Mitglieder des Chaos Computer Club (CCC) haben Reportern des ARD-Magazins „Kontraste“ demonstriert, wie sich das am Flughafen Hamburg eingesetzte Sicherheitssystem zur Zugangskontrolle mit relativ einfachen Mitteln umgehen lässt. Dazu benötigten die Hacker lediglich einen selbst gebauten, programmierbaren RFID-Reader im Wert von 200 Euro.
Das in Hamburg und einigen anderen deutschen Flughäfen eingesetzte Zugangssicherungssystem des Schweizer Anbieters Legic basiert auf einer Ausweiskarte mit integriertem RFID-Chip. Um in sicherheitsrelevante Flughafenbereiche zu gelangen, muss die Karte kurz vor ein Lesegerät gehalten werden, das per Funk die darauf enthaltenen Daten abfragt. Wird der Ausweisinhaber als zugangsberechtigt erkannt, öffnet sich die Tür.
Mit einem „RFID-Reader, der sowohl vorgeben kann, ein Lesegerät zu sein, als auch als Karte dient“, könne das Sicherheitssystem ausgehebelt werden, erklärte CCC-Mitglied Karten Nohl gegenüber Kontraste. Dazu müsse zunächst eine Zugangskarte ausgelesen und anschließend von dem Gerät emuliert werden. Damit ließen sich dann alle Türen öffnen, zu denen der Besitzer der Originalkarte Zutritt habe.
Der heimliche Datenklau per Funk ist laut Kontraste nur möglich, weil das Zugangssystem Legic Prime ungenügend gesichert ist. Allerdings funktioniert er nur auf sehr kurze Distanz, was angesichts der Tatsache, dass die meisten Flughafenmitarbeiter ihre Ausweise offen sichtbar am Körper tragen, kein großes Hindernis darstellen dürfte.
„Das System auszuhebeln ist einfach, was uns sehr überrascht hat, weil es als Sicherheitssystem vermarktet wird und sehr verbreitet ist. Wir waren schlicht schockiert, überhaupt keine Hürden zu finden, die wir hätten überwinden müssen“, so Nohl.
Gegenüber Spiegel Online bestätigte Hersteller Legic, „dass es Mitgliedern des Chaos Computer Club gelungen ist, durch Reverse Engineering den Algorithmus von Prime zu analysieren und offenzulegen“. Auch der Flughafen Hamburg räumte die Sicherheitslücke ein. Ein von der Deutschen Polizeigewerkschaft geforderter sofortiger Austausch der über 15.000 verwendeten Zugangskarten und rund 500 Lesegeräte komme aus Kostengründen jedoch nicht in Frage. Gleiches gelte für die Bewachung sicherheitsrelevanter Bereiche durch Personal.
Außer in Hamburg wird das erstmals auf der CeBIT 1992 vorgestellte Zugangssystem Legic Prime nach Informationen des ARD-Magazins auch an den Flughäfen Berlin-Tegel, Dresden, Hannover und Stuttgart eingesetzt.
ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…
Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…
Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…
Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…