Reisdocumenten, geld, sieraden, mobiele apparaten: wie op reis is, heeft altijd wel waardevolle spullen mee. Veel hotels bieden daarom op de kamers kluisjes of safes aan, waar de spullen veilig kunnen bewaard worden. Maar zijn die hotelkluisjes wel zo veilig? Volgens consumentenorganisaties en veiligheidsexperts niet altijd. Zo zouden criminelen zonder al te veel technische kennis het kluisje kunnen openmaken. We zetten de mogelijke gevaren even op een rij en vroegen om een antwoord bij enkele leveranciers van kluisjes.
Iedereen kent het probleem. Je hebt op reis waardevolle spullen bij, die je hoegenaamd niet op jouw hotelkamer wil laten rondslingeren. Want hoe betrouwbaar is het personeel dat toegang heeft tot de hotelkamer? En wat met mogelijke dieven die misschien wel een loper hebben om jouw kamer binnen te raken? Een hotelkluisje is dan een mogelijke oplossing. Meestal bevindt zo’n safe zich in een kledingkast, vlak bij de ingang van de kamer.
De positie van zo’n kluisje op zich, houdt misschien al een gevaar in. Dieven vinden wat ze zoeken van zodra ze de kamer binnenkomen. Bovendien kan het snel gaan, aangezien ze niet de ganse kamer hoeven af te zoeken. En zo’n kluis is voor hun een echte goudmijn: ze weten op voorhand dat alle waardevolle spullen in de safe zitten.
Maar krijgen ze zo’n kluis dan gemakkelijk open? Sommigen beweren van wel. Er zouden bovendien meerdere manieren zijn om de hotelsafes te openen, zonder dat de crimineel beschikt over de juiste code.
Methode 1: Mastercode
De eenvoudigste methode voor een dief is gewoon om de mastercode in te voeren. Deze door de fabrikant ingevoerde code is bedoeld om de kluis te openen in noodgevallen. Bijvoorbeeld als de gast zijn code is vergeten, de batterij van de kluis niet meer werkt of wanneer de gast is vertrokken zonder zijn kluis leeg te maken. In de meeste gevallen is deze mastercode een niet moeilijk te raden cijfercombinatie (zo is 0000 bijvoorbeeld een veel voorkomende cijfercombinatie). De bedoeling is dat hotels bij de ingebruikname van de kamerkluisjes de mastercode onmiddellijk vervangen door hun eigen code, maar onderzoek wijst uit dat dit vaak niet wordt gedaan. Gevolg is dat op die manier een crimineel die weet heeft van de mastercode in iedere kamer gemakkelijk de kluis kan openen. Het advies van de kluisjesproducenten aan de hoteliers is dan ook om regelmatig de mastercode te veranderen en om verschillende mastercodes te gebruiken voor groepen van kamers (per etage, groepen van kamernummers en dergelijke). Eigenlijk zou men zelfs voor iedere kluis een aparte mastercode moeten hebben.
Methode 2: Noodsleutel
Sommige kluisjes kunnen in noodgevallen ook geopend worden met behulp van een noodsleutel. Die is in het bezit van de hotelmanager. Zo’n noodslot wordt enkel zichtbaar door het verwijderen van het afdekplaatje op de kluis. Naar verluidt zou zo’n noodslot gemakkelijk geopend kunnen worden door een gemanipuleerde loper.
Methode 3: Kortsluiting
Een derde mogelijkheid voor criminelen om een kluis te openen is het veroorzaken van kortsluiting. Bij een kortsluiting gaat het mechanisme immers ervan uit dat de deur van een kluis open staat (terwijl die dicht is) en vraagt het systeem om de ingave van een nieuwe pincode om de kluis mee af te sluiten (en te openen). Het volstaat dan voor een crimineel om een nieuwe code in te voeren. De door de gast ingevoerde code wordt dan gewoon overschreven door de nieuwe code, zodat de kluis opent en de dief zich toegang kan verschaffen. Volgens beveiligheidsexperts zou het voor criminelen echt niet moeilijk zijn om kortsluitingen te veroorzaken.
