Hackerangriffe im Hotel

Hackerangriffe auf die IT-Infrastruktur sind ein weltweites Thema. Dabei wird gerne übersehen, dass es auch ganz nah geht. Die drahtlose Internetverbindung (WLAN) ist etwas, was hinter fast jeder Tür installiert ist und mit dem Hacker ein leichtes Spiel haben.

Es bedarf keiner Studien um herauszufinden, dass WLAN im Hotel für die Kundschaft nützlich ist. Und seit die Zugangsmodalitäten einfacher geworden sind, wird es auch gerne angenommen. Für viele stellt die Qualität dieses Service durchaus ein relevantes Kriterium bei der Auswahl eines Übernachtungsbetriebs dar, insbesondere, wenn das Hotelzimmer auch zum Arbeiten genutzt wird. Gerade vor dem Hintergrund des Austauschs vertraulicher Unternehmens- und persönlicher Informationen ist der Schutz des WLAN-Datenverkehrs essenziell.

Hotels, die dem Ruf nach einem jederzeit verfügbaren (im besten Fall kostenlosen) Gäste-WLAN nachkommen, sollten die sicherheitsrelevanten Implikationen keinesfalls vergessen. Nicht konsequent abgesicherte Strukturen bieten viel Spielraum für Hacker, die darauf aus sind, den Netzwerkverkehr abzuhören und sensible Daten zu stehlen, um daraus Profit zu schlagen. Der Teenager, der im Urlaub nicht auf Internet verzichten kann, ist für Kriminelle dabei sicher weniger interessant als der Geschäftsmann, der via WLAN noch schnell die jüngsten Entwicklungspläne eines neuen Produkts an seinen Kollegen mailt oder über die WLAN-Verbindung des Hotels auf andere vertrauliche Unternehmensinformationen zugreift.

Für Gäste wie auch Hoteliers ist die in dem Zusammenhang bestehende Gefahr in der Regel wenig greifbar, wahrscheinlich nicht einmal bewusst. Es gibt dabei verschiedene Kategorien von Bedrohungen, die – aus der IT-Security-Brille betrachtet – spezifisch ins Gewicht fallen. Wie die Erfahrung zeigt, geht vom Einsatz sogenannter Evil Twin Access Points im Gastgewerbe ein besonders hohes Risiko aus. Obwohl diese Angriffsform bereits seit 20 Jahren bekannt ist, gehört sie nach wie vor zu den am weitesten verbreitetsten Varianten, die auf Seiten von Hotels weltweit immer wieder verheerenden Schaden anrichtet. Das Erschreckendste daran: Solche Attacken sind unglaublich einfach auszuführen, jeder Anfänger kann sich die dazu nötigen Kenntnisse über frei verfügbare YouTube-Videos aneignen. Und auch die im Zuge dessen nötigen Hacking-Werkzeuge stehen öffentlich und legal im Internet zur Verfügung.

Mit dem Einsatz eines Evil Twin Access Points sollen Leute dazu gebracht werden, sich nicht mit den Funkstationen des Hotel-WLANs, sondern mit einem anderen, arglistig instrumentalisierten Zugangspunkt (dem wortwörtlichen bösen Zwilling) zu verbinden. Im Zuge dessen wird vom Hacker – der sich in Reichweite des Hotels befinden muss – zunächst die sogenannte SSID des Hotel-WLANs (also der Netzwerkname) mithilfe entsprechender Werkzeuge ausgelesen, um diese anschließend kopieren und selbst ausstrahlen zu können. Wenn das Hotel mit der SSID „WLAN Goldener Schwan" sendet, wird der Angreifer dies übernehmen. Das dem Anwender angezeigte "Evil Twin"-Netzwerk sieht dann komplett identisch aus und es ist meist nur eine Frage der Zeit, bis sich Gäste mit diesem statt dem eigentlichen Hotel-WLAN verbinden. Hierbei kommen oft weitere Tricks zur Anwendung, mit denen der Hacker darüber hinaus dafür sorgen kann, dass sich die Telefone, Laptops, Smart Watches und Tablets automatisch in das Evil-Twin-Netzwerk einwählen. Dass die „gefälschte“ Verbindung geglückt ist, ist in der Regel nicht zu bemerken. Sie können wie gewohnt im Internet surfen, auf eMails zugreifen, sich bei geschäftlichen Cloud-Anwendungen anmelden oder online auf Shopping-Tour gehen, wobei der Fremdling in der Lage ist, jeden einzelnen dieser Vorgänge mit zu verfolgen. Und damit nicht genug: Ihm stehen nun alle Wege offen, um Eingaben zu manipulieren, mitzuschneiden, zu verändern und umzulenken oder einfach nur Informationen zu sammeln. Passwörter, Kreditkartennummern und andere sensible Unternehmens- und persönliche Daten waren dann die längste Zeit sicher.

Hier sollte man IT-Security-Experten hinzu ziehen, die ein etwas anderes „Hygiene-Konzept“ erstellen. So lange das nicht installiert ist, hilft der Hotel-Kundschaft vielleicht eine Warnmeldung.

Kommentare