Die elektronischen Schlösser an mehr als einer Million Hotelzimmertüren auf der ganzen Welt sind finnischen Sicherheitsexperten zufolge selbst mit alten Zugangskarten zu knacken. Zwei Mitarbeiter des Sicherheitsunternehmens F-Secure haben am Mittwoch eine Untersuchung zu der Schwachstelle veröffentlicht und damit wohl auch das Rätsel eines Laptopdiebstahls 2003 in Berlin gelöst. Betroffen sind die Schlösser des Weltmarktführers Assa Abloy, eines schwedischen Unternehmens.

Timo Hirvonen und Tomi Tuominen zeigten Reportern von WDR, NDR und Süddeutscher Zeitung, wie der Einbruch ins Hotelzimmer gelingen kann, ohne Spuren zu hinterlassen. Lediglich eine einzige Hotelkarte reichte aus, um einen Generalschlüssel zu erstellen und damit alle Gästezimmer des jeweiligen Hotels zu öffnen. Der Vorgang dauert nur ein paar Sekunden. Darüber hinaus gelang es den IT-Experten über das Netzwerk der betroffenen Hotels auch Kundendaten auszulesen. Die beiden Finnen hatten sich zunächst in ihrer Freizeit damit beschäftigt, den ungeklärten Laptopdiebstahl aufzuklären.

Die Forscher haben herausgefunden, dass das Problem durch eine Schwachstelle bei der Installation der Schlösser entsteht, kombiniert mit einem vergleichsweise kleinen technischen Fehler. Ihre Untersuchung zu möglichen Schwächen der elektronischen Hoteltürschlösser hätten die beiden begonnen, nachdem in Berlin der Laptop eines Sicherheitsexperten während einer Fachkonferenz 2003 spurlos aus seinem Hotelzimmer verschwunden worden war. Aus dem persönlichen Interesse wurde über die Jahre ein professionelles.

Nach Angaben von Christophe Sut, Vizechef von Assa Abloy, könnten mehr als eine Million Türen in 166 Ländern betroffen sein, in Deutschland etwa 30.000 Hotelzimmer. Sein Unternehmen gehe nicht von einer riskanten Sicherheitslücke aus. Schließlich hätten die Forscher mehr als zehn Jahre dafür gebraucht, diese aufzuspüren. "Hotelgäste können sich weiterhin sicher in ihren Zimmern fühlen", sagte er.

Die IT-Forscher hatten Assa Abloy im März 2017 informiert. Seit Februar dieses Jahres können die betroffenen Hotels ihre Schließsysteme aktualisieren. Jedoch muss das neue System, eine Art Update, bei jeder einzelnen Tür eingespielt werden. Am Donnerstag werden die Sicherheitsexperten ihre Forschung auf einer renommierten Fachkonferenz in Miami präsentieren. Technisch tiefergehende Details sollen jedoch zum Schutze der Hotels nicht veröffentlicht werden.

Ein Vertreter von Assa versicherte, dass neuere Systeme nach einem komplett anderen Verfahren funktionieren. Zum Teil könnten die Gäste inzwischen auch mit ihren Mobiltelefonen ihre Zimmer aufschließen. "Die Herausforderung in der Sicherheitsbranche besteht darin, dass sich die Bedingungen ständig ändern", sagte er. "Was zu einem Zeitpunkt sicher ist, ist es 20 Jahre später nicht mehr."