Kein Mammut-Projekt mehr

Die Neuinstallation eines Systems für die physische Zugangskontrolle (Zutrittskontrollsystem, ZKS) war lange gleichbedeutend mit Dreck, Krach und Kosten: Um mit den nötigen Strom- und Kommunikationskabeln bis zu allen Türen zu gelangen, musste so manche Wand und so mancher Fußboden durchbrochen werden. Schränke mit ZKS-Hardware mussten sinnvoll im Gebäude platziert, Intercoms angeschlossen und Türen beziehungsweise Türschlösser ausgetauscht werden. Unternehmen, die diesen Prozess einmal durchlaufen haben, wollen ihn verständlicherweise nicht so schnell wiederholen. Dass Unternehmen sich mit der Installation proprietärer Systeme fest an einen Hersteller und dessen Produkte gebunden haben, fiel dabei kaum ins Gewicht, denn ein Anbieterwechsel war angesichts des Aufwands nicht realistisch.

Diese Umstände haben dafür gesorgt, dass Zutrittskontrollsysteme eine außerordentliche Lebensdauer aufweisen: Während Videoüberwachungsanlagen mittlerweile meist nach drei bis vier Jahren technisch aktualisiert werden, nutzen sehr viele Unternehmen heute immer noch ZKS, die seit der Installation vor 15 bis 20 Jahren unverändert geblieben sind. Oftmals datieren diese Systeme also aus einer Zeit, in der Windows 98 ein modernes Betriebssystem war und niemand an Technologien wie das Internet of Things auch nur dachte.

Jetzt spricht aber vieles dafür, dass diese Altsysteme am Ende ihrer Dienstzeit angekommen sind. Marktexperten erwarten mittelfristig einen reduzierten Lebenszyklus von rund sieben Jahren. Die Gründe dafür sind vielfältig: Alte Hardware ist nur noch schwer oder mit hohen Kosten zu ersetzen. Moderne IP-basierte Zutrittskontrollsysteme bieten hingegen fast freie Auswahl auf dem Gerätemarkt und lassen sich zudem mit Videoüberwachung, Alarmsystemen et cetera in einer übergreifenden, einheitlichen Management-infrastruktur integrieren. Wichtigstes Argument ist aber wohl die Sicherheit: Sowohl die eingesetzten Werkzeuge als auch die Organisationsstruktur von Cyberkriminellen haben sich in den letzten Jahrzehnten drastisch weiterentwickelt. Private und staatliche Wirtschaftsspione greifen gezielt bestimmte Unternehmen an, um Geschäftsgeheimnisse zu erbeuten. Mit ihrer jahrzehntealten Technik bieten Altsysteme hier auf Hardware- und Software-Seite kritische Angriffspunkte – die Zugbrücke mag geschlossen sein, aber die Hintertür steht weit offen.

Beim Schutz vor unerwünschtem Zutritt liegt der Fokus von Unternehmen meist auf den ausgegebenen Karten mit den Benutzerberechtigungen, den Credentials. Bekannt ist, dass Karten mit Magnetstreifen und auch kontaktlose Proximity Cards inhärent unsicher sind, weil sie unverschlüsselte Credentials enthalten, die über verschiedene Verfahren ausgelesen und auf Blanko-Karten übertragen (geklont) werden können. Trotzdem gibt es immer noch Bestandssysteme, die diese Kartentypen einsetzen. Viel sicherer und daher unbedingte Empfehlung ist die Verwendung sogenannter Smartcards, die nur verschlüsselte Informationen enthalten, was ein Cloning unmöglich macht. Aber obwohl die Verwendung sicherer Karten immens wichtig ist, wird dabei oftmals eine kritische Schwachstelle auf der nächsten Architekturebene übersehen: der Reader an der Tür.

Das Problem liegt hier im sogenannten Wiegand-Protokoll, das von rund 90 Prozent aller installierten Altsysteme für die Kommunikation zwischen Reader und Controller verwendet wird. Wiegand-Reader und Wiegand-Protokoll basieren aufeinem 40 Jahre alten Patent und übertragen unverschlüsselte Daten, auch wenn die Credentials zum Beispiel auf einer Smartcard verschlüsselt sind. Nur zwei Kabel, Data0 und Data1, werden im Rahmen des einfachen Wiegand-Protokolls verwendet – und diese zwei Kabel können leicht angezapft werden. Angreifer müssen nur in einem unbeobachteten Moment das Gehäuse des Readers lösen und den Reader etwas von der Wand wegziehen, um die Kabel freizulegen und ein kleines Spionagegerät anzusetzen. Bereits 2008 wurde unter dem Namen Gecko auf der Black Hat Conference ein solches Gerät – Kostenpunkt: zehn US-Dollar – präsentiert, aber auch Implementierungen für Arduino sind frei verfügbar.

