Tech

Hacker erklären, wie leicht man Hoteltüren knacken kann – und wie ihr euch schützt

Eine Hoteltür, die geknackt werden könnte

Mit der Plastikkarte die Hoteltür öffnen, aufs Bett fallen, Augen zu? Seit finnische Sicherheitsforscher die Schlüsselkarten von Millionen Hoteltüren geknackt haben, bleibt beim Einschlafen wohl ein mulmiges Gefühl.

In den meisten Hotels gibt es keine normalen Schlüssel mehr. Wer sein Zimmer öffnen will, hält meist eine Plastikkarte ans Schloss oder zieht einen Magnetstreifen durch einen Schlitz. Zwei finnische Sicherheitsforscher haben im April präsentiert, dass sie ein weit verbreitetes Schlüsselkartensystem geknackt haben. Sie konnten aus jeder beliebigen Karte einen Generalschlüssel erzeugen und alle Türen standen ihnen offen – ohne Spuren zu hinterlassen.

Videos by VICE

Dabei haben die Forscher sogar herausgefunden, wie sie komplette Hoteldatenbanken auslesen können und wie sie sich als beliebige Person in einem Hotel ausgeben, etwa als Gast oder Zimmerservice. Zehntausende Hotels und Kreuzfahrtschiffe sind davon betroffen, Millionen Türen sind unsicher. Mittlerweile hat der Hersteller mit Hilfe der finnischen Hacker die Sicherheitslücke geschlossen, aber die Hotels müssen die Türen selbst noch nach und nach updaten.

Tomi Tuominen und sein Kollege Timo Hirvonen haben fast 15 Jahre an diesem Hack gearbeitet. Im Gespräch mit Motherboard erzählen die beiden, was sie brauchen, um alle Türen eines Hotels auf einmal zu knacken – und warum Hotelgäste immer ein Handtuch dabei haben sollten, wenn sie sich in ihrem Zimmer sicher fühlen wollen.

Motherboard: Warum versucht ihr seit 15 Jahren, Hoteltüren zu knacken?

Tomi Tuominen: Im Jahr 2003 wurde der Laptop unseres Freundes aus einem Hotelzimmer gestohlen. Damals waren wir auf der legendären Hackerkonferenz ph-Neutral in Berlin. Wir bemerkten den Diebstahl erst, als wir wieder in unser Hotelzimmer kamen. Das Hotelpersonal hat uns nicht ernst genommen, als wir sie über den Einbruch informiert haben – vielleicht weil wir wie ein Haufen Hippies aussahen.

.Wir waren in einem schicken Hotel am Alexanderplatz. Die Schlösser waren sogenannte Offline-Schlösser, sie sind nicht miteinander verbunden. Um herauszufinden, was los war, musste man zu jedem Schloss einzeln gehen und die Logs auslesen. Die Leute vom Hotel haben das untersucht – zumindest haben sie das behauptet. Es habe keine Anzeichen für einen Einbruch gegeben und keine Auffälligkeiten im Log-System. Wir haben uns also gefragt, wie jemand einen Raum betreten kann, ohne Spuren zu hinterlassen.

Ist dieses alte Schließsystem von 2003 überhaupt noch im Einsatz?

Tomi Tuominen: Das Berliner Hotel hatte VingCard Vision genutzt, also genau das Schließsystem, das wir jetzt aktuell analysiert haben. Wenn du den Hersteller Assa Abloy fragst, werden sie sagen, das sei ein altes System. Aber es wird immer noch aktualisiert. Assa Abloy hat zwei Produktlinien, die in mehr als 42.000 Gebäuden in über 166 Ländern verbaut sind. Vision ist das die am weitesten verbreitete Produkt. Es geht also um Millionen von Türen.

Das System damals hat Karten mit Magnetstreifen benutzt, irgendwann gab es dann auch RFID-Token. Unser Hack kann beides knacken.

Das heißt, ihr könnt aus jedem beliebigen Hotelschlüssel einen Generalschlüssel erstellen?

Tomi Tuominen: Wir können alles machen.

Timo Hirvonen: Praktisch ausprobiert haben wir das bisher nur für RFID-Token. Wir haben noch nicht das Angriffswerkzeug, um Magnetstreifenkarten zu klonen. Aber das Prinzip ist das gleiche.

