller von Schlössern und abgesehen von den anfangs scheinbar harmlosen Sicherheitslücken in der Software, sind die Produkte insgesamt sehr gut konzipiert.

Aber ehrlich gesagt, gibt es einfachere Wege in ein Hotelzimmer einzudringen.

Was bedeutet das für mich?

Um die Sicherheit der Hotelgäste sowie der Hotels selbst zu gefährden, veröffentlicht F-Secure keine vollständigen Angriffsdetails. Auch Angriffstools, die dazu nötig sind die Schwachstelle auszunutzen, werden nicht zur Verfügung gestellt. Hinzu kommt, dass Kriminelle, die in Hotelzimmer einbrechen wollen, indem sie sich auf diese Art und Weise in das Schließsystem hacken, tiefgreifendes technisches Wissen und erheblichen Zeitaufwand mitbringen müssen, wie unsere eigene Arbeit gezeigt hat.

Assa Abloy hat die Fehler in der Vision-Software bereits behoben und entsprechende Softwareupdates veröffentlicht. Die vom Angriff betroffenen Hotels sollten diese Sicherheitsupdates so schnell wie möglich einspielen. Die Hotels, die die Updates in ihre Systeme eingespielt haben, sind nicht mehr für den Angriff anfällig.

Kurz gesagt: Keine Panik! Genießen Sie Ihren Hotelaufenthalt, egal, in welchem Hotel Sie sich befinden.

Wenn Sie darüber hinaus noch unsere grundlegenden Sicherheitshinweise befolgen, wie beispielsweise in unserem OpSec Comic, dann sind Sie immer auf der richtigen Seite:

  • Lassen Sie niemals Wertsachen und arbeitsrelevante Dokumente unbeaufsichtigt in Ihrem Hotelzimmer zurück
  • Wenn dann schließen Sie diese lieber in einem Hotelsafe ein, auch wenn wir davon abraten.
  • Nutzen Sie Türketten sofern vorhanden
  • Gehen Sie sorgsam mit Ihrer Hotelzimmerkarte um
  • Verwenden Sie ein VPN, wenn Sie das WLAN des Hotels nutzen

Weitere Informationen zu den Untersuchungen von Tomi Tuominen und Timo Hirvonen finden Sie unter: https://www.f-secure.com/de_DE/web/business_de/electronic-lock-systems-are-vulnerable

F-Secure Deutschland

26.04.18 3 Minuten Lesezeit

Hervorgehobener Artikel

Zugehörige Beiträge

Newsletter modal

Vielen Dank für Ihr Interesse am F-Secure Newsletter. Sie erhalten in Kürze eine E-Mail zur Bestätigung des Abonnements. Falls Sie keine Nachricht bekommen haben sollten, überprüfen Sie bitte auch Ihren Spam/Junk Ordner.

Gated Content modal

Klicken Sie jetzt bitte auf die Schaltfläche unten um auf das angeforderte Dokument zuzugreifen – Vielen Dank für Ihr Interesse.