Das weitere Vorgehen ist klar: Nach ein paar Tagen sammelt der Angreifer das Gerät wieder ein und verfügt nun über alle an der Tür verwendeten Credentials, wobei natürlich auch das Absammeln über zum Beispiel Bluetooth und Smartphone problemlos möglich wäre. Mit ein wenig Spürsinn lässt sich der Fang sogar noch maximieren: Viele Unternehmen, die das Rauchen im Gebäude verbieten, tolerieren meist eine Raucherecke an einem Ausgang. Wird hier ein Reader angegriffen, lassen sich Credentials aller Abteilungen und Hierarchiestufen abfangen.

Das Risiko eines Wiegand-Hacks ist nicht zu ignorieren – aber auch nicht ganz einfach zu beheben. Letztendlich lässt sich verbesserte Sicherheit nur durch Umstellung auf neue Reader und das OSDP V2 Protokoll (Open Supervised Device Protocol) erzielen, dem De-facto-Standard für moderne Zutrittskontrollsysteme. Das Decoding der verschlüsselt übertragenen Daten findet hier auf Controller-Ebene statt, ganz außerhalb der Reichweite externer Angreifer. Im Gegensatz zum unidirektionalen Wiegand- rotokoll ermöglicht OSDP zudem bidirektionale Kommunikation und damit auch eine Überwachung der Reader oder automatische Firmware-Updates. Reader können über Entfernungen von bis zu 1.200 Metern angeschlossen werden (Wiegand:150 Meter) und zusätzlich zu Punkt-zu-Punkt-Verbindungen sind auch Reihenschaltungen möglich.

Eine Ablösung der veralteten Reader-Hardware an der Tür ist also langfristig unausweichlich, aber das muss trotzdem keinen unternehmensweiten Austausch auf einen Schlag bedeuten. Gegenüber Altsystemen bieten moderne IP-basierte Zutrittskontrollsysteme wie zum Beispiel Genetec Synergis die Möglichkeit, nicht-proprietäre Geräte wie Wiegand-Reader einzubinden, sodass Unternehmen die veraltete Hardware im selbstbestimmten Tempo Tür für Tür austauschen können, während sie an anderer Stelle bereits moderne Hardware nutzen. Mit der Migration zu einer offenen und auf Industriestandards basierenden Plattform steht sofort die ganz Produktpalette namhafter Hersteller wie Mercury, HID, Axis Communications, Assa Abloy, et cetera zur Verfügung – ein entscheidender Vorteil nicht nur hinsichtlich Kosten und Funktionalität, sondern auch hinsichtlich der Sicherheit in den nächsten Jahren, denn Cyberkriminelle werden ihr Arsenal immer weiterentwickeln und Unternehmen müssen darauf schneller als bisher durch Anpassung ihres ZKS reagieren.

Zusätzlich zur sukzessiven Ablösung besteht unter Umständen noch eine weitere Möglichkeit, moderne Funktionalität und das OSDP V2 Protokoll an die Tür zu bringen. So können proprietäre und an sich nicht-integrationsfähige Controller, Reader Interfaces und I/O-Module von Tyco Software House und GE durch Produkte aus dem Mercury M5 Bridge Portfolio ersetzt werden. Die neue Hardware von Mercury passt genau in die verbreiteten „GE CASI“- und Software House “iStar Pro Series“-Gehäuse, sodass Gehäuse, Verkabelungen und Lesegeräte weitestgehend erhalten bleiben können. In Verbindung mit Genetec Synergis lassen sich diese neuen Komponenten im alten Gewand in ein übergreifendes Management einbinden und mit einer passenden, OSDP-fähigen Firmware ausstatten.

