path: root/updates/2019/ble-locks.md

title: CCC hackt Hotel-Schlösser der neuesten Generation
date: 2019-08-08 15:05:33 
updated: 2019-08-08 15:17:31 
author: linus
tags: update, pressemitteilung, messerschmitt, mobile key, sperrtechnik

Sicherheitsforscher des CCC haben eine Schwachstelle in Bluetooth-basierten Hotelschlössern der neuesten Generation entdeckt. Details werden beim diesjährigen Chaos Communication Camp päsentiert. Der Hersteller ist informiert, ein Update für betroffene Schlösser ist für Ende des Monats angekündigt.

<!-- TEASER_END -->

Nahezu täglich wechselnde Gästebelegung, Zutrittsmöglichkeiten für
Hotel-Personal, Bedarf an Zweit- und Drittschlüsseln bei
Mehrbettzimmern, häufig verlorene oder im Zimmer vergessene Schlüssel:
Hotel-Schlössern kommt auf dem Markt der Schließsysteme eine besondere
Rolle zu.

Die vielfältigen und breiten Anforderungen, gepaart mit einem hohen
Anspruch an den Bedienkomfort, machen Hotel-Schließsysteme zu einem der
innovationsfreudigsten Bereiche der Sperrtechnik. Mechanische Schlösser
sind nur noch selten anzutreffen: Längst dominieren SmartCard-basierte,
in der Regel kontaktlose Lösungen das Feld.

Die neueste Generation verspricht dabei nicht nur den Verzicht auf den
handlichen Schlüssel im Kreditkartenformat, sondern auch gleich auf die
Schlange am Checkin-Schalter: Nach einem Online-Checkin per
Smartphone-App lässt sich das Hotelzimmer direkt mit der App öffnen. Zum
Einsatz kommt dabei die aktuelle [vierte Generation der
Bluetooth-Funktechnologie](https://en.wikipedia.org/wiki/Bluetooth_Low_Energy).

## Angriffsszenario

Die CCC-Sicherheitsforscher Michael Huebler und *Ray* suchen seit vielen
Jahren die sportliche Auseinandersetzung mit Schließsystemen aller Art.
Im Rahmen ihrer Forschungen haben sie Anfang 2019 eine Schwachstelle in
einem solchen modernen Schließsystem entdeckt: Nach Analyse eines
Funk-Mitschnitts nur eines einzigen kabellosen Entsperrvorganges kann
der dem Schließverfahren zugrunde liegende Schlüssel extrahiert und
danach zum beliebig häufigen Öffnen des Schlosses genutzt werden. Ein
solcher Mitschnitt lässt sich zum Beispiel auch im Fahrstuhl oder im
Sportbereich des Hotels anfertigen, wenn diese einer Zutrittskontrolle
mit dem gleichen Schlüssel unterliegen.

## Technischer Hintergrund

Das Bluetooth-Signal selbst kann mit günstiger Consumer-Hardware für
unter 30 € mitgeschnitten werden. Die betroffenen Schlösser sind
allerdings gegen triviale
[Replay-Angriffe](https://de.wikipedia.org/wiki/Replay-Angriff), bei
denen das gleiche Funksignal plump noch einmal „abgespielt“ wird,
effektiv geschützt.

Es kommt darüber hinaus ein vom Hersteller selbst entwickeltes
Challenge-Response-Verfahren zum Einsatz. Auf aktuelle starke
Kryptografie wird dabei ebenso verzichtet wie auf einen Schlüssel – was
bei einem Schloss nicht einer gewissen Ironie entbehrt.

Das bedeutet: Wer das besser als „Verschleierung“ zu bezeichnende
Verfahren kennt, kann auch aus mitgeschnittenen Daten leicht die
Klartextnachricht extrahieren – ein Verstoß gegen [grundsätzliche
Anforderungen an kryptografische
Verfahren](https://de.wikipedia.org/wiki/Kerckhoffs’_Prinzip).

