Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Der Zimmerschlüssel auf dem Handy

Wir alle leben in einer Zeit, in der nichts sicher zu sein scheint. Tagtäglich lesen wir von Hackerangriffen, Wirtschaftsspionage, Datendiebstahl und einiges mehr in der Geschäftswelt. Die weitläufig zitierte Phrase, es gäbe keine absolute Sicherheit, gilt auch für jegliche zu Sicherheitszwecken eingesetzte Technologie. Dennoch lässt sich das Risiko einer Sicherheitslücke durch die ordnungsgemäße Anwendung und Verbindung geeigneter Sicherheitsmaßnahmen deutlich verringern.

Die Zahl der Einbrüche steigt von Jahr zu Jahr, die Magnetstreifen unserer EC-Karten werden geklont, Sicherheitsdienste spähen unsere E-Mails aus und Phishing-Mails wollen sich Zugriff auf unsere Konten verschaffen. Heutzutage muss man Dinge doppelt und dreifach sichern, regulieren, standardisieren und zertifizieren, damit man sich sicher und geschützt fühlt.

Im Dezember 2016 verkündete der Chaos Computer Club den Hack eines Türschlosses und der dazugehörigen mobilen App, welche mittels Bluetooth Low Energy (BLE) mit dem Schloss kommunizierte. Das könnte möglichweise Konsequenzen für Hotels haben, in denen mobile Zimmerschlüssel für die Räume zum Einsatz kommen, da auch deren Türschlösser via BLE mit Smartphones kommunizieren und vertrauliche Informationen austauschen.

Mittlerweile erweitern nämlich immer mehr Hotels ihre Apps um mobile Zimmerschlüssel, denn das Gasterlebnis und die Gastbeteiligung durch eine App werden immer wichtiger. Mobile Zimmerschlüssel bieten diverse Vorteile: Die Gäste müssen sich nicht an der Rezeption anmelden und auf ihre Zimmerkarten warten. Das Buchen des Lieblingszimmers im Voraus und der Erhalt des Zimmerschlüssels direkt aufs Smartphone oder das Verlängern des Aufenthalts, ohne sich nochmal in die Schlange an der Rezeption einreihen zu müssen, sind nur einige der erwähnenswerten Vorteile.

Auch wenn viele Hotelgäste die mobilen Zimmerschlüssel schätzen, muss die Verbindung zur Übertragung sensibler Daten geschützt werden. Würde das komplette mobile Schließsystem eines Hotels gehackt werden, hätten die Hacker Zugriff auf jeden einzelnen Raum in dem Hotel. Schlimmstenfalls müsste das Hotel dann nicht nur die mobile Schlüsselfunktion einstellen, sondern auch jede einzelne Schlüsselkarte neu konfigurieren und, im schlimmsten Fall, die Hardware in allen Türschlössern aufrüsten. Daraus ergäbe sich ein erheblicher Imageschaden für das Hotel und auch die Kosten wären exorbitant.

Um einen hohen Sicherheitsstandard zu erreichen, muss das gesamte System umfassend geprüft und eine Reihe von Sicherheitsmaßnahmen in Erwägung gezogen werden. Das Mobilgerät, meistens ein Smartphone, verfügt über eine Internetverbindung – ein Risiko für ferngesteuerte Angriffe. Da die derzeitigen Apps keinen vollumfänglichen Zugriff auf die Sicherheitshardware auf dem Telefon haben, sind die Apps nur eingeschränkt in der Lage, ihre sensiblen Daten, beispielsweise Verschlüsselungscodes, Identitätsrechte oder kritische Programmcodes, zu schützen. Eine Lösung, welche die Datenverschlüsselungscodes nicht in potentiell gefährdeten Apps speichert, sondern die Daten in einer vertrauenswürdigen Cloud-Lösung für die Ausgabe mobiler Zimmerschlüssel verschlüsselt und Daten in der Hardware der Türschlösser entschlüsselt, ist daher sehr empfehlenswert. Solche Lösungen nutzen die sogenannte „End-to-End“-Hardware-Sicherheitstechnik.

Die böswillige Übertragung von in einer Software gespeicherten Identitätsrechten auf ein anderes Mobilgerät mittels Klon-Technik ist ein weiteres ernsthaftes Problem. Die Sicherheitsrelevanz eines Mobilgeräts wird deutlich eingeschränkt, wenn es online und mit dem Verwaltungssystem verbunden ist, sobald mobile Identitätsrechte auf das Gerät übertragen werden müssen. In dieser Situation sollten die tatsächlichen Identitätsrechte im Verwaltungssystem gespeichert werden, während das Smartphone lediglich als Kommunikationsmedium dient. Eine Minderung des Schadens, den geklonte Smartphones anrichten, kann auch dadurch erreicht werden, dass das Verwaltungssystem eine Transaktionsautorisierung via SMS verschickt oder den Anwender dazu auffordert, ein Passwort, eine PIN oder einen Touch ID-Fingerabdruck einzugeben (sogenannte Zwei-Faktor-Authentisierung, die Dinge nutzt, die Sie besitzen, und die Sie wissen).

Wie auch immer Sie persönlich zukünftig im Hotel einchecken wollen – eines ist sicher: Das zunehmende Augenmerk von Hackerorganisationen auf Bluetooth-basierte Schlösser bedeutet, dass es für Hotels und andere Organisationen, die mobile Schlüssel einsetzen, wichtiger denn je ist, ein auf einer End-to-End-Hardware-Sicherheit beruhendes mobiles Schließsystem einzusetzen. Damit ein Hacken der App, wie vom Chaos Computer Club gezeigt, auch zukünftig verhindert wird.

 

John Harvey, Business Development Manager, LEGIC Identsystems AG Autor: John Harvey, Business Development Manager, LEGIC Identsystems AG

 

(Foto: © Sergey Nivens/Fotolia.com)