Selbst die führenden Anbieter von Enterprise-IT-Sicherheitslösungen weisen mittlerweile mit Nachdruck darauf hin, dass es absolute Sicherheit nicht geben kann und jedes Netzwerk eine angreifbare Schwachstelle hat. Unternehmen können zwar Risiken sehr stark minimieren, müssen sich aber gleichzeitig auf den wahrscheinlichen Fall vorbereiten, dass es irgendwann einem Hacker oder einer Malware gelingt, sich in das Netzwerk einzuschleusen. Deshalb dürfen sich kritische Systeme im Netzwerk – und dazu gehört das ZKS-Management – nicht auf die Perimeter-Sicherheit verlassen, sondern müssen selber sicher sein. Bei der Konzeption der Management-Software von Altsystemen stand aber zumeist die Funktionalität und nicht die Eigensicherung im Fokus, deshalb werden zum Beispiel oftmals zu schwache Authentifizierungsverfahren wie einfache Passwortabfragen verwendet. Solche Verfahren sind nicht mehr zeitgemäß und können von routinierten Cyberkriminellen per Social Engineering, Man-in-the-Middle-Angriffen oder sogar Brute-Force-Attacken ausgehebelt werden. Dann ist der Weg frei zum Frontend-Interface, über das sich Karten mit beliebigen Credentials clonen lassen.

IP-basierte Zutrittskontrollsysteme lösen dieses Problem der „Sicherheit der Sicherheit“ durch Implementierung eigener, starker Sicherheitsmaßnahmen auf verschiedenen Ebenen. So kommen zum Beispiel Zwei-Faktor-Authentifizierungsverfahren zum Einsatz, um Nutzeridentitäten zu überprüfen und gleichzeitig sicherzustellen, dass Anwender nicht Opfer eines Man-in-the-Middle-Angriffs werden. Auf der Client-Seite wird dazu in der Regel eine Kombination aus Benutzername und Passwort, Token oder auch biometrischen Daten eingesetzt. Für die serverseitige Authentifizierung werden digitale Zertifikate verwendet, die im Rahmen einer PKI (Public Key Infrastruktur) Informationen über den Public Key und seinen Besitzer sowie eine digitale Signatur des Zertifikatsausstellers enthalten. Zum Schutz der Privatsphäre sind darüber hinaus Autorisierungsverfahren notwendig, damit Nutzer nur innerhalb ihrer Rechte Daten aufrufen, exportieren, löschen oder bearbeiten können. Dies ist besonders für Zutrittskontrollsysteme relevant, da ansonsten Persönlichkeits- oder Mitarbeiterrechte verletzt werden könnten.

Durch Migration zu einem IP-basierten ZKS wächst zudem zwangsläufig die Zahl der über das Netzwerk erreichbaren Endgeräte wie IP-Reader, IP-Schlösser oder IP-Intercoms. In der Standardeinstellung ab Werk – und vor allem mit unverändertem Standard-Passwort – sind diese Geräte oftmals angreifbar. Gelingt es einem Angreifer, ein ungesichertes Gerät zu übernehmen, kann er sich sodann lateral durch das Netzwerk vorarbeiten, von kompromittiertem Gerät zu kompromittiertem Gerät. Um das zu verhindern, müssen alle Endgeräte gehärtet werden, zum Beispiel durch Abschaltung nicht benötigter Funktionen. Das kann ein aufwändiger Prozess sein, insbesondere bei vielen verschiedenen Geräten im Netzwerk, und wird deshalb oftmals nicht mit der nötigen Konsequenz durchgeführt. IP-ZKS-Anbieter wie Genetec arbeiten daher eng mit Hardware-Herstellern zusammen, um eine sichere Einstellung bei Inbetriebnahme zu gewährleisten, zum Beispiel durch zwingende Vergabe eines individuellen Geräte-Passworts.

Zutrittskontrollsysteme der alten Generation sollten jetzt in den Ruhestand verabschiedet werden, denn sie bieten aggressiven, gewinnmotivierten Cyberkriminellen auf Hardware- und Software-Seite kritische Angriffspunkte. IP-basierte Zutrittskontrollsysteme auf Basis von Industriestandards bieten die nötige Flexibilität, um auf zukünftige Veränderungen der Bedrohungslage oder andere Herausforderungen schnell, wirksam und kosteneffizient zu reagieren. Die Migration muss dabei im Gegensatz zu früher kein Mammut-Projekt mehr sein, es existieren Optionen für einen kontrollierten, schrittweisen Übergang. Darüber hinaus relativieren sich notwendige Investitionen in neue Hardware, wenn man ihnen die Kosten eines erfolgreichen Angriffs gegenüberstellt.

Nick D’hoedt, Regional Sales Director Genetec und Geschäftsführer der Genetec Deutschland GmbH, www.genetec.com/de