Zutrittskontrolle — Wenn High End Hardware an der Implementierung scheitert

Erfahrungsbericht aus der Praxis

Papier ist geduldig – Hardware oft auch
Moderne physische Sicherheitstechnik verspricht heute höchste Standards. Datenblätter sind voll von Begriffen wie Kryptografie (Verschlüsselung) oder „dynamischen Codes“… Wenn Unternehmen in neue Systeme investieren, wiegen sie sich oft in Sicherheit. Schließlich hat man das Premiumprodukt mit den neuesten Features gekauft. Doch die Praxis zeigt ein anderes Bild. Selbst die sicherste Hardware ist wertlos, wenn bei der Implementierung nachlässig gearbeitet wird. Ein Blick hinter die Kulissen aktueller Zutrittskontroll- sowie Einbruchmeldeanlagen offenbart eine gefährliche Kluft zwischen theoretischer Leistungsfähigkeit und tatsächlicher Konfiguration.

Die Illusion der sicheren Schleuse
Ein klassisches Beispiel aus meiner Praxis ist die Installation einer neuen Trommelschleuse zur Vereinzelung an einem kritischen Übergang. Die Vorgabe war klar. Höchste Sicherheit und Kompatibilität mit den aktuellen Standards. Diese Technologie gilt als bewährt und bietet theoretisch starke kryptografische Mechanismen, wie etwa dynamische Verschlüsselung um das Kopieren von Karten zu verhindern, die als Ausweismedien an den Zutrittslesern der Drehtrommeltüren genutzt werden.

Doch ein simpler Praxistest mit einem handelsüblichen Werkzeug für Penetrationstests, das weder viel kostet noch schwer zu bedienen ist und noch dazu das jeder einfach so kaufen kann, brachte die Ernüchterung. Anstatt die verschlüsselten Informationen des Chips abzufragen, las der Leser der Schleuse lediglich die unverschlüsselte Seriennummer aus. Im Fachbereich wird diese Nummer auch Card Serial Number (CSN) oder manchmal auch UID genannt.

Abwärtskompatibilität als Einfallstor
Das Resultat ist erschreckend. Ein System, das Zehntausende Euro gekostet hat, ließ sich ohne jegliches Fachwissen und mit minimalem Kostenaufwand überlisten. Die Seriennummer ist ein offenes Merkmal und lässt sich binnen Sekunden kopieren. Dieser Fehler ist kein Einzelfall, sondern ein strukturelles Problem. Auch bei der Zutrittskontrolltechnik eines sehr namhaften Herstellers stieß ich auf exakt dieselbe Schwachstelle – und das nicht nur einmal. Erst durch aktives Testen und Reklamieren wurde das System nachträglich sicher konfiguriert.

Oft liegt das Problem in der Lieferkette. Die Hersteller der Komponenten wissen in der Regel, wie es richtig geht und bieten die entsprechenden Funktionen an. Sie sind aber sehr sparsam bei der Weitergabe der Details dazu. Am Ende der Kette stehen die Errichter und Systemhäuser, die diese Anlagen installieren. Dank des Prinzips „Flüsterpost“ wissen sie es oft nicht besser. In den Schulungen zu den Systemen bekommen sie jedoch sehr wohl gezeigt, wie man Karten anlernt und grundlegend konfiguriert. Aber Grundlagen des verbauten Chipstandards und Aspekte, wie das Erstellen einer verschlüsselten Applikation, finden da oft keine Erwähnung. Es gibt leider auch den ein oder anderen Errichter, der den Weg des geringsten Widerstands geht. Indem statt verschlüsselter Informationen mit offenen Seriennummern gearbeitet wird. Dank der Abwärtskompatibilität vieler Leser funktioniert das Auslesen dieser Nummer meist problemlos direkt nach dem Anschließen. Der Kunde merkt im Regelbetrieb nicht, dass die beworbenen Sicherheitsfunktionen ignoriert werden.

Verharmlosung bei Einbruchmeldeanlagen
Dass dieses trügerische Sicherheitsgefühl nicht nur bei Zutrittskontrollen, sondern auch bei der tiefergehenden Hardwarearchitektur existiert, zeigte die Untersuchung einer Einbruchmeldeanlage. Hardwaretechnisch sollte die EMA isoliert und sicher sein. Die Terminals an den Bereichen zum Scharf bzw. Unscharfschalten waren ordnungsgemäß abgesichert und ließen keinen direkten Zugriff zu (es war auch der zweite Authentisierungs-Faktor PIN aktiv, die also eingegeben werden musste). Doch die Steuerungspanels für den Wachschutz waren keineswegs über PIN gesichert.

Nach dem Kopieren eines liegengebliebenen Tokens am Empfang, was keine fünf Sekunden dauerte und trotz Anwesenheit des Sicherheitsmitarbeiters unbemerkt blieb, da es sich um kontaktloses Kopieren handelte, gelang der Zugriff auf die Panels. Ein Szenario, das laut Datenblatt des Herstellers eigentlich hätte unmöglich sein sollen. Teils sogar durch das Ergreifen physischer Maßnahmen. Die Reaktion des Herstellers auf diese Entdeckung war symptomatisch, denn er spielte das Problem herunter. Er versprach eine Softwareaktualisierung, die sowieso schon lange in Planung gewesen wäre, argumentierte aber andererseits, dass ein Angreifer mit diesem Zugriff ohnehin hätte nichts anfangen können.

Der Mythos des harmlosen Zugriffes
Dass der Zugriff harmlos war, hielt der Realität jedoch nicht stand. In Zusammenarbeit mit dem Errichter der Anlage konnte das genaue Gegenteil bewiesen werden. Die erlangten Zugriffe verschaffen mindestens schon mal dieselben Möglichkeiten, die dem Wachschutz bereitgestellt werden. Und mit den entsprechenden Tokens des Errichters ließ sich am Terminal praktisch alles bedienen und manipulieren. Je nach spezifischer Konfiguration ist es vielleicht nicht immer sofort möglich, die gesamte Anlage direkt scharf oder unscharf zu schalten. Aber es ist kritisch, sich Wächterrechte zu verschaffen und beispielsweise anstehende Alarme zu quittieren und zu unterdrücken.

Ein enormes Risiko besteht darin, dass Errichter für Wartungszwecke oft standardisierte Tokens oder dieselben Schlüssel bei mehreren Kunden verwenden. Fällt ein solcher Token durch eine Schwachstelle in einem Panel in die falschen Hände, ist nicht nur ein Kunde des Errichters kompromittiert, sondern möglicherweise ein Großteil seines Kundenstamms. Das Szenario verschlimmert sich, wenn die Kunden des Errichters nicht nur einen Stammsitz, sondern auch Werke an verschiedenen Standorten haben.

Keine halbherzige Abnahme bei fehlenden Informationen
Wenn es im laufenden Betrieb zu einem Sicherheitsvorfall kommt, ist es zu spät. Der Errichter wird sich damit herausreden, dass die Anlage vom Kunden abgenommen wurde. Und der Errichter hat hier meiner Meinung nach erst einmal recht. Der Kunde trägt mindestens eine Teilschuld. Das System wurde ordnungsgemäß übergeben und er hat ein Abnahmeprotokoll unterschrieben. Doch was ist wirklich passiert? Der Kunde hat sich die Funktionen und die Bedienung zeigen lassen: Nach dem Anlegen einer Karte wird diese vorgehalten und die Tür öffnet sich. Idealerweise werden ein paar Szenarien und Arbeitsabläufe durchgespielt, die auch reibungslos funktionieren. Doch was im Hintergrund passiert, prüft in der Regel jemand. Wie auch? Es fehlt das Fachwissen, die Technik und oft das Geld, um jemanden die Funktionen testen zu lassen, also durch einen integrativen Penetrationstest, der auch die Schnittstelle zur EMA prüft.

