Timo Hirvonen läuft den Hotelflur entlang, in seiner Hand eine Schlüsselkarte. Sie öffnet ausschließlich Zimmer 637 in diesem Hotel in Helsinki. Doch Hirvonen könnte die Karte an jedes Schloss halten, quasi im Vorbeigehen, die Türen wären binnen Sekunden entriegelt. Das LED-Lämpchen würde rot flackern, die Tür würde laut aufknacken, schließlich leuchtete das Lämpchen grün. Hirvonen tut es nicht, weil Menschen hinter diesen Türen duschen, schlafen, ihren Schmuck aufbewahren - und er ein Hacker ist, der auf Probleme hinweisen will, anstatt sie für kriminelle Zwecke zu nutzen.
Hirvonen arbeitet für die finnische IT-Sicherheitsfirma F-Secure. Mit seinem Kollegen Tomi Tuominen - firmenintern trägt das Duo den Spitznamen "TNT" - hat er einen Weg gefunden, mit dem sich Millionen Türen in Zehntausenden Hotels weltweit öffnen lassen. Es ist ein Einbruch der Meisterklasse, den die zwei Hacker Reportern von Süddeutscher Zeitung, NDR und WDR demonstrieren. Am Donnerstag werden die beiden ihre Erkenntnisse auf einer Fachkonferenz in Miami präsentieren. Hirvonen wird zu einem Geist, er war nie wirklich da: Er spaziert zwar in die Hotelzimmer herein, als ungebetener Gast, doch weder an der Tür noch in irgendeiner Datenbank hinterlässt er Spuren.
Wenn demnächst die Hochsaison beginnt und Touristen weltweit in Hotels absteigen, vertrauen sie auch darauf, dass Schmuck, Kleidung oder Laptop sicher bleiben. Die Recherchen der zwei IT-Sicherheitsexperten zeigen, wie fragil digitale Systeme sein können.
Das Lesegerät ist kaum größer als eine Zigarettenschachtel und für knapp 300 Euro zu kaufen
Hotelkarten öffnen Türen auf unterschiedliche Weise, zum Beispiel über Magnetstreifen - oder mithilfe von Chips. Die Forscher von F-Secure haben Systeme analysiert, bei denen Daten über RFID gesendet werden. Die Abkürzung steht für Radio-Frequency Identification, übersetzt bedeutet es Funkerkennung. In den Karten verbaute Chips können sich kontaktlos austauschen und feststellen, ob diese Karte dazu berechtigt ist, die Tür zu öffnen.
Um den Angriff auszuführen, brauchen die Hacker eine Hotelkarte, und die auch nur für wenige Sekunden. Sie haben ein Gerät dabei, Proxmark heißt es, kaum größer als eine Zigarettenschachtel, und für knapp 300 Euro zu kaufen. An den Ecken lugen Drähte heraus, das Gerät kann Informationen auf Karten auslesen und klonen. Wenn Horvinen die echte Karte auflegt, wird sie aber nicht nur kopiert, sondern es wird ein Generalschlüssel errechnet. Der öffnet dann alle Türen in diesem Hotel. Um das zu beweisen, stellt sich Horvinen in einen Aufzug und drückt auf den Knöpfen herum. Sie leuchten nicht auf, nichts tut sich. Erst als er seine kopierte Karte mit Generalschlüssel an das Lesegerät hält, kann er den Aufzug bedienen. "Wer den Angriff auf die Sicherheitslücke bei diesen Zimmerkarten durchführen will, muss die Struktur des Karten-Schließsystems verstehen", sagt Hirvonen.
Dass das nicht so einfach ist, zeigt sich vor allem daran, dass die Experten von F-Secure seit 15 Jahren, mit Unterbrechungen, an diesem Angriff gearbeitet haben. 2003 waren die beiden Finnen in Berlin auf einer IT-Sicherheitskonferenz. Einem ihrer Freunde wurde der Laptop geklaut. Das Hotelmanagement nahm die Hacker nicht ernst; es gab weder an der Tür noch im System Anzeichen dafür, dass die Tür von Unbefugten geöffnet worden war. Die Hacker ließen sich nicht beirren. Sie brachen seither digitale Schlösser von unterschiedlichen Anbietern auf.
