Anzeige
Anzeige
News
Artikel merken

Leichtes Spiel: Wie Hacker 3 Millionen Türen in Hotels öffnen können

Sicherheitsforscher:innen zufolge lassen sich mithilfe gefälschter Schlüsselkarten weltweit rund drei Millionen Türen von Hotels und Mehrfamilienhäusern öffnen. Bis jetzt sind die Schwachstellen nur in rund einem Drittel der Fälle behoben worden.

2 Min. Lesezeit
Anzeige
Anzeige
Solche Schlösser in Hoteltüren könnten angreifbar sein. (Bild: Unsaflock.com)

Die Hotelbranche muss sich einem umfangreichen Sicherheitsproblem stellen. Unter dem Namen „Unsaflok“ haben Sicherheitsforscher:innen eine Reihe von Schwachstellen veröffentlicht, dank denen sich Millionen Hoteltüren von Unbefugten einfach öffnen lassen sollen. Auch die Sicherheitsverriegelung soll dann nicht schützen.

Anzeige
Anzeige

RFID-Schlüsselsystem Saflok potenziell unsicher

Konkret geht es um das RFID-Schlüsselsystem Saflok des Herstellers Dormakaba. Betroffen sind laut den Sicherheitsforscher:innen die Saflok-Systeme Saflok MT sowie die Quantum-, RT-, Saffire- und Confidant-Serien. Diese werden seit 1988 verkauft und sind in 13.000 Hotels und Mehrfamilienhäusern in rund 131 Ländern im Einsatz.

Um die Türen zu öffnen, benötigen potenzielle Hacker:innen lediglich die entsprechende Software, ein Gerät – ein NFC-fähiges Smartphone reicht – zum Auslesen und Beschreiben sowie eine auslesbare Schlüsselkarte aus dem ins Visier genommenen Gebäude. Bei der Karte kann es sich um eine abgelaufenen Schlüsselkarte handeln, wie sie etwa in Checkout-Boxen an der Hotelrezeption hinterlegt werden.

Anzeige
Anzeige

Sicherheitsverriegelung schützt nicht

Der Vorgang des Auslesens der Original- und des Beschreibens der gefälschten Karte dauert nur wenige Sekunden, wie die Sicherheitsforscher:innen in einem kurzen Video auf ihrer Website zeigen. Dann lässt sich die Tür öffnen, auch wenn etwa der Sicherheitsriegel vorgeschoben wurde.

Die Sicherheitsforscher:innen haben „Unsaflok“ eigenen Angaben zufolge schon im September 2022 an Dormakaba gemeldet. Bis jetzt ist die Schwachstelle aber noch nicht vollständig behoben. Aktuell (Stand: März 2024) sollen erst 36 Prozent der betroffenen Türschlösser ausgetauscht oder deren System entsprechend upgedatet worden sein.

Anzeige
Anzeige

Updateprozess läuft seit November 2023

Daher haben sich die Sicherheitsforscher:innen dazu entschlossen, noch keine konkreten Details zu den Schwachstellen bekanntzugegeben. Damit sollen Hotels und Gäste geschützt werden, wie Golem schreibt. Erst im November 2023 soll der Umstellungsprozess begonnen haben.

Das Problem: Austausch oder Update sind gar nicht so einfach. Der Prozess gilt für alle betroffenen Schlösser und Schlüsselkarten. Auch die Software an der Rezeption sowie die Kartencodierer müssen erneuert werden. Zudem könnten Drittanbieter wie Aufzüge, Parkhäuser oder Zahlungssysteme betroffen sein.

Anzeige
Anzeige

Schließen der Schwachstellen dauert noch

Die Forscher:innen sprechen daher von einem „intensiven Prozess“, der einen längeren Zeitraum in Anspruch nehmen werde. Ob ein System schon upgedatet wurde oder nicht, lässt sich derweil kaum erkennen. Allerdings sollen nur die Saflok-Systeme von Dormakaba für mögliche Hacks anfällig sein.

Tech-Nostalgie aus den 90ern Quelle: Shutterstock/Vladimir Sukhachev

Nicht klar ist derweil, ob die Schwachstellen aktiv ausgenutzt werden oder wurden. Bekannt ist davon offiziell nichts. Aufgrund des langen Zeitraums der Zugänglichkeit wollen es die Sicherheitsforscher:innen aber nicht ganz ausschließen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige