Sicherheitswirtschaft

„Technisch ist es möglich, jedes Schloss zu öffnen”

Wie gut sind elektronische Zutrittskontrollsysteme gegen Manipulation geschützt? Die Sicherheitspraxis sprach mit Errichtern, Herstellern und dem IT-Sicherheitsexperten Marco Di Filippo.

Elektronische Zutrittskontrollsysteme gibt es seit den 1980er Jahren. Seit 2010 beobachten die Errichter eine deutliche Nachfragesteigerung. Trotzdem sind derzeit nur fünf Prozent aller Schließsysteme mechatronisch (siehe auch Errichterdialog, S. 31. Doch wie ist es um die IT-Sicherheit dieser Systeme bestellt? Wie leicht lassen sie sich manipulieren? Die Sicherheitspraxis sprach darüber mit Errichtern, Herstellern und dem IT-Sicherheitsexperten Marco Di Filippo. Er überprüft regelmäßig die IT-Sicherheit dieser Systeme.

Mitten in der Recherche und den Vorbereitungen zu diesem Artikel kommt die Nachricht: Ein Erpressungstrojaner hat weltweit hunderttausende von Rechnern befallen und deren Daten verschlüsselt. Entschlüsselung nur gegen die Zahlung von Lösegeld in Form von Bitcoins (dt. digitale Münze). Das ist eine digitale Geldeinheit, die weltweit als dezentrales Zahlungssystem Verwendung findet. Die Schwachstelle war schnell gefunden: Notwendige Sicherheitsupdates wurden nicht durchgeführt. Doch für viele Experten stellt dieser Angriff erst die Spitze des Eisbergs dar und die erste Welle in einem neuen Bedrohungsszenario.

Denn nicht mehr nur Rechner sind das Ziel, sondern auch immer mehr intelligente und vernetzte Geräte, wie Webcams, Fernseher, Router, Kühlschränke und natürlich auch Zutrittskontrollsysteme können betroffen sein. In die Diskussion gerieten vor knapp über einem Jahr die RFID-Transponderkarten. Diese für die elektronische Zutrittskontrolle genutzten Systeme lassen sich Sicherheitsexperten zufolge häufig trivial einfach klonen, wie mehrere Fachmedien damals im Umfeld des 32. Chaos Communication Congresses in Hamburg übereinstimmend berichteten.

„Technisch ist es möglich, jedes Schloss zu öffnen. Es ist einfach eine Frage der Zeit und der Energie, die ich dafür investiere“, sagt Marco Di Filippo. Der Cyber Security Evangelist und Head of Cyber Security Engineering bei der Firma Koramis GmbH aus Saarbrücken führt für führende Hersteller Tests im Bereich von Zutrittskontrollsystemen durch. Als er der SicherheitsPraxis das Interview gibt, arbeitet er gerade an der Behebung der Schäden, die durch den WannaCry-Angriff entstanden sind.

Auch bei rein mechanischen Lösungen, könne man die Systeme knacken, wenn man es darauf anlege, sagt er und weist darauf hin, dass man aufgrund der Vielzahl der Systeme und Anforderungen ganz schwer generelle Aussagen treffen könne. „Die Vielfalt ist so unendlich groß, dass der Anwendungsfall entscheidend ist. Es gibt kein Schloss und keine Technik, die ich überall einsetzen kann. Hier entscheidet das Fachwissen der Errichter, die über die entsprechende Qualifizierung verfügen.“

Marco Di Filippo ist seit seiner Kindheit ein Computer-Enthusiast. Er ist Autor, Blogger, Berater und hält Fach- und Publikumsvorträge.
Sein Spezialgebiet sind organisatorische und technische IT-Sicherheitsprüfungen und -konzepte.

