Was passiert, wenn man ein mechanisches Schloss durch ein elektronisches Schloss ersetzt? Es ergeben sich neue Schwachstellen und damit Angriffsmöglichkeiten. Und was passiert, wenn man das Schloss auch aus der Entfernung öffnen kann? Dann kann es auch aus der Entfernung angegriffen werden. Und wenn man es ans Internet anschließt, sogar von überall auf der Welt aus.

Wenn Sie jetzt denken „So ein Quatsch, warum sollte jemand vom anderen Ende der Welt ein Schloss knacken? Das macht doch keiner!“, haben Sie auf den ersten Blick sogar recht. Aber schon auf den zweiten Blick nicht mehr: Was spricht dagegen, dass sich der Dieb vor der Tür genau diese Tür von einem darauf spezialisierten Dienstleister vom anderen Ende der Welt öffnen lässt? Und dann gibt es ja außerdem auch noch die Möglichkeit, das Schloss einfach lahmzulegen und erst nach Zahlung eines Lösegelds wieder freizugeben. Das ist tatsächlich bereits passiert, wenn auch die Meldungen darüber teilweise wohl etwas aufgebauscht wurden.

Hotel in Österreich, Angreifer irgendwo auf der Welt

Am Eröffnungswochenende der Wintersaison 2016 wurde ein österreichisches Hotel Ziel eines Ransomware-Angriffs [1]. Alle Hotelcomputer einschließlich des Reservierungs- und des Kassensystems waren lahmgelegt. Da das Hotel ausgebucht war, musste der Hotelbesitzer das geforderte Lösegeld in Höhe von 1 500 Euro in Bitcoins zahlen, um einen größeren Schaden zu vermeiden. Der Angriff ist hier interessant, weil auch das gesamte Schließsystem lahmgelegt war. Das ORF schreibt dazu [1]: „Die Gäste kamen nicht mehr in die Hotelzimmer, neue Schlüssel konnten nicht mehr programmiert werden.“

Da alle Computer des Hotels lahmgelegt wurden, war darunter natürlich auch der für die Programmierung der Schlüssel verwendete Computer. Der machte dann bis zur Freigabe durch die Cyberkriminellen oder seiner Neuinstallation durch den Admin gar nichts. Neue Gäste konnten also nicht auf ihre Zimmer, weil sie keine Schlüssel bekamen. Und wenn die Freigabe der Türen durch einen infizierten Computer erfolgt, funktioniert das natürlich auch nicht mehr, und auch die schon eingecheckten Gäste konnten ihre Zimmertüren nicht mehr von außen öffnen.

Was ich allerdings für völlig übertrieben halte, sind die Berichte, denen zu Folge die Gäste auch nicht mehr aus ihren Zimmern herauskamen. Das kann eigentlich nur ein Missverständnis sein. Normalerweise funktionieren die Schlösser von innen mechanisch, und ein Druck auf die Klinke reicht aus, um die Tür zu öffnen. Sogar dann, wenn sie mit dem innen als Schlüssel dienenden Drehknopf abgeschlossen sind. Das sind nämlich Fluchtwege, und das letzte, was man bei einem Brand oder einem anderen Notfall haben möchte, sind haufenweise Leute, die nicht aus ihren Zimmern flüchten können, weil sich die Zimmertür nicht öffnen lässt.

Angriffe auf die IT allgemein

Die elektronischen Schlösser waren in diesem Fall nicht das eigentliche Angriffsziel. Ob man die nun als Kollateralschaden oder Beifang einstuft, ist eigentlich egal – die Cyberkriminellen wollten die IT des Hotels lahmlegen und dann Lösegeld erpressen. Das wäre ihnen auch gelungen, wenn die Schlösser nicht betroffen gewesen wären. Schon der Ausfall des Reservierungssystems hätte den Hotelbesitzer sicher zur Zahlung des Lösegelds gebracht, denn ohne das ist der Betrieb des Hotels nicht möglich.

