Mitten in der Debatte um sogenannte Körperscanner hat das ARD-Magazin Kontraste eine Sicherheitslücke am Hamburger Flughafen aufgedeckt. Über Datendiebstahl per Funk könnten sich Terroristen Zugang auf das Flughafengelände verschaffen, berichtet das Magazin in einem Beitrag.
Dabei machten sich Hacker des Chaos Computer Club das Prinzip zunutze, dass der Zugang zum Sicherheitsbereich des Hamburger Flughafens über die automatische Identifikation von Mitarbeiter-Chipkarten gewährt wird. Ein Lesegerät sendet dabei elektromagnetische Wellen, aktiviert dadurch einen Funkchip auf der Mitarbeiterkarte und öffnet die Tür.
Die Hacker bauten nun ein falsches Lesegerät, mit dem sie die Chipkarten auslesen konnten - zum Beispiel, indem sie Mitarbeiter anrempelten, um Funkkontakt zu deren Ausweis herzustellen. Dieses Lesegerät konnte nun bei der Sicherheitskontrolle als falscher Mitarbeiterausweis verwendet werden. CCC-Mitglied Karsten Nohl sagte im Kontraste-Beitrag: "Das System auszuhebeln ist einfach. Wir waren schlicht schockiert, überhaupt keine Hürden zu finden, die wir hätten überwinden müssen."
Unverschlüsselte Speicherung
Wie der IT-Nachrichtendienst heise berichtet, hatten die CCC-Hacker bereits auf dem Chaos Communication Congress im Dezember 2009 demonstriert, wie Funkchipkarten der "Prime"-Produktreihe des Schweizer Herstellers Legic zu knacken seien. Die Arbeit erleichterte ihnen dabei nach ihrer Aussage die Tatsache, dass die Daten auf dem Chipsystem der "Prime"-Produktreihe unverschlüsselt gespeichert würden.
Eine Sprecherin des Hamburger Flughafens wies den Bericht bereits vor seiner Ausstrahlung zurück. Hacker des Chaos Computer Clubs (CCC) hätten zwar eine Chipkarte auf Mitarbeiter-Ausweisen geknackt, sagte sie. Die Karte ermögliche aber nicht automatisch Zugang zu den Sicherheitsbereichen. Der Flughafen habe das Problem zudem bereits gelöst: "Aber wie wir es gelöst haben, sagen wir natürlich nicht."
Der Schweizer Hersteller der Speicherkarten habe den Flughafen im vergangenen Jahr über den Hacker-Angriff informiert. "Es ist bei uns nichts passiert", sagte die Sprecherin. Sie betonte weiterhin, die Mitarbeiter müssten erst ihren Ausweis mit der Chipkarte zeigen und dann durch die Personenkontrolle gehen. Im Magazinbeitrag erklärt ein anonymer Mitarbeiter jedoch, dass es bei ihm ausreiche, die Chipkarte an das Lesegerät zu halten, um sogar bis zum Rollfeld zu gelangen.
Mehrere Flughäfen nutzen das System
Das Zugangssystem wird "Kontraste" zufolge auf den Flughäfen in Hamburg, Berlin-Tegel, Stuttgart, Dresden und Hannover eingesetzt.
Ein Sprecher des Bundesinnenministeriums sagte dem Magazin: "Wir haben gegenüber den Flughafenbetreibern eine Überprüfung der Sicherheitskontrollen angeregt."
Der Vorsitzende der Deutschen Polizeigewerkschaft, Rainer Wendt, forderte, das geknackte Sicherheitssystem müsse unverzüglich ausgetauscht und auf den neuesten technischen Stand gebracht werden: "Der Sicherheitsbetrieb sollte sofort unter die strenge Aufsicht der Bundespolizei gestellt werden, damit die Flughafenbetreiber nicht länger schlampen können, wie sie wollen."