Die Angreifer hätten wegen einer Software-Schwachstelle Generalschlüssel für alle Türen in einer Einrichtung erzeugen können, berichtete die finnische Firma F-Secure am Mittwoch. Der Hersteller Assa Abloy veröffentlichte inzwischen Software-Updates, die das Problem beheben.
Zugleich spielte der schwedische Türschloss-Spezialist die Risiken im Zusammenhang mit der Schwachstelle herunter. Die Software sei «ein 20 Jahre altes Produkt, das nach 12 Jahren und tausenden Stunden intensiver Arbeit zweier Mitarbeiter von F-Secure geknackt wurde», sagte eine Sprecherin der Firma der BBC. Diese alten Schlösser machten nur noch einen geringen Anteil der installierten Schließanlagen aus und würden schnell durch neue Technologie verdrängt. F-Secure hatte mit Assa Abloy bereits im vergangenen Jahr zusammengearbeitet, um die Lücke zu schließen.
Die Sicherheitsforscher interessierten sich nach eigenen Angaben für das Thema, seit einem von ihnen vor rund 15 Jahren bei einer Sicherheitskonferenz in Berlin ein Laptop aus dem Hotelzimmer gestohlen wurde. Dabei gab es weder Spuren eines gewaltsamen Eindringens, noch Hinweise auf einen unbefugten Zugriff in den Zugangsprotokollen.
«Wir wollten herausfinden, ob es möglich ist, das elektronische Schloss zu knacken, ohne Spuren zu hinterlassen», sagte F-Secure-Experte Timo Hirvonen. «Als wir verstanden hatten, wie das System konzipiert wurde, tauchten zunächst scheinbar harmlose Mängel auf.» Diese hätten sie dann «kreativ kombiniert», um eine Methode zur Erstellung von Generalschlüsseln zu entwickeln.
Die Entdeckung ist nicht der erste Fall dieser Art: Bereits 2012 war eine Sicherheitslücke in elektronischen Türschlössern eines anderen Herstellers gefunden worden, die ebenfalls in Millionen Hotelzimmern installiert waren. Diese Schwachstelle wurde damals von zumindest einem Dieb für mehrere Dutzend Einbrüche genutzt. dpa