![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsexperten von F-Secure haben einen Hack entwickelt, mit dem sich die RFID-Schl\u00fcsselkarten, die von vielen Hotels verwendet werden, manipulieren lassen. Damit k\u00f6nnen alte Karten (oder Karten f\u00fcr Garagen etc.) quasi zum Generalschl\u00fcssel f\u00fcr Hotelzimmer umprogrammiert und damit missbraucht werden. Vom Anbieter des Schlie\u00dfsystems gibt es einen Patch.<\/p>\n
<\/p>\n
Die Schwachstelle wurde in der Software des Schlie\u00dfsystems Vision by VingCard<\/a> (Hersteller Assa Abloy) gefunden. Das Schlie\u00dfsystem des Anbieters ist weltweit in vielen Hotels im Einsatz. Mit einer solchen manipulierten Karte l\u00e4sst sich jede Zimmert\u00fcr des Hotels mit diesem Schlie\u00dfsystem \u00f6ffnen. Damit bek\u00e4men Kriminelle Zugang zu mit diesem Schl\u00f6ssern gesicherten Hotelbereichen.<\/p>\n (Quelle: F-Secure)<\/p>\n Laut dieser Pressemitteilung<\/a> (englischsprachige Fassung hier<\/a>) des Unternehmens nutzten die Sicherheitsexperten bei ihrem Angriff gew\u00f6hnliche elektronische Schl\u00fcsselkarten des Hotels. Diese waren teilweise l\u00e4ngst abgelaufen, ausgemustert oder dienten lediglich dem Zugang zu Garagen oder Abstellr\u00e4umen. Anhand der Informationen (Schl\u00fcssel) auf der Karte konnten die Experten jedoch einen Hauptschl\u00fcssel mit Zugangsberechtigungen generieren, um so jeden Raum im Geb\u00e4ude \u00f6ffnen zu k\u00f6nnen. Der Angriff blieb v\u00f6llig unbemerkt und lies auch keine Spuren zur\u00fcck.<\/p>\n Der Ansto\u00df des Projekts liegt bereits 15 Jahre zur\u00fcck. Damals wurde ein Notebook eines F-Secure-Mitarbeiters w\u00e4hrend einer Sicherheitskonferenz in Berlin aus einem Hotelzimmer entwendet wurde. Als die Experten den Diebstahl meldeten, wies das Hotelpersonal die Beschwerde zur\u00fcck, da es weder Zeichen eines gewaltsamen Eindringens noch Beweise f\u00fcr unbefugten Zugriff in den Zutrittsprotokollen gab.<\/p>\n Die F-Secure-Forscher beschlossen, dem Problem auf den Grund zu gehen und nahmen eine Hotell\u00f6sung unter die Lupe, die f\u00fcr Qualit\u00e4t und hohe Sicherheitsstandards bekannt ist. Erst bei einer Untersuchung des gesamten Systemdesigns wurde deutlich: Werden mehrere kleinere Schwachstellen kombiniert, kann ein Angriff durchgef\u00fchrt werden. Die Analyse dauerte mehrere tausend Stunden und einige Trial-and-Error-Versuche, um letztlich zum Erfolg zu f\u00fchren. Meines Wissens nach haben die F-Secure-Leute viele Tausend Schl\u00fcssel von solchen Karten gesammelt und waren \u00fcber eine Schwachstelle in der Lage, die Berechnung des Hauptschl\u00fcssels zu knacken. Damit konnten Generalschl\u00fcssel generiert und auf die Karten geschrieben werden. <\/p>\n Timo Hirvonen, Senior Security Consultant bei F-Secure sagt dazu: 'Wir wollten herausfinden, ob es m\u00f6glich ist, das elektronische Schloss zu knacken, ohne Spuren zu hinterlassen. Die Entwicklung eines wirklich sicheren Zutrittskontrollsystems ist sehr schwierig, weil es eine Vielzahl von Kleinigkeiten gibt, die zu beachten sind. Als wir verstanden hatten, wie das System konzipiert wurde, tauchten zun\u00e4chst scheinbar harmlose M\u00e4ngel auf. Wir haben diese dann kreativ kombiniert, um eine Methode zur Erstellung von Generalschl\u00fcsseln zu entwickeln.'<\/p>\n F-Secure hat Assa Abloy \u00fcber die Ergebnisse informiert. Gleichzeitig gab es im vergangenen Jahr eine Zusammenarbeit mit dem Schlosshersteller, um entsprechende Bugfixes zu implementieren. Die Updates wurden dann an die Hotelbetreiber ausgeliefert, die von den Sicherheitslecks betroffene Systeme im Einsatz haben. Ob dieses Update eingespielt wird, liegt in der Verantwortung der Hotels. Die Einsch\u00e4tzung ist aber, dass die Gefahr nicht allzu hoch ist, da es einfachere M\u00f6glichkeiten f\u00fcr Kriminelle gibt, in Hotelzimmer zu gelangen. <\/p>\n Die S\u00fcddeutsche Zeitung hat hier<\/a> einen Artikel mit weiteren Details zum Thema und auch bei heise.de gibt es hier einen entsprechenden Artikel<\/a> mit erg\u00e4nzenden Einsch\u00e4tzungen. <\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsexperten von F-Secure haben einen Hack entwickelt, mit dem sich die RFID-Schl\u00fcsselkarten, die von vielen Hotels verwendet werden, manipulieren lassen. Damit k\u00f6nnen alte Karten (oder Karten f\u00fcr Garagen etc.) quasi zum Generalschl\u00fcssel f\u00fcr Hotelzimmer umprogrammiert und damit missbraucht werden. Vom … Weiterlesen Bleeping Computer hat die Story bereits vor 2 Tagen hier<\/a> (Englisch) publiziert. Zwei Sicherheitsforscher von F-Secure haben ein Ger\u00e4t entwickelt, das jede g\u00fcltige oder abgelaufene Hotelkarte lesen und einen Hauptschl\u00fcssel generieren kann. <\/p>\n
Schlie\u00dfsystem Vision by VingCard betroffen<\/h2>\n
Abgelaufene oder andere Karten umfunktioniert<\/h2>\n
Hack mit Historie<\/h2>\n
Patch f\u00fcr das Schlie\u00dfsystem verf\u00fcgbar<\/h2>\n