Seien wir mal ehrlich. Wie oft haben wir schon Wertsachen in einem Hotelzimmer zurückgelassen, in der Annahme, dass die Gegenstände dort sicher sind?
Viele Möglichkeiten gib es ja auch nicht. Das MacBook Air passt kaum in den zierlichen Hotelsafe – man möchte es jedoch nicht unbedingt mit auf Sightseeing Tour durch Rom nehmen. Außerdem hat man gerade aus diesen Gründen nicht das günstigste Hotel gebucht und fühlt sich dadurch etwas sicherer.
Falsch gedacht. Zumindest in den letzten Jahren waren Hotels, in denen moderne und vermeintlich sichere Key-Card-Systeme genutzt wurden, von einer schwerwiegenden Sicherheitslücke betroffen.
Finnische Hacker haben vor wenigen Wochen vorgestellt, wie sie völlig unbemerkt in Hotelzimmer eindringen konnten. Damit befinden sie sich an der vordersten Front des sogenannten „Lockpicking“ – dem Öffnen von Schließsystemen ohne passenden Schlüssel.
Seit jeher versuchen Menschen, Verschlossenes zu öffnen und Verschlüsselungen zu knacken. Ob nun aus konkretem Interesse am Inhalt oder rein zum Spaß.
Bereits im 18. Jahrhundert schrieb der Erfinder eines neuen Schließsystems selbstsicher einen Preis im Gegenwert von etwa 25.000 € für denjenigen aus, der sein Schloss knacken konnte. Über 70 Jahre blieb diese Herausforderung ungelöst.
Natürlich waren, neben klassischen Einbrechern und Hobby-Lockpickern, immer auch Geheimdienste daran interessiert, unbemerkt alle Arten von Schlössern zu öffnen.
Im Deutschen Spionagemuseum werden zu diesem Themenkomplex einige Spezialwerkzeuge der Staatssicherheit der DDR ausgestellt, die für ihre „konspirative Durchsuchung“ genannte Maßnahme unbemerkt in Wohnungen eindrang.
Für die Hobby-Lockpicker finden bis heute tatsächlich Meisterschaften statt: in Deutschland von 1997 bis 2005 sogar auf dem Chaos Communication Congress des Chaos Computer Club.Das Öffnen von analogen Schlössern und das Hacking in der digitalen Welt sind also gar nicht weit voneinander entfernt.
Die finnischen IT-Sicherheitsforscher der Firma F-Secure führten diese beiden Ansätze nun zusammen. Sie untersuchten über einen Zeitraum von 15 Jahren Schließsysteme der weltweit agierenden Firma Assa Abloy. Sie fanden eine massive Sicherheitslücke, die ihnen unbemerkt Zugang zu jedem Hotelzimmer gestattet hätte, die mit dem KeyCard-System dieser Firma gesichert waren.
Was sie dazu brauchten? Nur eine KeyCard des Hotels und das von ihnen entwickelte Gerät zum Finden und Programmieren des Master Key. Dafür reicht selbst eine mehrere Jahre alte, längst abgelaufene KeyCard.
Die benötigte Hardware ist für wenige hundert Euro für jeden online verfügbar. Forschern zeigen in einem YouTube-Video, wie es geht. Das Kunststück und das gut gehütete Geheimnis ist die von den Forschern entwickelte Software.
Statt ihr Wissen nun zu analogen Raubzügen durch Hotels zu nutzen, kontaktierten die Finnen die Herstellerfirma des Schließsystems.
In gemeinsamer Arbeit wurde die Sicherheitslücke behoben, so dass von ihr heute keine Gefahr mehr ausgeht.
Dass jemand vor den beiden Hackern die Sicherheitslücke gefunden und ausgenutzt hat, erscheint auf Grund der viele Jahre andauernden Forschung unwahrscheinlich – ist aber nicht restlos auszuschließen.
Bilder
Lockpicking-Instrumnete: CC-BY-SA 3.0 (Name the Photographer: »© 2017 by GeoTrinity, Wikimedia Commons«)
Zeichnung: CC-BY-SA 3.0 (»© 2017 by Theresa knott, Wikimedia Commons«)
Autor: Christoph Ewering
Veröffentlicht am: 15.05.2018