“Für den Hack reicht es, mit einem Hotelgast kurz im Fahrstuhl zu fahren”

Was braucht ihr, um einen Generalschlüssel zu erzeugen?

Timo Hirvonen: Als Erstes braucht man irgendeine Schlüsselkarte des Hotels, egal welche. Sie kann noch gültig sein oder abgelaufen – jede funktioniert. Dann braucht man nur ein Gerät zum Auslesen. Es reicht schon, mit einem Hotelgast kurz im Fahrstuhl zu fahren, der eine Karte in der Hosentasche hat. Wir haben zwar ein spezielles Gerät benutzt, aber es genügt schon ein Smartphone mit NFC-Funktion, mit der man kontaktlos Daten austauschen kann.

Sobald wir die Schlüsselkarte ausgelesen haben, starten wir das Bruteforcing, das heißt wir lassen den Computer alle mögliche Kombinationen durchprobieren, bis wir den Generalschlüssel finden. Dafür muss man ein spezielles Gerät an ein Schloss halten, das verschiedene Schlüssel simuliert. Normalerweise dauert das weniger als eine Minute.

Wo genau ist der Generalschlüssel denn versteckt?

Timo Hirvonen: Das wollen wir aktuell nicht verraten, weil noch nicht alle Schlösser mit einem Sicherheitsupdate ausgestattet sind.

Könnte eigentlich jeder den Hack nachmachen?

Timo Hirvonen: Bei diesem Hack geht es nicht darum, schlau zu sein. Du musst hartnäckig sein und die Systeme genau kennen. Vor allem seit 2015 haben wir intensiv an dem Projekt gearbeitet und mindestens zehn bis fünfzehn Stunden pro Woche daran gearbeitet. Trotzdem hat es nochmal zwei Jahre gedauert, bis wir es endlich geschafft haben.

Aber die Zeit ist nicht das Einzige, was wir brauchten: Eine der Schwierigkeiten war, dass man die Software haben muss, um das zu schaffen. Man muss ein eine Art Laborhotel nachbauen, um das zu untersuchen, und du brauchst jede Menge Schlüsselkarten.

Wir haben zehn Jahre lang Schlüsselkarten gesammelt, mittlerweile haben wir über Tausend Stück. Und wenn du das dann aus dem Labor auf echte Hotels übertragen willst, musst du das an einem richtigen Hotel testen, denn jedes Gebäude ist anders konfiguriert. Im Jahr 2017 haben wir das zum ersten Mal dem Hersteller demonstriert und ab dann mit AssaAbloy zusammengearbeitet.

Bei eurem Hack ist euch noch etwas aufgefallen: Ihr konntet die persönlichen Daten der Hotelgäste auslesen.

Tomi Tuominen: Ja, das ist ein ganz anderer Angriff, aber das System ist das gleiche. Für den Hack müssen wir uns nur im selben Netzwerk befinden, in dem auch das “Vision”-Schlüsselsystem ist. Was immer funktioniert: die Rezeption.

Wir warten also auf einen günstigen Moment, ziehen das Netzwerkkabel aus dem Computer am Empfang und stecken es in unser eigenes Gerät. Dann können wir alle Informationen aus der Hoteldatenbank lesen, schreiben, verändern oder löschen. Wir konnten den Algorithmus rekonstruieren, der das Passwort für die Datenbank erzeugt, und uns einloggen. Damit haben wir Kontrolle über das gesamte Gebäude.

Wir können herausfinden, in welchem Zimmer du dich befindest. Aber nicht nur das: Wir können auch deinen Zugangscode herausfinden und einfach so tun, als wären wir du. Wir können die Minibar ausräumen, wir können Drinks bestellen und du bekommst die Rechnung.

“Wir können Drinks bestellen und du bekommst die Rechnung”

Würde ein Hack auch über das Hotel-WLAN funktionieren?

Tomi Tuominen: Das kommt darauf an, ob das interne Netz und das Gäste-WLAN voneinander getrennt sind. Manchmal funktioniert das. Wir haben festgestellt, dass sich das Internet in den Konferenzräumen von Hotels oft im selben Netzwerk wie die restliche Hotelinfrastruktur befindet.