Elektronische Systeme seit Anfang der 1980er Jahre Thema

Zu Beginn der 1980er Jahre fingen namhafte Hersteller von Schließzylindern an, sich mit dem Einbau von Elektronik in Zylinder und Schlüssel zu befassen. Diese ersten Systeme waren weit von dem entfernt, was heute technisch möglich ist. Dabei lässt sich ein Trend klar erkennen: Der Einsatz dieser elektronischen Zutrittskontrollsysteme gewinnt immer mehr an Bedeutung. Gerade in öffentlichen Gebäuden und in Unternehmen. Das bestätigt auch die Umfrage der Sicherheitspraxis unter ausgewählten Errichterbetrieben (siehe S. 31 – 32). Die Gründe dafür sind vielfältig: Gestiegene Sicherheitsanforderungen, Gewinn an Flexibilität und ein langfristiger Kostenvorteil.

Dabei zeigt sich in der Praxis, dass elektronische und mechanische Systeme häufig neben- und vor allem miteinander eingesetzt werden, abhängig von den Anforderungen. Zum Schutz oder Prävention von Einbrüchen werden mehrheitlich mechanische Systeme eingesetzt. Die Elektronik kommt häufig dann zum Einsatz, wenn es um das Thema Zutrittskontrolle geht.

Schwachstelle sind Funkprotokolle und Schnittstellen

In den zahlreichen Sicherheitstest, die Marco Di Filippo zusammen mit seinem Unternehmen für Hersteller von Zutrittskontrollsystemen durchgeführt hat, fielen zwei Schwachstellen immer wieder auf: Das waren die Funkprotokolle und die Schnittstellen bzw. Mängel in der Programmierung. „Teilweise kamen diese Funkprotokolle ohne Verschlüsselung daher. Somit lassen sich die dahinter stehenden Schlösser relativ leicht überwinden.“ Deshalb rät er den Facherrichtern auch, bei der Auswahl der Systeme auf die Verwendung von etablierten, verschlüsselten Protokollen zu setzen. Dabei ist vor allem darauf zu achten, dass der Hersteller dies auch dem Standard entsprechend implementiert.

„Auf jeden Fall sollte man darauf achten, dass übliche Sicherheitsstandards eingehalten werden und dass die Vorgaben auch erfüllt sind. Außerdem sollte man kontrollieren, ob geräteübergreifende Systemkeys eingesetzt werden und in diesem Fall auf eine solche Lösung verzichten.“ Doch er räumt ein: „Es gibt momentan kein Gütesiegel, das dies entsprechend regelt und sichtbar macht.“

Eine weitere Schwachstelle liegt oft in der Programmierung der Apps und der Schnittstelle selbst. „Es gibt eine namhafte Hotelgruppe, die haben hochwertige Türschlösser eines namhaften Herstellers eingebaut“, sagt Marco Di Filippo. Die Mechanik sei also top. Nun habe das Hotel eine App entwickelt, die gleichzeitig als Zimmerschlüssel fungiert. „Ich kann mich also nicht nur per App einchecken, sondern die App auch als elektronischen Schlüssel verwenden.“ An dieser Stelle befinde sich eine Sicherheitslücke, weshalb Marco Di Filippo darauf verzichtet, die App als Schlüssel zu verwenden. „Das Schloss, also die Mechanik, ist sehr gut, die Programmierung, also die Anbindung an die App, weißt Sicherheitslücken auf.“

„Ich als Gast erwarte einfach, dass niemand außer mir Zutritt zu meinem Zimmer hat. Wenn ich aber den Key des Service-Personals nachbauen kann, stehen mir alle Zimmer offen. Früher, als viele Zimmerschlüssel noch Magnetstreifen hatten, haben wir daraus eine Challenge gemacht: Wer zuerst den Service-Key nachgebaut hatte und im Zimmer des Kollegen stand, hat gewonnen“, erinnert sich Di Filippo. Meist stellte dies nie eine größere Herausforderung dar.

Online-Anbindung in der Branche umstritten

Die Online-Anbindung sehen Errichter in vielen Fällen als kritisch. Online-Systeme werden in der Praxis häufig dann eingesetzt, wenn wenige Eingangsbereiche für eine hohe Anzahl an Personen zur Verfügung stehen. „Wir bauen die Systeme in der Regel so, dass sie gar nicht online sind“, sagt Alexander Schröter, er ist Geschäftsführer der SGW Technik GmbH.

Ein autarkes System bewertet er in der Praxis und unter den gestellten Sicherheitsanforderungen häufig als wichtiger, als etwa den Komfortverlust, der mit einer fehlenden Schnittstelle einhergeht. „In den meisten Fällen bemühen wir uns darum, dass die Systeme autark sind. Und wenn ein Kunde darauf besteht, dass sie online erreichbar sind, würde ich ihm derzeit immer empfehlen, die Finger davon zu lassen“, sagt Alexander Schröter. Das Risiko sei einfach noch zu groß.

Im Gegensatz dazu ist bei der Offline-Variante die Zugangserlaubnis auf dem Transponder selbst gespeichert. Auch hier habe es in der Vergangenheit Fehler auf Hersteller-Seite gegeben, wie die Tests seines Unternehmens gezeigt hätten, sagt Marco Di Filippo. Die Hersteller seien jedoch in der Regel interessiert, solche Schwachstellen umgehend zu beseitigen.

Wenn er und sein Unternehmen die Zutrittskontrollsysteme einer umfangreichen Sicherheitsanalyse unterziehen, gehen sie dabei immer nach einem bestimmten Schema vor. Ziel dabei sei es, zu überprüfen, ob die Anlage die geforderten Bedingungen erfüllt. Es sei ein Unterschied, ob ein Zutrittskontrollsystem für einen Hochsicherheitsbereich oder für ein Hotel gedacht sei.

Passwortsicherheit oder Replay-Angriff: Verschlüsselung entscheidet

„In einem ersten Schritt überprüfen wir, ob beim System ein Plain-Passwort hinterlegt ist oder ob der Authentifizierungsund Identifikationsvorgang verschlüsselt ist.“ Natürlich werde dabei auch untersucht, wie leicht man an dieses Passwort herankomme. „Der Aufwand, den jemand betreiben muss, um die Sicherheitssysteme zu überwinden, spielt auch immer eine wichtige Rolle.“ In einem zweiten Schritt prüfen die Experten, ob eine Replay-Attacke möglich ist. Dabei handelt es sich um eine kryptoanalytische Angriffsform auf die Authentizität von Daten in einem Kommunikationsprotokoll. „Die Frage, die wir dabei betrachten, ist: Mit welchem Aufwand kann ich den Schließ-Vorgang einmal mitschneiden, speichern und anschließend wiederholen.“

Beim dritten Test werde geprüft, wie leicht oder schwer es ist, an einen der vorhandenen Identifikationsmerkmalträger heranzukommen, um diesen nachzubauen. Beim Fuzz-Testing schließlich, oder auch Fuzzing, werden die Schnittstellen des zu testenden Systems mit zufälligen Eingaben konfrontiert, um deren Robustheit zu testen und um etwaige Fehleranfälligkeit zu prüfen sowie um eventuelle Sicherheitslücken zu finden. Beim sogenannten Device Spoofing, ein weiterer Test in dieser Reihe, werde das System mit Informationen überladen. Ziel sei es, Authentifizierungs- und Identifikationsverfahren zu untergraben. „In der letzten Test-Reihe überprüfen wir den Datenverkehr selbst. Viel zu häufig stellen wir dabei fest, dass die Kommunikation selbst gar nicht verschlüsselt ist.“

Diese Tests führt Marco Di Filippo zusammen mit seinem Unternehmen auch vor Ort in Unternehmen und bei Organisationen durch. Er überprüft damit, ob die eingebauten Systeme die geforderten Sicherheitsstandards auf IT-Seite erfüllen: „Wir arbeiten in der Praxis auch für Facherrichterbetriebe, die gegenüber ihren Kunden einen Sicherheitscheck vorweisen wollen oder müssen.“ Auch Hersteller lassen ihre Systeme testen. Die gefundenen Schwachstellen werden meist zeitnah beseitigt, so das Fazit von Marco Di Filippo.