Der Angriff auf das Hotel ist aber ein idealer Aufhänger für diesen Artikel, der schon vorher geplant war. 2016 gab es auf der DEF CON 24 gleich fünf Vorträge rund um das Thema elektronische Schlösser. Ein deutliches Zeichen dafür, dass da was ganz gewaltig im Argen liegt und man sich das mal genauer ansehen sollte. Und da wir gerade bei Hotelschlössern waren, machen wir auch genau da weiter.

Hotelschlossknacker für sechs Dollar

Weston Hecker hat Angriffe auf magnetkartenbasierte Schlösser vorgestellt [2]. Er hat herausgefunden, dass die Daten auf den Magnetstreifen oft lediglich aus der Buchungsnummer, der Zimmernummer und dem Abreisedatum bestehen. Statt einer Verschlüsselung gibt es maximal eine Kodierung, und zusätzlich zu normalen Karten gibt es privilegierte Versionen für das Hauspersonal, das Management etc. Manche Karten enthalten weitere Informationen, aber fast alle sind anfällig für Brute-Force-Angriffe oder auch einfaches Raten, sodass das Herstellen gefälschter Karten kein unüberwindbares Problem ist. Mit diesen gefälschten Karten können dann fremde Hotelzimmer geöffnet werden – und Angebote des Hotels, die über die Schlüsselkarte abgerechnet werden, auf Kosten anderer Gäste genutzt werden.

Samy Kamkar hat bereits 2015 die Hardware Mag­Spoof vorgestellt, mit der sich Magnetstreifenkarten emulieren lassen (und dabei auch erklärt, wie die Karten ausgelesen werden können) [3]. Diese Hardware kann für die von Weston Hecker vorgestellten Angriffe angepasst werden und kostet dann ca. 6 Dollar.

Ein krimineller Gast, der seine eigene Schlüsselkarte analysiert, kann daraus auf den Aufbau der Daten auf dem Magnetstreifen schließen und die Hardware so programmieren, dass sie alle möglichen Werte durchprobiert. Danach wird sie in die Nähe des zu öffnenden Schlosses gebracht und aktiviert. Früher oder später ist das Schloss dann offen. Diese Angriffe sind auf die Schlösser verschiedener Hersteller möglich, da dafür keine Schwachstellen in Implementierungen ausgenutzt werden. Dass Brute-Force-Angriffe möglich sind, ist ein Designfehler [4].

Außer für Hotelschlösser werden die Magnetkarten auch für Point-of-Sales-Systeme verwendet, für die Weston Hecker gezeigt hat, wie über präparierte Magnetstreifen beliebige Tastendrücke an das System gesendet werden können. Über die kann dann z. B. Schadsoftware installiert werden. Und auch andere Systeme, die Magnetkarten verwenden, sind darüber angreifbar. Als Demo hat Weston Hecker zwei Videos gezeigt: Einen Brute-Force-Angriff auf Hotelschlösser und die Installation von Schadsoftware auf einem Point-of-Sale-Rechner. Es ist also keine gute Idee, Wertsachen im Hotelzimmer zu lassen. Die sind in einem Safe besser aufgehoben. Sofern der kein elektronisches Schloss hat, denn dann ist er nicht so sicher wie erhofft, wie Plore auf der DEF CON 24 gezeigt hat.

Angriffe auf elektronische Safeschlösser

Die als Erstes von Plore untersuchten zertifizierten Schlösser von Sargent and Greenleaf, Typ S&G 6120-332, bestehen aus zwei Teilen: der Eingabeeinheit mit Keypad, Buzzer und Batterie außen auf der Safetür und dem eigentlichen Schloss mit Mikrocontroller, EEPROM und Motor zum Bewegen der Riegel im Inneren des Safes. Beide Teile sind mit einem Kabel miteinander verbunden, das durch ein kleines Loch in der Tür geführt wird. Die Keycodes sind im EEPROM gespeichert und werden von dort über ein dreiadriges Microwire-Interface gelesen. Das erfolgt...