Die Hotelbranche muss sich einem umfangreichen Sicherheitsproblem stellen. Unter dem Namen „Unsaflok“ haben Sicherheitsforscher:innen eine Reihe von Schwachstellen veröffentlicht, dank denen sich Millionen Hoteltüren von Unbefugten einfach öffnen lassen sollen. Auch die Sicherheitsverriegelung soll dann nicht schützen.
RFID-Schlüsselsystem Saflok potenziell unsicher
Konkret geht es um das RFID-Schlüsselsystem Saflok des Herstellers Dormakaba. Betroffen sind laut den Sicherheitsforscher:innen die Saflok-Systeme Saflok MT sowie die Quantum-, RT-, Saffire- und Confidant-Serien. Diese werden seit 1988 verkauft und sind in 13.000 Hotels und Mehrfamilienhäusern in rund 131 Ländern im Einsatz.
Um die Türen zu öffnen, benötigen potenzielle Hacker:innen lediglich die entsprechende Software, ein Gerät – ein NFC-fähiges Smartphone reicht – zum Auslesen und Beschreiben sowie eine auslesbare Schlüsselkarte aus dem ins Visier genommenen Gebäude. Bei der Karte kann es sich um eine abgelaufenen Schlüsselkarte handeln, wie sie etwa in Checkout-Boxen an der Hotelrezeption hinterlegt werden.
Sicherheitsverriegelung schützt nicht
Der Vorgang des Auslesens der Original- und des Beschreibens der gefälschten Karte dauert nur wenige Sekunden, wie die Sicherheitsforscher:innen in einem kurzen Video auf ihrer Website zeigen. Dann lässt sich die Tür öffnen, auch wenn etwa der Sicherheitsriegel vorgeschoben wurde.
Die Sicherheitsforscher:innen haben „Unsaflok“ eigenen Angaben zufolge schon im September 2022 an Dormakaba gemeldet. Bis jetzt ist die Schwachstelle aber noch nicht vollständig behoben. Aktuell (Stand: März 2024) sollen erst 36 Prozent der betroffenen Türschlösser ausgetauscht oder deren System entsprechend upgedatet worden sein.
Updateprozess läuft seit November 2023
Daher haben sich die Sicherheitsforscher:innen dazu entschlossen, noch keine konkreten Details zu den Schwachstellen bekanntzugegeben. Damit sollen Hotels und Gäste geschützt werden, wie Golem schreibt. Erst im November 2023 soll der Umstellungsprozess begonnen haben.
Das Problem: Austausch oder Update sind gar nicht so einfach. Der Prozess gilt für alle betroffenen Schlösser und Schlüsselkarten. Auch die Software an der Rezeption sowie die Kartencodierer müssen erneuert werden. Zudem könnten Drittanbieter wie Aufzüge, Parkhäuser oder Zahlungssysteme betroffen sein.
Schließen der Schwachstellen dauert noch
Die Forscher:innen sprechen daher von einem „intensiven Prozess“, der einen längeren Zeitraum in Anspruch nehmen werde. Ob ein System schon upgedatet wurde oder nicht, lässt sich derweil kaum erkennen. Allerdings sollen nur die Saflok-Systeme von Dormakaba für mögliche Hacks anfällig sein.
Nicht klar ist derweil, ob die Schwachstellen aktiv ausgenutzt werden oder wurden. Bekannt ist davon offiziell nichts. Aufgrund des langen Zeitraums der Zugänglichkeit wollen es die Sicherheitsforscher:innen aber nicht ganz ausschließen.
