Alarmierende Sicherheitslücke an großen deutschen Flughäfen: Mit einem simplen 200-Euro-Gerät lassen sich die Sicherheitssperren überlisten. Hacker des CCC führten ARD-Reportern vor, wie leicht Zutrittskarten gescannt und dann elektronisch simuliert werden können - die Polizeigewerkschaft ist entsetzt.
Nach dem vereitelten Bombenanschlag von Detroit haben die Sicherheitsbehörden und Flughäfen schnell und scharf reagiert: Vor den Kontrollstellen bilden sich immer längere Schlangen, weil die Checks verstärkt wurden. Jedes Stück Handgepäck wird gefilzt, jede Flüssigkeit kontrolliert, mancher Fluggast zwei-, dreimal durch den Metalldetektor gejagt.
Dabei gibt es eine einfache Möglichkeit, die Kontrollen zu umgehen - das ARD-Magazin "Kontraste" zeigt jetzt, dass es in vielen deutschen Flughäfen offenbar eine Sicherheitslücke gibt, die sich mit einfachen Mitteln ausnutzen lässt.
Die Vorwürfe richten sich gegen das an einigen deutschen Flughäfen genutzte Zugangssicherungssystem Legic Prime des Schweizer Anbieters Legic. Es soll sich leicht knacken lassen - wie leicht, haben Hacker vom Chaos Computer Club (CCC) den Reportern vorgeführt.
Das Funktionsprinzip des Systems ist einfach: Jeder Mitarbeiter erhält eine Ausweiskarte mit integriertem Mikrochip. Um in sicherheitsrelevante Flughafenbereiche zu kommen, wird die Karte kurz vor einem Lesegerät geschwenkt. Das nimmt per Funk Kontakt mit dem Chip auf, liest dessen Daten aus und öffnet die Tür, sofern der Träger des Chips als zugangsberechtigt erkannt wird.
Doch mit einem vergleichsweise einfachen Gerät lässt sich dieser scheinbar sichere Schutzmechanismus aushebeln. Nämlich mit einem "programmierbaren RFID-Reader, der sowohl vorgeben kann, ein Lesegerät zu sein - als auch so tun kann, eine Karte zu sein", sagte CCC-Mitglied Karsten Nohl den "Kontraste"-Rechercheuren. Die Apparatur zusammenzustellen, kostet demnach weniger als 200 Euro.
Mit dem Gerät kann man zuerst eine Zugangskarte auslesen - und es dann so umschalten, dass es die Karte emuliert, also elektronisch nachbildet. Am Ende lassen sich mit dem RFID-Reader all jene Türen öffnen, zu denen auch das Original Zutritt gewährt hätte.
15 Zentimeter Annäherung reichen
Im Gespräch mit SPIEGEL ONLINE bestätigte der Hersteller Legic, "dass es Mitgliedern des Chaos Computer Clubs gelungen ist, durch Reverse Engineering den Algorithmus von Prime zu analysieren und offenzulegen".
Nohl und andere CCC-Mitglieder waren "schlicht schockiert, überhaupt keine Hürden zu finden, die wir hätten überwinden müssen". Nur die geringe Reichweite des verwendeten RFID-Lese- und Emulationsgeräts bremst den Einsatz. Mit einer entsprechend leistungsfähigen Stromversorgung lassen sich im Idealfall Entfernungen von rund 70 Zentimetern überbrücken. Will man unerkannt bleiben und nicht mit klobigen Stromversorgungsapparaturen auf sich aufmerksam machen, verringert sich die Distanz auf bis zu 15 Zentimeter. Aber das sei kein echtes Hindernis, sagt ARD-Redakteur Matthias Deiss zu SPIEGEL ONLINE: Zum Auslesen einer Karte reiche es schließlich schon, wenn man sich auf einer Rolltreppe neben einen Flughafenmitarbeiter stellt. Denn die trügen die Ausweise in der Regel entweder an einem langen Band um den Hals oder mit einem kurzen Schlüsselbund am Gürtel.
Das von den Hackern kompromittierte Schweizer Zugangssystem wird in Deutschland auf den Flughäfen Hamburg, Berlin-Tegel, Stuttgart, Dresden und Hannover genutzt - und international vermarktet. Wie weit man mit dem Trick im Zweifelsfall kommt, machte ein Mitarbeiter des Flughafens Hamburg den "Kontraste"-Reportern klar. Er habe mit seiner Zugangskarte Zutritt zum Sicherheitsbereich und könne damit "über Zufahrtstore, Straßen, auch über Terminals und Gates direkt aufs Vorfeld und natürlich auch in ein Flugzeug" gelangen. Mit dem RFID-Reader dürfte das Gleiche möglich sein.
Das System ist veraltet
Der Hamburger Flughafen räumt die Sicherheitslücke ein. Allerdings wird darauf verwiesen, dass die Zugangskontrolle nicht der einzige Sicherheitsmechanismus des Flughafens ist. Durch weitere Systeme sei gewährleistet, dass keine Unbefugten das Gelände betreten können. Welcher Art diese Systeme sind, wurde "Kontraste" aber nicht beantwortet. Ein Austausch der mehr als 15.000 Zugangskarten und rund 500 Lesegeräte komme aus Kostengründen nicht in Frage.
Liest man die Produktbeschreibung, die Legic auf seiner Internetseite veröffentlicht, stellt sich ohnehin die Frage, wieso Flughäfen ausgerechnet dieses System zur Zugangssicherung nutzen. Demnach standen bei der Entwicklung des 1992 auf der Cebit vorgestellten Systems die Vereinfachung und der Komfort im Vordergrund. Es sei auch für die Zugangskontrolle bei "Großprojekten im Freizeitbereich" ausgelegt, also zum Beispiel in Ferienanlagen. Dem Datenblatt zufolge gehört eine "Basissicherheit mit Fokus auf Organisation und Komfort" zu den Hauptmerkmalen des Systems.
Legic teilte SPIEGEL ONLINE mit, das Prime-System nutze ein festes Chriffrierverfahren, das den technischen Möglichkeiten von 1992 entspricht. Solche Verfahren basieren dem Unternehmen zufolge im Wesentlichen auf der Geheimhaltung der verwendeten Algorithmen. Im Vergleich mit heutigen Verfahren "haben diese älteren Methoden ein niedrigeres Sicherheitsniveau als moderne Systeme", das gibt der Hersteller offen zu. Er empfiehlt seinen Kunden, die Technik "neu beurteilen und gegebenenfalls gegen moderne Sicherheitssysteme austauschen zu lassen". Allerdings sei auch heute noch die Sicherheit gewährleistet - sofern man Legic Prime mit Maßnahmen wie einer zusätzlichen Pin-Nummer, einer Videoüberwachung oder schlicht einem Pförtner ergänze. Aber das kostet eben, genauso wie ein Austausch des Gesamtsystems.
Innenministerium und Polizeigewerkschaft reagieren
Einem Sprecher des Bundesinnenministeriums zufolge ist bei den Flughafenbetreibern schon eine Überprüfung der Sicherheitskontrollen angeregt worden. Rainer Wendt, Vorsitzender der Deutschen Polizeigewerkschaft, ist das zu wenig - er fordert, das geknackte Sicherheitssystem unverzüglich auszutauschen und auf den neuesten Stand der Technik zu bringen.
Für die Versäumnisse der Betreiber zeigt er kein Verständnis. Er regt an, den Sicherheitsbetrieb sofort unter die Aufsicht der Bundespolizei zu stellen: "damit die Flughafenbetreiber nicht länger schlampen können, wie sie wollen".