Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Sicherheit Hacker knacken Hoteltüren
haben nicht mehr nur Computer im Visier. Auch elektronische Hotel-Türschlösser sind nicht mehr sicher. Die Schließsysteme eines großen Herstellers knacken die Technik-Experten binnen Sekunden. Weltweit sind über vier Millionen Hoteltüren mit dem System ausgestattet – nun versucht der Hersteller aus dem Problem Kapital zu schlagen.
Der Hack gelingt mit einem kleinen Ansteckgerät, das in eine Anschlussbuchse auf der Unterseite der Türschlösser gesteckt wird. Normalerweise dienen diese Buchsen zur Stromversorgung und zur Programmierung der Türschlösser. Doch mit dem kleinen Apparat können Hacker die Öffnungscodes der Türschlösser auslesen. Der ausgelesene Code wird dann wieder an das Schließsystem zurück geschickt und die Tür ist offen. Der Vorgang dauert nur wenige Sekunden. Diese Methode hat ein Softwareentwickler namens Cody Brocious auf der Hacker-Konferenz Black Hat vorgeführt. Die für das Gerät benötigten Bauteile kosten weniger als 40 Euro.
Hersteller bietet kostenpflichtiges Upgrade an
Brocious erklärte in einem Interview mit dem US-Wirtschaftsmagazin Forbes: "Ein Praktikant der NASA könnte die Schwachstelle in fünf Minuten erkennen." Onity, der Hersteller des Schließsystems, bietet den betroffenen Hoteliers zwei Lösungsvarianten an. Zum einen einen Deckel, der den Zugang zu der Programmierbuchse verhindern soll. Diese einfache Lösung wäre kostenlos. Ein Upgrade der fehlerhaften Software – dafür muss die Platine in den Schlössern getauscht werden – will Onity nur gegen Geld anbieten. Weltweit sind über vier Millionen Türschlösser betroffen.
Entdecker der Lücke arbeitete bei Konkurrenz
Cody Brocious arbeitete als Cheftechniker bei einer Firma namens Unified Plattform Management. Dieses Unternehmen versuchte, die Türschlösser von Onity bis ins Detail zu analysieren, um diese dann nachzubauen und günstiger anzubieten. Doch im Jahr 2011 verkaufte das Startup-Unternehmen die Ergebnisse dieses Prozesses an eine Institution, bei der auch Polizei und Geheimdienste ihre Mitarbeiter ausbilden lassen. Deshalb machte Brocious das Ganze öffentlich, denn er vermutet, dass Behörden und Geheimdienste mit dieser Methode schon längst nach Belieben Zugriff auf Hotellzimmer haben könnten.