Elektronische Schließsysteme in Hotels und weltweit agierenden Hotelketten sind anfällig für Hacker. Die Schwachstelle betrifft mehr als eine Million Hotelzimmer in 166 Ländern. IT-Sicherheitsforscher der finnischen Firma F-Secure demonstrierten vergangene Woche Reportern von NDR, WDR und Süddeutscher Zeitung, wie der Einbruch ins Hotelzimmer gelingt. Die Türen werden dabei geöffnet, ohne Spuren zu hinterlassen - weder an der Tür selbst noch in den Datenbanken.
Die IT-Experten fanden eine schwere Sicherheitslücke in einem System von Assa Abloy. Die Forscher untersuchen die Schließsysteme des schwedischen Unternehmens seit 15 Jahren. Dementsprechend ist der Angriff komplex und für Dritte nur mit großem Aufwand nachzuahmen.
In einem breitangelegten Angriff sollen Hacker im Auftrag der russischen Regierung versucht haben, weltweit Router zu übernehmen. Mit diesem Vorwurf machen sich USA und Großbritannien allerdings politisch angreifbar.
In diesem Fall geht es um Hotelkarten, mit denen Gäste die Türen ihrer Zimmer öffnen. Eine einzige Karte reicht den Forschern zufolge aus. Die Angreifer können die Karte mit Hilfe eines technischen Geräts klonen, also die Daten kopieren, um anschließend alle Gästezimmer des jeweiligen Hotels zu betreten. Dafür wird ein eigener Generalschlüssel errechnet. Der Vorgang dauert nur ein paar Sekunden und ist entsprechend unauffällig. Außerdem gelang es den IT-Sicherheitsexperten über das Netzwerk der betroffenen Hotels sensible Kundendaten auszulesen.
Schwachstelle betrifft auch 30 000 Hotelzimmer in Deutschland
Nach Angaben von Christophe Sut, stellvertretender Geschäftsführer von Assa Abloy, sind weltweit mehr als eine Million Türen betroffen. In Deutschland handle es sich um etwa 30 000 Hotelzimmer. Sein Unternehmen hält das Risiko aber für gering. "Hotelgäste können sich weiterhin sicher in ihren Zimmern fühlen", sagt Sut.
Schließlich hätten die Forscher jahrelang gebraucht, um die Schwachstelle aufzuspüren. Außerdem werden sie keine technischen Details veröffentlichen, um Hotels und Besucher nicht unnötig zu gefährden. Kriminelle können die Arbeit der IT-Experten also nicht verwenden, um die Sicherheitslücke auszunutzen.
Die Forscher von F-Secure hatten Assa Abloy bereits im März 2017 informiert. Seit Februar diesen Jahres können die betroffenen Hotels ihre Schließsysteme aktualisieren. Jedoch muss das Update bei jeder einzelnen Tür eingespielt werden. Am Donnerstag werden die Sicherheitsexperten ihre Forschung auf einer Fachkonferenz in Miami präsentieren.