Hersteller sind sich der Risiken bewusst

„Digitale Zutrittskontrollen müssen sowohl in der physischen Ausgestaltung als auch auf der Anwendungs-Ebene sicher gestaltet werden“, sagt Susanne Plank, Marketing Communications der PCS Systemtechnik GmbH mit Sitz in München auf Anfrage der Sicherheitspraxis. Sie nennt drei Manipulationsmöglichkeiten: Manipuliert werden könne das Zutrittsmedium selbst. Meist sei hier kriminelle Energie im Spiel, beispielsweise durch Diebstahl oder Weitergabe einer RFID-Karte. Vandalismus stelle eine weitere Manipulationsmöglichkeit dar, indem zum Beispiel der Zutrittsleser zerstört werde. Auch durch Nachlässigkeit, wie Offenhalten oder Blockieren der Tür, könne ein Zutrittskontrollsystem manipuliert werden.

Ein weiterer Weg führe über die Administratoren- Seite in der Zutrittskontroll- Software, indem Zutrittsprofile gefälscht oder manipuliert werden. „Hierbei ist es wichtig, entsprechende Verschlüsselungsmechanismen zu aktivieren, sichere Passwörter einzuführen und die aktuellen Software-Updates einzuspielen.“ Wie wichtig dies sei, habe der letzte Hackerangriff wieder deutlich gezeigt. Ihr Fazit zu den Sicherheitsrisiken lautet: „Alle Ebenen der digitalen Zutrittskontrolle müssen gesondert betrachtet und geschützt werden.“

PCS schließt die bekannten Lücken im System

„PCS schließt die Lücken im System“, sagt Susanne Plank. „Die INTUS Zutrittskontrollmanager, Terminals und Leser sind durch Sabotagekontakt gegen Vandalismus geschützt. über die leistungsfähige Zutrittskontroll-Software DEXICON können starke Sicherheitsmaßnahmen getroffen werden, um die Risiken zu minimieren.“ So könne etwa die Verbindung mit Videoüberwachung Ereignisse in der Zutrittskontrolle schnell aufklären. „Antipass-Back“ verhindere die Weitergabe von Karten. Die Kombination von RFID-Karte und PIN oder Biometrie, also eine Zwei-Faktor- Authentifizierung, erhöhe außerdem die Sicherheit. Das Unternehmen setze gerade für Hochsicherheitsbereiche auf Biometrie: Die „INTUS PS Handvenenerkennung“ sei nicht manipulierbar und damit fälschungssicher.

Auf der Hardware-Administrationsebene sorgen wiederum Verschlüsselung, ein dreistufiges Passwort und eine integrierte Firewall für Sicherheit. „Wichtig ist es auch, sich gegen Angriffe, die aus dem Unternehmen kommen, zu schützen.“ Es sollte deshalb nicht nur der Datenport, sondern auch der Serviceport geschützt werden. „Welcher Mitarbeiter hat Zugriff auf welche Passwörter? Wo werden diese abgelegt? Wie wird dokumentiert?“, das seien dabei die zentralen Fragen.

Assa Abloy: Ganzheitliche Zutrittskontroll-Lösung

Polichronis Sidiropoulos, Verkaufsleiter Zutrittskontrolle für die Region DACH bei Assa Abloy mit Sitz im badenwürttembergischen Albstadt definiert die drei Kernelemente sicherer elektronischer Zutrittskontrollsysteme: Die Ausweisverwaltung und das dazugehörige Keyhandling, die IT-Infrastruktur sowie ganzheitliche Lösungen unter Berücksichtigung der entsprechenden Türsituation.

