Neue Technologien und die fortschreitende Digitalisierung ersetzen inzwischen viele Dinge – sogar Schlüssel. Es gibt wohl kaum ein Auto, das man noch mit einem Schlüssel öffnen muss. Und besonders in Hotels kann man es sich kaum noch vorstellen, einen Schlüssel statt einer sogenannten Keycard zu benutzen.
Doch leider lauern überall dort, wo digitale Technik involviert ist, auch Gefahren. Eine Gruppe von Sicherheitsforschern entdeckte im September 2022 eine Sicherheitslücke bei Schlüsselkarten mit RFID-Chips, die sie nun auf ihrer Webseite veröffentlicht hat.
Konkret geht es dabei um Karten des Schweizer Herstellers Dormakaba mit dem «Saflok»-System, das sowohl in Hotels als auch in Mehrfamilienhäusern zum Einsatz kommt. Laut Angaben der Forscher sind weltweit rund drei Millionen RFID-Schlösser in 131 Ländern von der Sicherheitslücke namens «Unsaflok» betroffen. Das «Saflok»-System wird bereits seit 1988 genutzt.
Mithilfe gefälschter Schlüsselkarten könnten sich Personen unbefugten Zutritt zu Millionen Hotelzimmern und Häusern verschaffen. Dazu müssen Hacker nur eine Karte auslesen – diese kann auch abgelaufen sein. Bislang ist den Sicherheitsforschern zufolge zwar noch kein Fall bekannt, ausschliessen liesse es sich aber nicht. Selbst die Sicherheitsverriegelung würde nicht mehr funktionieren.
Security researchers demonstrate #Unsaflok vulnerability in dormakaba electric RFID locks.
— Martin Hodás (@Hody_MH11) March 22, 2024
Video courtesy of @LennertWo, Ian Carroll, @rqu53, @BusesCanFly, @samwcyo, @sshell_ & Will Caruana. pic.twitter.com/TTe71vRj3E
Nachdem das Problem identifiziert wurde, seien die Schwachstellen bereits im September 2022 an den Hersteller herangetragen worden. Bisher seien aber nur rund 36 Prozent der gefährdeten Schlösser aktualisiert oder ausgetauscht worden, wie es auf der Webseite heisst. Dieser Prozess habe erst im November 2023 angefangen – über ein Jahr nach der Meldung an der Hersteller.
Allerdings könne die Aufrüstung lange dauern und sei sehr schwierig. So müssen Schlösser ersetzt werden oder ein Software-Update erhalten. Ausserdem müssen alle Keycards neu ausgegeben werden. Zudem müssen die Software der Rezeption und die Kartencodierer aktualisiert werden. Die Integration von Drittanbietern, etwa für Aufzüge, Parkhäuser und Zahlungssysteme, könne zusätzliche Upgrades erfordern, wie die Forscher erklären.
