Unerkannte Angriffe

So gibt es technische Angriffsmethoden, deren praktische Anwendung vor allem deshalb nicht bekannt ist, weil sie keine Spuren hinterlassen. Die Angriffsmethoden sind teilweise recht zeitaufwändig und erfordern außerdem technische Kenntnisse. Auch potenzielle Angreifer werden eine Kosten-Nutzen-Betrachtung anstellen. Die Kardinalfrage lautet: Was gibt es zu gewinnen, und geht es nicht einfacher? Ein Berechtigter hält höflich eine Tür auf. Türen werden unterkeilt und mangels Türoffenzeitüberwachung wird dies nicht bemerkt und abgestellt – das nur am Rande. Thema ist die Sicherheit der Datenübertragung in Zutrittskontrollanlagen (ZKA) gegen Angriffe.

Die vereinfachende Prinzipdarstellung zeigt die Schnittstellen zwischen den wesentlichen Funktionselementen einer ZKA. Diese Schnittstellen sind gleichzeitig auch die möglichen Angriffspunkte. An erster Stelle steht die Luftschnittstelle. Die Kommunikation zwischen Ausweis und Ausweisleser findet hier statt. Die Mikroprozessoren (µ-Prozessoren) in Transponder und Ausweisleser und das dort laufende Programm und Protokoll sind spezifisch für den eingesetzten Transpondertyp, und werden beide im Regelfall durch den Hersteller des Transponders (wie Mifare, Legic, HID) hergestellt.

Der Ausweisleser wird durch einen Mikroprozessor des Herstellers der Zutrittskontrollanlage gesteuert. Dieser gibt über Schnittstelle a dem transponderspezifischen Mikroprozessor unter anderem vor, welches Segment des Ausweises gelesen werden soll, und erfährt über diese Schnittstelle, ob ein gültiger Ausweis erkannt wurde, sowie dessen Ausweisnummer. Der Ausweisleser kommuniziert über Schnittstelle b mit der Zutrittskontrollzentrale (ZKZ) und übermittelt die gelesene Ausweisnummer an die ZKZ. In der ZKZ sind alle für diesen Zutrittspunkt berechtigten Ausweisnummern mit ihren Zutrittsprofilen (Raum- und Zeitzonen) gespeichert. Dort wird nach Prüfung der erforderlichen Zutrittsrechte der erkannten Ausweisnummer entschieden, ob die Tür freizugeben ist.

Die ZKZ wiederum ist über Schnittstelle c mit dem Server der ZKA (ÜZKZ, übergeordnete Zutrittskontrollzentrale) verbunden. In der ÜZKZ werden alle Nutzer der ZKA mit ihren Ausweisnummern und Zutrittsprofilen verwaltet. Ausweisnummern und zugehörige Zutrittsprofile werden in regelmäßigen Zeitabständen und nach Datenänderungen an die ZKZ übertragen. Dies ist, auf das Wesentliche reduziert, das Funktionsprinzip einer ZKA.

Die Sicherheit der Datenübertragung der Luftschnittstelle hängt direkt von der Integrität der Sicherheitsmechanismen des Transpondertyps ab. Sind diese überwunden, können Ausweise geklont und oder verfälscht werden. Dies ist jedoch nur dem möglich, dem die Sicherheitsmechanismen des gehackten Transpondertyps bekannt sind, und der Zugriff auf den gehackten Transpondertyp hat. Wird ein gehackter Transpondertyp verwendet, ist im Rahmen einer objektspezifischen Risikobetrachtung zu entscheiden, ob und welche Maßnahmen einzuleiten sind. Muss der Transpondertyp gewechselt werden, sollte unter Abwägung der bestehenden Risiken eine Migrationsstrategie zu einer sicheren Ausweistechnologie entwickelt und umgesetzt werden. Weitere Angriffsmöglichkeiten auf die Luftschnittstelle sind:

Ausweisleser nach ISO 14443 haben eine Reichweite von fünf bis zehn Zentimetern. Durch Positionierung eines bidirektionalen Sender-Empfänger-Verstärkers mit höheren Feldstärken im Umfeld des Ausweislesers kann die Reichweite auf einige Meter vergrößert werden. So ist es denkbar, dass bei Nutzung eines solchen Geräts ein mit Abstand vorbeigehender Zutrittsberechtigter mit seinem Ausweis unfreiwillig eine Tür freischaltet, die dann geöffnet werden kann. Da Ausweis und Ausweisleser beide systemzugehörig sind, und tatsächlich über die größere Entfernung miteinander kommunizieren, wird dies nicht festgestellt. Gegen einen solchen Angriff helfen nur technische Maßnahmen im Ausweisleser, wie die Überwachung der Antwortzeiten, die bei größerer Entfernung länger sind.

Bei einem Denial-of-Service-Angriff (deutsch: Verweigerung der Funktion) wird durch einen aktiven Störsender das elektromagnetische Feld zwischen Ausweisleser und Ausweis so beeinflusst, dass die Kommunikation unterbunden wird. Dadurch wird zwar der Zutritt nicht erlangt, aber hier zeigen sich unter Umständen Mängel der Sicherheitsorganisation. Die denkbar schlechteste Lösung ist es, bei Störung eines Ausweislesers mit unbekannter Ursache die zugehörige Tür auf „dauerfrei“ zu schalten, damit hätte der Täter sein Ziel erreicht, unberechtigt Zutritt zu erlangen.

Obwohl die Datenübertragung an Schnittstelle a zwischen den beiden Mikroprozessoren des Ausweislesers meist unverschlüsselt erfolgt, ist dies weniger kritisch. In einer aktiv genutzten, installierten ZKA ist diese Schnittstelle kaum zerstörungsfrei zugänglich und nutzbar. Häufig sind die Funktionen der beiden Mikroprozessoren des Ausweislesers auch in einem Chip vereint, und damit ebenfalls nicht zugänglich. Als Ziel eines Angriffs ist diese Schnittstelle nicht geeignet.

Schnittstelle b als Verbindung des Ausweislesers mit der ZKZ ist außerhalb des Sicherheitsbereichs an den Anschlussklemmen des Ausweislesers zugänglich. Für Innentäter, gegebenenfalls auch durch Social Engineering „motivierbar“, ist sie entlang der gesamten Leitungsführung bis in die ZKZ, auch innerhalb des Sicherheitsbereichs, zugänglich. Insbesondere in älteren Anlagen wurde diese Schnittstelle als unverschlüsselte „Wiegand“- oder Clock-Data-Schnittstelle ausgeführt, die trotz ihrer Defizite nach wie vor angeboten wird. Unverschlüsselte Datenübertragung bedeutet, die übertragenen Daten können nicht nur ausgelesen, sondern auch „verstanden“ und damit nachgebildet oder verfälscht werden. In modernen Systemen erfolgt die Kommunikation dieser Schnittstelle im Regelfall über einen RS 485 BUS unter Verwendung eines proprietären Protokolls des Herstellers der ZKA. Damit ist zwar eine verschlüsselte Datenübertragung prinzipiell möglich, aber längst nicht alle am Markt angebotene Systeme nutzen die Möglichkeit der Verschlüsselung.