Doch das System des Herstellers Assa Abloy, das in dem Berliner Hotel eingesetzt worden war, erwies sich als technisch clever aufgebaut. In Werbevideos bezeichnet sich die Firma als "global leader" bei Türschließsystemen. Im Jahr 2013 landete Assa Abloy auf Platz 78 der Forbes-Liste für innovativste Unternehmen. Einen Platz vor Apple, wie man damals stolz mitteilte. Auf der Firmenwebseite gibt das Unternehmen an, weltweit 42 000 Hotels abzusichern.
Auf Nachfragen hin wiegelt der stellvertretende Geschäftsführer der Firma, Christophe Sut, ab: "Wir gehen nicht davon aus, dass es sich um eine riskante Sicherheitslücke handelt." Die Experten von F-Secure hätten jahrelang und mehr als 1000 Stunden an dem Thema geforscht, und sie planten nicht, technische Details zu veröffentlichen. Für Außenstehende gebe es also keinen Weg, den Angriff kostengünstig nachzubauen. "Hotelgäste können sich weiterhin sicher in ihren Zimmern fühlen."
In Deutschland könnten bis zu 30 000 Hotelzimmer betroffen sein
Betroffen sei nur ein kleiner Teil der von Assa Abloy abgesicherten Hotels. Die Firma habe mehrere Systeme im Angebot, F-Secure habe das ältere Modell angegriffen. "Im globalen Markt sichern wir 17 Millionen Türen. Wir gehen davon aus, dass drei bis sechs Prozent dieser Türen das betroffene System, Vision by Vingcard, einsetzen." Das entspricht bis zu einer Million Türen weltweit. In Deutschland gibt es nach Zahlen der Hotelgesellschaft Dehoga eine Million Hoteltüren. Von der Sicherheitslücke wären demnach bis zu 30 000 Türen betroffen. Auch die Experten von F-Secure betonen, dass sie lange getüftelt hätten. Ihr Angriff auf das Schlüsselsystem sei schon sehr komplex. Da gebe es leichtere Methoden, in ein Hotelzimmer zu gelangen. Hirvonen holt seinen Laptop heraus und zeigt ein Video, auf dem zu sehen ist, wie ein Mann einen handelsüblichen Draht nimmt und ihn ein wenig verbiegt, sodass eine Art Griff entsteht. Den Draht schiebt er dann unter der Hoteltür durch und zieht den Türgriff nach unten. Wer Türen altmodisch öffnen will, braucht weder Schlüssel noch Computer, zwei Euro für den Draht reichen.
Aber es ist eine Sache, sekundenlang auf dem Boden herumzukriechen und dabei womöglich entdeckt zu werden, und eine komplett andere, Türen im Vorbeigehen zu öffnen, sagt Hirvonens Kollege Tuominen. "Im schlimmsten Fall könnte eine Gruppe Krimineller einen koordinierten Raubüberfall auf alle größeren Hotels mit dieser Sicherheitslücke gleichzeitig starten." Ob diese Möglichkeit, das Sicherheitssystem zu hacken, jemals von anderen Personen entdeckt wurde, ist unbekannt.
Die Sicherheitsforscher informierten Assa Abloy im März 2017 über die Sicherheitslücke. Es dauerte fast ein Jahr, die Software auf einen sicheren Stand zu bringen. Seit Februar gibt es ein Update, das sich die betroffenen Hotels herunterladen können. Wie viele in den vergangenen Wochen ein Update aufgespielt haben, ist unklar. Klar ist nur: Es ist aufwendig. Das Update muss an jeder Tür einzeln aufgespielt werden.
