Moderne Geräte zur Zugangskontrolle, die entweder einen Fingerabdruck lesen oder mittels Keycard z.B. via RFID befugte Personen erkennen, tauchen im Alltag immer häufiger auf. Dazu trägt sicherlich auch der immer weiter sinkende Preis solcher Sicherheitstechnik bei. Allerdings bietet so manches dieser Geräte nur eine gefühlte Sicherheit. Grundlegende Designpatzer wie fehlende Sabotagesicherungen oder leicht zu erreichende Relais für den Türöffner sind da nur die Spitze des Eisbergs – so das Fazit nach einem Auftrag, für den mein Kollege Björn Gerber von GEngineering und ich diverse Geräte aus der Kategorie Zugangskontrolle unter die Lupe genommen haben.
Neben den Schwächen in der Konstruktion der Hardware kristallisierten sich auch relativ leicht ausnutzbare Lücken in der Firmware der Geräte heraus. So gab es beispielsweise bei einem Gerät mit Fingerabdruckscanner und RFID-Leser folgende Lücke: Angelernte Fingerabdrücke wurden mit einer ID-Nummer versehen, wurde später ein bestimmter Fingerabdruck erkannt, so wurde per Wiegand26-Protokoll diese ID an das Sicherheitssystem gemeldet. Bei unbekannten Fingerabdrücken erfolgte keinerlei Meldung. Die ID einer per RFID erkannten Zugangskarte wurde jedoch immer per Wiegand26 weitergemeldet, egal ob die Karte im System vorher angelernt worden war oder nicht. Damit war eine erhebliche Lücke geschaffen: Mit einem manipulierten RFID-Tag, das eine der leicht erratbaren IDs für angelernte Fingerabdrücke enthielt, ließ sich für das Sicherheitssystem nicht mehr unterscheiden, ob ein Fingerabdruck oder ein RFID-Tag gemeldet wurde – damit war unbefugten Personen leichter Zugang zu Sicherheitsbereichen möglich.
Der Test brachte noch ein weiteres Fazit: Verwenden Sie niemals solch ein Zugangskontrollsystem direkt als Türöffner – lassen Sie die Tür durch das zentrale Sicherheitssystem von innen öffnen. Im Testfeld war kein Gerät mit integriertem Türöffner, das diesen ausreichend schützte. Natürlich muss ich anmerken, dass dieses Testfeld sicherlich nicht repräsentativ für den Markt war, da es vom Auftraggeber stammte. Trotzdem ist die Bilanz deutlich: Ohne zusätzliche Maßnahmen taugen viele Geräte keinen Cent, obwohl sie mehrere Hundert Euros in der Anschaffung kosten. Mein Kollege hat übrigens motiviert durch diesen Test eine schicke kleine Hardware entworfen, mit der sich kostengünstig das Sicherheitsniveau existierender Installationen verbessern lässt. Neben der reinen Umsetzung zwischen USB und Wiegand-Bus sind im GEngineering Wiegand2USB zahlreiche nützliche Zusatzfunktionen integriert, unter anderem auch die Möglichkeit, einen Türöffner anzusteuern. So kann die Türöffnung sicher aus dem geschützten Bereich heraus erfolgen und eine Manipulation am externen Terminal wie oben beschrieben ist nicht mehr möglich.
Es gilt also auch 2013: Ein Sicherheitskonzept ist nur so stark wie der schwächste Baustein. Erst ein stimmiges Gesamtkonzept bietet die gewünschte Sicherheit, Einzelmaßnahmen sorgen oft nur für vermeintliche Sicherheit.