Timo Hirvonen: Oder man kann versuchen, ob es mit dem Netzwerkkabel klappt, das in den modernen Fernsehern auf den Zimmern steckt.

“Lege nie etwas in den Safe! Die sind lachhaft”

Kann ich mich in einem Hotelzimmer überhaupt noch sicher fühlen?

Tomi Tuominen: Das kommt drauf an: Wenn du ein normaler Gast bist und nicht gerade Schmuck im Wert von über einer Million Dollar dabei hast, brauchst du dir keine Gedanken zu machen. Es gibt auch einfachere Wege, in ein Hotelzimmer einzubrechen.

Wenn man nur in ein einziges Zimmer einbrechen will, kann man aus einem dicken Draht oder einem Kleiderbügel für 50 Cent ein Einbruchswerkzeug bauen. Man muss es dann nur unter der Tür hindurchschieben und die Türklinke nach unten ziehen.


Ebenfalls auf Motherboard: Die besten Momente der Hacking-Geschichte – Samy Kamkar legt Myspace lahm


Du kannst auch das Personal vom Zimmerservice bestechen oder vor dem Zimmer warten, bis der Raum gesäubert wurde und die Tür aufhalten. Es gibt alle möglichen Tricks, um eine einzelne Tür aufzubekommen.

Wenn du aber eine wichtige Geschäftsperson bist oder sich Geheimdienste für dich interessieren, sieht das anders aus. Wenn du eine Zielperson bist, ist die Gefahr für dich hoch.

Was kann ich als normaler Gast tun, damit ich im Hotel sicher bin?

Tomi Tuominen: Gegen einen Angriff mit dem Kleiderbügel kannst du dich ganz einfach mit einem Handtuch wehren. Wenn du das um die Türklinke legst, kannst du das vereiteln.

Timo Hirvonen: Wenn die Hoteltür eine zusätzliche Kette hat, kannst du sie verriegeln zumindest bevor du schlafen gehst. Und wenn du etwas Wertvolles dabei hast, nimm es am besten mit und lass es nicht im Hotel liegen.

Ist ein Hotelsafe sicher?

Tomi Tuominen: Lege nie etwas in den Safe! Die sind lachhaft. Such mal auf YouTube nach “Safe” und “Potatoe”. Du findest du eine Anleitung, wie du einen Hotelsafe mit einer Kartoffel aufmachst.

Es gibt noch einen wichtigeren Grund, niemals etwas in den Safe zu legen: Das würde dem Angreifer Zeit sparen. Wenn ich der Einbrecher wäre und wüsste, dass ein Großteil der Leute ihre Wertsachen in den Safe legen, dann würde ich ins Zimmer huschen und den Safe mit einer Kartoffel öffnen – geschafft!

Also wenn du etwas Wertvolles dabei hast und es unbedingt im Hotel lassen musst, dann verstecke es gut. Ein durchschnittlicher Einbrecher wird auf keinen Fall lange Zeit im Zimmer verbringen wollen. Mache es so schwer wie möglich, deine Wertsachen oder einen wichtigen USB-Stick zu finden.

Was wäre denn ein wirklich sicheres Schließsystem für Hotels: altmodische Schlüssel, RFID-Karten oder gleich Gesichtserkennung?

Tomi Tuominen: Es ist eigentlich ganz egal, ob wir Türen mit mechanischen Schlüsseln, elektronischen Zugangstoken oder biometrischen Merkmalen benutzen. Jedes Schloss ist nur so gut wie die Mechanik, auf der es aufgebaut ist. Man muss von Anfang an bei der Entwicklung IT-Sicherheitsingenieure einbeziehen.

Die meisten Firmen, die Schließsysteme anbieten, haben ihre Erfahrung aus der Arbeit mit mechanischen Schlössern. Aber viele solcher Firmen haben kaum Erfahrung mit Software. Sie versuchen, ihr Wissen über physische Sicherheit in die digitale Welt zu übertragen. Wie schief das gehen kann, haben wir gemerkt, als wir Assa Abloy geholfen haben, ihre Sicherheitslücken zu schließen. Das sind eigentlich echt clevere Leute, aber sie haben überhaupt keine Ahnung, wie Hacker denken.

Folgt Anna auf Twitter und Motherboard auf Facebook , Instagram , Snapchat und Twitter