Google: Sicherheitslücke in den Türschlössern des Firmensitzes
Die iStar-Ultra-Türschlösser in Googles Gebäuden in Sunnyvale waren kein Hindernis für Angreifer mit Zugang zum internen Netz.
Die smarten Türschlösser von Googles Gebäuden in Sunnyvale, unweit der Firmenzentrale, haben eine ziemlich gravierende Sicherheitslücke.
(Bild: dpa, Marcio Jose Sanchez/AP/dpa)
- Fabian A. Scherschel
Nicht nur Privatpersonen haben mit der Sicherheit ihres Smart Homes zu kämpfen, auch große Tech-Firmen können Opfer von Sicherheitslücken in verbauter Hardware werden. Das musste Google im Juli feststellen, als es ein Mitarbeiter schaffte, die Sicherheit der Türschlösser in Googles Büros in Sunnyvale zu umgehen. Das Problem lag bei den RFID-Kartenlesern für die Türschlösser des Bürokomplexes. Die Verschlüsselung der Datenpakete, die die Geräte über das interne Google-Netzwerk verschickten, war offenbar so schlecht, dass ein Angreifer mit Zugriff auf das Netzwerk nach Belieben Türen hätte öffnen oder schließen können. Und das ohne eine gültige Zugangskarte zu besitzen. Außerdem hätte er Mitarbeitern mit gültigen Karten den Zugang verwehren können.
Lücke endgültig nur mit Hardware-Austausch zu schließen
Google hat vor Bekanntwerden der Lücke Schritte unternommen, um seine Büros vor solchen Angriffen zu schützen. Hierfür wurden anscheinend interne Netzwerkbereiche stärker voneinander getrennt, damit die verwundbaren Schlösser nicht im allgemeinen internen Netz der Firma erreichbar sind – das legt ein Bericht von Forbes nahe, der die Sicherheitslücke zuerst öffentlich gemacht hatte. Außerdem hat der Hersteller der Hardware wenigstens TLS-Transportverschlüsselung für den Netzwerk-Traffic einiger seiner Komponenten aktiviert. Endgültig geschlossen werden kann die Sicherheitslücke allerdings erst, wenn der Hersteller der Türschlösser die Hardware ausgetauscht hat – die Geräte haben einfach nicht genug Speicher verbaut, um wirklich sichere Verschlüsselung zu verwenden.
Betroffen sind Schließgeräte der Typen iStar Ultra und IP-ACM von der Firma Software House, einer Tochter des Konzerns Johnson Controls. Kunden, die ähnliche Geräte des Herstellers einsetzen, sollten sich mit diesem in Verbindung setzen, um herauszufinden, wie sie die Sicherheitslücke zumindest teilweise absichern können. Vor allem in Verbindung mit einem unsicheren internen WLAN könnte sie sonst sehr unangenehme Folgen für die Sicherheit der betroffenen Gebäude haben.
Unzulängliche Verschlüsselung, fest eingestellte Schlüssel
Der Google-Mitarbeiter hatte die Schwachstelle entdeckt, da die vermeintlich verschlüsselten Datenpakete der Schließautomaten im internen Netz der Firma alles andere als pseudozufällig aussahen. Erkennt man Muster in verschlüsselten Daten, ist das immer ein schlechtes Zeichen, welches auf ungenügende Verschlüsselung hindeuten kann. In diesem Fall entdeckte der Google-Mitarbeiter einen fest eingebauten Schlüssel, mit dem die Türschlösser ihre Daten verschlüsselten. Dieser Schlüssel kann darüber hinaus auch nicht besonders gut gewählt gewesen sein oder es lagen andere Dinge bei der Verschlüsselung im Argen, denn sonst wären trotzdem keine Muster im Inhalt der Datenpakete erkennbar gewesen. Auf letzteres deutet vielleicht auch die Tatsache hin, dass der Hersteller die Hardware upgraden muss, bevor darauf sichere Verschlüsselung umgesetzt werden kann. So oder so sind die Kunden, bei denen die Smart-Schlösser verbaut sind, nun wohl zum Handeln gezwungen. (fab)