Die Generierung der Keys, also die Konfiguration von Ausweisen erfolge bei den Systemen des Unternehmens verschlüsselt und innerhalb des Zutrittskontrollsystems Scala. „Es müssen daher keine sicherheitsrelevanten Daten herausgegeben werden und so besteht kein Risiko einer Sicherheitslücke bei der übertragung von Informationen“, sagt Polichronis Sidiropoulos. Die Zutrittskontrolle Scala sei ein in sich geschlossenes System. „Das heißt, die https-verschlüsselte Weboberfläche und die kryptierten übertragungsprotokolle bieten höchste Sicherheit. Mögliche Angriffe von außen, etwa durch Zugriffe über nicht sichere Kanäle, können abgewehrt werden. Die Plattform bietet somit höchste Standards und der Kunde bestimmt mit seiner ITInfrastruktur das Sicherheitslevel“, erläutert Sidiropoulos, der für eine ganzheitliche Lösung plädiert.

„Es gibt unterschiedlichste Türsituationen und Kunden- bzw. Nutzeranforderungen. Daher gilt es, die Hardware und die Software von Zutrittskontrolle in Einklang mit weiterer Technik rund um die Tür so zusammenzubringen, dass die optimale Lösung für jede Türsituation gefunden wird.“

Primion Technology: Aufwand, die Systeme zu umgehen, ist enorm

„Moderne digitale Zutrittskontrollsysteme sind heute durch aktuelle Technologie-Standards gegen Angriffe von außen sehr gut geschützt“, sagt Horst Eckenberger. Er ist CEO der primion Technology AG. Das Unternehmen zählt europaweit zu den führenden Anbietern für Zutrittskontrolle, Zeiterfassung und Sicherheitstechnik. In der Regel seien die Systeme nur dann angreifbar, wenn Insider-Wissen mit im Spiel sei, erläutert Eckenberger und ergänzt: „Und selbst dann nur mit erheblichem Aufwand.“

So sei beispielsweise der Zutritt mit Hilfe eines „Nachschlüssels“, also einer geklonten RFID-Karte quasi ausgeschlossen, da die Leseverfahren, wie LEGIC®advant und MIFARE® DESFIRE ® nach heutigem Stand sehr schwer kopierbar seien und die Anlage außerdem Dubletten erkennen könne. „Ein weiteres Sicherheitsrisiko könnte die Aktivierung eines Ausweises oder die unerwünschte Vergabe von Zutrittsrechten direkt in der Applikation selbst sein, indem sich der Hacker als ein in den Nutzerrechten hinterlegter User ausgibt.“ Allerdings verhinderten dies in der Regel sowohl die eigenen Sicherheits- Features als auch die beim Kunden implementierten ITStandards diese Form von Angriffen wirksam. „Dafür müssten dann zum Beispiel Passwörter bekannt sein, also ein ‚Angriff von innen’ erfolgen.“

Als dritte Variante käme noch der Eingriff in die Kommunikationslinie zwischen Applikation und Controller in Frage, so dass auf Befehlsebene der Geräte unerwünschte Aktionen ausgelöst werden, wie etwa das öffnen einer Tür. „Allerdings ist die Kommunikation zwischen den Controllern und den Geräten kryptiert und nur mit extrem hohen kriminellen Aufwand zu umgehen“, erklärt Horst Eckenberger.

Technisch ist es möglich mit einem entsprechenden Mitteleinsatz jedes Schloss zu knacken, darin sind sich alle Experten einig. Deshalb ist es gerade im Bereich der Zutrittskontrolle entscheidend auf die Expertise des Fachmannes zu setzen: Also die kompetente und qualifizierte Beratung durch zertifizierte Facherrichterbetriebe. Denn sie können in der Regel exakt bestimmen, welche Mittel eingesetzt werden müssen, um das geforderte Schutzziel zu erreichen.

Redaktion Prosecurity

Die ProSecurity Publishing GmbH & Co. KG ist einer der führenden deutschen Sicherheitsfachverlage. Wir punkten mit fachlicher Kompetenz, redaktioneller Qualität und einem weit gespannten Netzwerk von Experten und Branchenkennern.

Kommentieren

Hier klicken, um ein Kommentar zu schreiben