Pwned: Warum ein 11-stelliges „Passwort“ jede Server-Tür öffnet

Während Unternehmen Milliarden in KI-gestützte Cyber-Abwehr investieren, offenbart ein aktueller Bericht aus der Security-Community eine erschreckende Lücke in der physischen Absicherung von Rechenzentren.

Ein vermeintlich sicheres Zwei-Faktor-Authentifizierungssystem (2FA) für Serverräume ließ sich durch eine simple Überlastung des Tastenfeldes komplett umgehen. Der Fall wirft ein Schlaglicht auf die oft vernachlässigte Qualitätssicherung bei IoT-Sicherheitshardware.

Key Insights: Der Hardware-Fail

• Vektortyp: Physischer Logic-Exploit / Keypad-Overflow.
• Mechanismus: Die Eingabe von mehr als 11 Ziffern löst einen automatischen Unlock aus.
• Schwachstelle: Umgehung des ID-Card-Swipes (1. Faktor) durch reines Tippen (2. Faktor).
• Status: Herstellerseitig ungelöst; Risiko für Legacy-Systeme extrem hoch.

Analyse: Wenn die Logik gegen Gewalt verliert

Der Vorfall ereignete sich in einem mittelständischen Unternehmen während der Vorbereitung auf ein externes Sicherheitsaudit. Das installierte Schließsystem erforderte eigentlich das Durchziehen einer Mitarbeiterkarte, gefolgt von einer vierstelligen PIN.

In der Theorie ein solides 2FA-Szenario. Die technische Realität sah jedoch anders aus: Ein Junior-Systemadministrator entdeckte zufällig, dass das Schloss bei einer Eingabe von 10 bis 11 beliebigen Ziffern in einen Fehlerzustand geriet und den Riegel freigab.

Dieser „Keypad-Bash“-Exploit ist technisch gesehen ein Paradebeispiel für schlechte Firmware-Programmierung. Anstatt ungültige Sequenzen abzuweisen oder das System nach Fehlversuchen zu sperren, scheint der Controller bei einer bestimmten Puffergröße einfach den Befehl „Open“ zu triggern – vermutlich ein Relikt aus einem schlecht implementierten Debug- oder Notfall-Modus.

Da der liefernde Händler nicht gleichzeitig der Hersteller war, blieb eine schnelle Behebung des Fehlers aus, was das Unternehmen dazu zwang, den Auditor durch eine gezielte Demonstration (nur 4-stellige korrekte PINs) zu täuschen.

Einordnung & Perspektive

Was nützt mir ein Smartphone mit verschlüsseltem Speicher, wenn jeder Praktikant mit ein bisschen Geduld am Tastenfeld physischen Zugriff auf meine NAS-Server bekommt? - Dass wir im Jahr 2026 immer noch über solche trivialen Logic-Bugs in 'Enterprise'-Hardware diskutieren müssen, ist ein Armutszeugnis für die Branche.

An meinem eigenen Setup sehe ich oft, dass Hersteller bei der physischen Komponente sparen. Ein Schließsystem darf niemals 'fail-open' gehen, nur weil jemand zu viele Tasten drückt.

Wer sein Rechenzentrum liebt, der testet seine Schlösser nicht nur auf Korrektheit, sondern auch auf pure Absurdität.