Technische Details werden die beiden Forscher Ende August auf dem [Chaos
Communication
Camp](https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10241.html)
bei Berlin und auf der [Black Hat
Conference](https://www.blackhat.com/us-19/briefings/schedule/#moving-from-hacking-iot-gadgets-to-breaking-into-one-of-europes-highest-hotel-suites-16099)
in Las Vegas präsentieren.

## Einordnung des Risikos

Ältere und weiter verbreitete Hotelschloss-Generationen haben teilweise
nie behobene Schwachstellen, die nicht selten ein Kopieren der
Zugangskarten mit trivialen Methoden oder auch direkte Angriffe auf die
Schlösser ermöglichen. Auch das freundliche Fragen nach dem angeblich im
Zimmer vergessenen Schlüssel an der Rezeption gehört zu den potenziellen
Risikoszenarien eines Hotelgastes.

Der von den Forschern entwickelte Angriff betrifft die neueste
Generation von Hotelschlössern, welche gerade erst ausgerollt wird und
deshalb erst in vergleichsweise wenigen Hotels zum Einsatz kommt. Durch
die noch geringe Verbreitung ist es dem Hersteller möglich, mit einem
Update zu reagieren und mit überschaubarem Aufwand sicherzustellen, dass
die Schwachstelle auch wirklich im Feld behoben wird. Der Angriff ist
zudem nur auf Nutzer anwendbar, die das System auch tatsächlich mit dem
Handy als Schlüssel nutzen.

„Wir freuen uns, dass wir die Schwachstelle so früh gefunden haben. So
können wir wirksam zur Verbesserung eines neuen Schließsystems
beitragen. Schon in einem Jahr hätten die Chancen sehr viel schlechter
gestanden, dass die Mängel noch im Feld behoben werden“, sagte Ray,
einer der beiden Sicherheitsforscher des CCC.

Der CCC hat den Hersteller im April 2019 informiert. Seitdem arbeitet
der Hersteller an einem umfassenden Update, das die Schwachstelle durch
Verwendung eines neuen Verschlüsselungsverfahrens wirksam beseitigen
soll. Das Update soll noch im August 2019 vollständig ausgerollt werden.

## Empfehlungen an betroffene Hotels

Die Schwachstelle findet sich im System „Mobile Key“ des deutschen
Herstellers Messerschmitt. Die betroffenen Hotels und Anbieter wurden in
der vergangenen Woche vom Hersteller informiert. Ein Update will der
Hersteller noch vor Ende des Monats August 2019 ausrollen.

„Auch wenn wir die technischen Details nicht veröffentlichen, ist davon
auszugehen, dass Interessierte den Angriff ebenfalls mit einfachen
Methoden implementieren können. Wir raten daher zum umgehenden
Einspielen der Updates, sobald der Hersteller sie bereitstellt“, sagte
Michael Huebler, Mitglied im Verein [Sportsfreunde der
Sperrtechnik](https://blog.ssdev.org).

Mit dem Update will der Hersteller die vom CCC gemeldeten Schwachstellen
beseitigen. Die Wirksamkeit des Updates hat der CCC zum heutigen
Zeitpunkt noch nicht prüfen können.

## Empfehlungen an Kundinnen und Kunden

Bis zur Behebung der Schwachstelle durch den Hersteller empfiehlt der
Chaos Computer Club auf die Verwendung des Smartphones als „Mobile Key“
bei Schlössern dieses Herstellers zu verzichten. Betroffene Schlösser
sind leicht durch die entsprechende Beschriftung zu erkennen.

-   Chaos Communication Camp 2019: [Taking Bluetooth lockpicking to the
    next level …or the 37th floor of a
    Hotel](https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10241.html)
-   Blackhat Briefing 2019: [Moving from Hacking IoT Gadgets to Breaking
    into One of Europe's Highest Hotel
    Suites](https://www.blackhat.com/us-19/briefings/schedule/#moving-from-hacking-iot-gadgets-to-breaking-into-one-of-europe39s-highest-hotel-suites-16099)