Methode 4: Skimming
Momenteel zijn er kluisjes op de markt die versleuteld en geopend worden met een creditcard. Volgens experts houdt dit risico’s in. Zo’n kluis maakt immers gebruik van een kaartlezer, die de kredietkaart controleert. De magneetstrip, waar je de kredietkaart moet doorhalen, zou echter gemakkelijk kunnen gemanipuleerd worden. Experts hebben ontdekt dat het vrij gemakkelijk is om skimmingapparatuur aan de kluisjes toe te voegen (Skimming betekent illegaal uitlezen van gegevens van bankpasjes en kredietkaarten). Op die manier zou het voor criminelen gemakkelijk zijn om de kluis te openen. Bovendien zouden ook de kredietkaartgegevens en pincodes van de gasten kunnen verkregen worden, die dan ook voor andere criminele doeleinden zouden kunnen gebruikt worden. Sommige beveiligheidsexperts raden dan ook de aankoop van kluisjes af die creditkaartgegevens vereisen.
Hotelkluisjes onveilig?: antwoord van enkele leveranciers
Als je de kritieken leest van beveiligheidsexperts over hotelkluisjes, zou je kunnen besluiten dat gasten niet te veel vertrouwen zouden mogen hebben in safes. Een andere conclusie zou dus zijn dat hotels zich geld kunnen besparen en niet langer zoude moeten investeren in de aanschaf van kluisjes. Maar is de kritiek over de (vermeende) onveiligheid van hotelkluisjes wel terecht? We vroegen het aan enkele leveranciers van hotelkluisjes. Hieronder leest u hun antwoord.
Mastercode: niet zo -gemakkelijk te achterhalen
Myrthe van Houwelingen (Assa Abloy) zegt dat een simpele mastercode inderdaad niet aan te raden is. Daarom hebben de ELSAFE kluizen van Assa Abloy dat niet: “ ELSAFE kluizen van Assa Abloy maken geen gebruik van een mastercode. Security of de Technische Dienst hebben een zogeheten PINKEY of een PDA met SafeLink Software om de kluis mee te openen”.
Debbie van den Oever (Hotek Hospitality Group): “ Onze mastercode is een niet voor de hand liggende code, deze is dus niet gemakkelijk te raden. Om een mastercode op te vragen hebben wij bovendien een speciale procedure, waarbij een schriftelijk akkoord van een bevoegde medewerker (hotelmanager, directie) nodig is. Dit om ervoor te zorgen dat mastercodes niet in verkeerde handen komen. Bij onze kluisjes kan de mastercode trouwens worden uitgeschakeld”.
Lien Oscé (Dometic): “ Bij Dometic kunnen klanten, tijdens het plaatsen van de bestelling, een mastercode doorgeven aan de fabrikant. Op die manier kunnen niet voor de hand liggende mastercodes ingesteld worden. Als de mastercode dan toch nog in verkeerde handen zou terechtkomen, kunnen die mastercodes ten allen tijde aangepast worden. Dometic biedt met haar unieke REOS-systeem (Remote Emergency Opening System) een dubbele veiligheid aan, waarbij enkel de mastercode niet volstaat om een kluis in geval van vergetelheid van de code te openen. Men heeft hier een extra programma voor nodig. Dit programma kan enkel via gebruiksnaam en paswoord gebruikt worden. Extra interessant is het te weten dat alle manipulaties via dit programma zichtbaar zijn voor de hoofdgebruiker ervan: in de praktijk de verantwoordelijke ‘security’. Het is de bedoeling van deze fabrikant dat het hotel, na opleiding in verband met kluizen en het bijhorende programma, de kluisjes volledig zelf kan beheren en in geval van betwisting, ten allen tijde het logboek per gebruiker kan raadplegen. Bovendien is er ook het unieke iAudit trackingsysteem, waarbij alle gebeurtenissen van de kluis worden gedocumenteerd: zowel de elektronische als via de mastersleutel”.