Hersteller führen einen Abnahmetest durch, um festzustellen, ob die Technik funktioniert. Die wenigsten machen (gewerkeübergreifende) Penetrationstests, wo die physische Sicherheit die Schnittstelle bildet. Am einfachsten wäre es, hier einmal auf die entsprechenden Stellen zuzugehen und nachzufragen, ob bei der nächsten Prüfung auch die physischen Systeme in die Tests einbezogen werden können. Das ist zwar reaktiv, aber man erhält immerhin eine sichere Aussage und eine regelmäßige Prüfung. Doch auch die Prüfung bei der Abnahme ist tatsächlich einfacher, als man denkt. Für eine erste Einschätzung reichen ein Smartphone und eine kostenlose App aus dem Store vollkommen aus. Die App herunterladen, öffnen und eine codierte Zugriffskarte an das Telefon halten. Das ist alles. Je nach App werden sehr viele Informationen dargestellt, doch für den Anfang reicht es völlig aus, nach einem einzigen Parameter Ausschau zu halten. Dieser heißt „Application“ oder „unknown Application“. Wenn ein solcher Eintrag nicht existiert, ist offensichtlich, dass etwas nicht stimmt. In diesem Fall sollte man den Errichter zwingend darauf ansprechen. Ohne Codierungseintrag auf der Karte können keine Informationen verschlüsselt ausgetauscht werden.

Kennzeichnende Faktoren eines sicheren Systems
Zusätzlich zu den bereits genannten Punkten sollten bei der Planung und Abnahme von Sicherheitssystemen noch folgende Aspekte beachtet werden.

• Die unverschlüsselte Leitung: Die sicherste Verschlüsselung zwischen Karte und Lesegerät bringt wenig, wenn die Daten anschließend ungeschützt weitergeleitet werden. Viele Systeme nutzen für die Strecke vom Lesegerät an der Wand bis zur Steuereinheit im Hintergrund veraltete Protokolle. Bei diesen wandern die Daten unverschlüsselt über das Kabel. Ein Angreifer könnte das Lesegerät abschrauben, die Drähte anzapfen und die Zugangsdaten im Protokoll? im Klartext mitlesen. Eine zeitgemäße Installation sieht daher eine verschlüsselte Protokollierung für die Kabelstrecke vor.
• Der Besitz der digitalen Schlüssel: Ein weiterer oft übersehener Punkt ist die Schlüsselverwaltung. Wenn eine sichere Applikation auf der Karte erstellt wird, benötigt diese digitale kryptografische Schlüssel. Oft generiert und behält der Errichter diese Schlüssel. Das macht Kunden komplett abhängig. Kunden sollten vertraglich festhalten, dass sie die alleinigen Eigentümer aller digitalen Schlüssel sind.
• Alte Zöpfe konsequent abschneiden: Wenn man in ein neues und sicheres System investiert, müssen die Lesegeräte zwingend so konfiguriert werden, dass sie alte Formate komplett ignorieren. Oft werden aus Bequemlichkeit Multiformatleser installiert, die neben dem neuen sicheren Standard auch noch uralte und unsichere Kartentypen auslesen können. Ein Angreifer wird immer versuchen, dem System eine alte, manipulierte Karte unterzuschieben. Nur wenn das Lesegerät solche Karten rigoros abweist, ist das System wirklich sicher.

Fazit: Hinterfragen und Prüfen
Was können wir aus diesen Beispielen lernen? Die Beschaffung modernster Sicherheitstechnik ist noch keine Sicherheitsstrategie. Unternehmen dürfen sich nicht blind auf Marketingversprechen oder das Wort der Errichter verlassen. Es ist essenziell wichtig zu verstehen, was genau implementiert wird und wie es konfiguriert ist. Wenn ein System als „hoch sicher“ beworben wird, muss vertraglich und technisch sichergestellt werden, dass die angepriesenen kryptografischen Funktionen auch wirklich zwingend genutzt werden. Kunden wird geraten, gezielt nachzufragen sowie auf Abnahmetests und zusätzliche Penetrationstests zu bestehen. Hinter vermeintlich physischen Systemen steckt heutzutage sehr viel Informationstechnik. Daher sollten physische Systeme mit derselben kritischen Hackermentalität geprüft werden, wie wir es bei Firewalls und Webservern tun. Nur wer seine Implementierungen aktiv hinterfragt, schützt sich vor bösen Überraschungen.