Die Türschlösser von einer Million Hotelzimmern weltweit können von Kriminellen geknackt werden. Das hat die finnische IT-Sicherheitsfirma F-Secure herausgefunden. In Deutschland sind gut 30.000 solcher Keycard-Zimmer betroffen.
Es geht dabei um die Hotelkarten, mit denen Gäste die Türen ihrer Zimmer öffnen. In den Karten befinden sich sogenannte RFID („Radio Frequency Identification)-Chips, die sich offenbar hacken ließen. Schlimmer noch: Um alle Gästezimmer eines Hotels zu öffnen, reichte den IT-Leuten eine einzige Hotelkarte. Daraus errechneten sie einen Generalschlüssel, der dann alle anderen Türen öffnete. Um die erste Karte zu bekommen, reichte es, sich für eine Nacht in dem Hotel einzumieten. Der Generalschlüssel ist ein Metallgerät von der Größe einer Zigarettenschachtel.
Das betroffene Schließsystem wird von dem schwedischen Unternehmen Assa Abloy vertrieben. Die Firma bezeichnet sich selbst als „Global Leader“ der Branche. Der Firmenwebsite lässt sich entnehmen, dass das Unternehmen weltweit in 42.000 Hotels mehr als sieben Millionen Türen sichert. Das betroffene Schließsystem wird in 166 Ländern weltweit eingesetzt.
F-Secure zeigte seine Erkenntnisse in der vergangenen Woche auf einer internationalen Fachkonferenz in Miami / USA. Der schwedische Schließsystem-Hersteller Assa Abloy war von F-Secure bereits im vergangenen Jahr informiert worden und hat mittlerweile Software-Updates veröffentlicht, die das Problem beheben sollen.
Zugleich spielte die Türschloss-Spezialfirma die Risiken des Hotelschlüsselhacks herunter. Die Software sei 20 Jahre alt, und die beiden Mitarbeiter von F-Secure, die sie aushebelten, hätten dazu mehr als zehn Jahre gebraucht, sagte eine Sprecherin der Firma der Süddeutschen Zeitung. Das geknackte Schlosssystem mache nur noch einen geringen Anteil der installierten Schließanlagen aus und sei weitgehend durch neue Technologie verdrängt.
Unabhängige Sicherheitsexperten sehen die Sache kritischer. Assa Abloy hat zwar im Februar dieses Jahres auf seiner Webseite ein Update für das betroffene Schließsystem veröffentlicht. Die müssen sich betroffene Hotels jedoch selbst herunterladen. Und um die Sicherheitslücke zu schließen, muss anschließend nicht nur das zentrale Schließsystem aktualisiert werden, sondern das Update auch bei jeder einzelnen Tür separat eingespielt werden.
Dass jeder Hotelier das für jedes Zimmer erledigt hat, scheint unwahrscheinlich. Wie viele Hotels das Update heruntergeladen und ihre Systeme auf den aktuellen Stand gebracht haben, konnte auch Assa Abloy auf Nachfrage der dpa nicht sagen. Assa Abloy schätzt, dass weltweit noch rund sechs Prozent aller Hotelzimmer mit dem alten System arbeiten.
(hwr)