Noodsleutel: moeilijk te kopiëren
Myrthe van Houwelingen (Assa Abloy): “ Bij onze ELSAFE kluizen is het onmogelijk om dit te manipuleren aan de buitenkant. ELSAFE Kluizen kunnen door middel van een zogeheten PINKEY of een PDA met SafeLink software geopend worden in geval van nood. De PINKEY en de SafeLink Software zijn beveiligd met een pincode”.
Debbie van den Oever (Hotek Hospitality Group): “ Onze kluizen hebben noodsleutels. Deze kunnen niet worden gekopieerd door sleutelleveranciers. Om een noodsleutel bij te bestellen hebben wij een speciale procedure, waarbij een schriftelijk akkoord van een bevoegde medewerker (hotelmanager, directie) nodig is. Dit om ervoor te zorgen dat noodsleutels niet in verkeerde handen komen”.
Lien Oscé (Dometic): “Onze fabriek in Girona heeft al meer dan 35 jaar ervaring in het maken van kluizen. Alle kluizen beschikken over mastersloten, die enkel geopend kunnen worden door zeer veilige cilindersleutels. Het is onmogelijk om de kluizen met een gewone of gemanipuleerde loper te openen. Verder hebben onze kluizen in optie een ‘anti-tamper-systeem’: van zodra men in de kluis heeft willen inbreken of deze met de of ‘een’ sleutel heeft willen openen, dient het hotelpersoneel deze kluis opnieuw te resetten: elektronische openingen zijn niet meer mogelijk tot de kluis ‘gereset’ werd. Als er 5 keer een foute code wordt ingegeven, wordt de kluis automatisch geblokkeerd. Alleen hotelpersoneel kan de kluis dan nog openen”.
Opening kluis door kortsluiting: niet -mogelijk
Myrthe van Houwelingen (Assa Abloy): “ Soft- en hardwarematig is dit niet mogelijk. Tevens hebben de meest gangbare ELSAFE modellen de UL-1037 certificering”.
Debbie van den Oever (Hotek Hospitality Group): “ Onze kluizen zijn voorzien van een anti-tamper beveiliging. Bij stroomuitval of kortsluiting blokkeert het slot”.
Lien Oscé (Dometic): “Dat is niet mogelijk, want wij bieden geen kluizen aan die via een externe batterij kunnen ‘gereset’ worden. Extra optie bij Dometic is ook dat de plaats waar de batterijen zitten in de kluis met een slot kan afgesloten worden, in plaats van gewoon met schroefjes: hierdoor komt men niet zonder sleutel aan de printplaat”.
Skimming: geen kluisjes met kredietkaart
Myrthe van Houwelingen (Assa Abloy): “Deze kluizen leveren wij niet. De enige ELSAFE Kluis die met een kaart geopend kan worden, is met de RFID kaart, welke encrypted is”.
Debbie van den Oever (Hotek Hospitality Group): “Wij verkopen sinds 2002 geen kluizen meer die met een magneetkaart werken. Wij bieden geen kluisjes aan die werken met een kredietkaart of magneetstrip. Wel met een RFID* (contactloze) keycard. Het RFID systeem kan niet met skimmingapparatuur gekraakt worden. *Radio-frequency identification (identificatie met radiogolven) is een technologie om van een afstand informatie op te slaan in en af te lezen)”
Lien Oscé (Dometic): “ We zijn ver weggebleven van dergelijke kluizen. Dometic heeft dergelijke kluizen nooit aangeboden net omwille van het feit dat de veiligheid ervan niet kan gegarandeerd worden”.
Auteur: Peter Van Oyen – foto’s: Assa Abloy, Hotek, Dometic