Foto: Körtner & Muth

Schließanlagendaten in der E-Mail

Unterschätztes Risiko

Was den Austausch von Schießanlagendaten per E-Mail angeht, legen viele Hersteller von Schließanlagen ein unerwartet sorgloses Verhalten an den Tag. Der Versand von unverschlüsselten Schließanlagendaten per E-Mail stellt dabei ein völlig unterschätztes Risiko dar.

Dabei ist der Versand unverschlüsselter Daten per E-Mail unter Sicherheitsaspekten mit dem Versand einer Postkarte vergleichbar. Jede Person, welche Zugang zu einem der passierten Server hat, kann mitlesen. Mit einfachen technischen „Sniffer“- Vorrichtungen auf dem Versandweg kann der E-Mail-Verkehr eines Unternehmens beispielsweise mitgeschnitten und vollautomatisch ausgewertet werden. Dies kann ein einträgliches Geschäft sein, und diese Art der „Informationsbeschaffung“ ist inzwischen ein etablierter Zweig des organisierten Verbrechens sowie Tätigkeitsfeld einer Reihe von ausländischen Diensten.

Darüber, mit welchen Mitteln solche Industriespionage betrieben wird, wer betroffen ist und wie man sich schützen kann, informiert zum Beispiel der Verfassungsschutz (wie das Landesamt für Verfassungsschutz Hamburg).

Brisante Informationen

Das größte Problem stellen Dateien dar, welche Schneid- oder Bestiftungsinformationen enthalten. Ein potentieller Angreifer, sofern er über ausreichende technische Kenntnisse verfügt, kann sich auf Basis dieser Informationen jeden beliebigen Schlüssel nachmachen und damit zu jeder beliebigen Tür des Objekts Zutritt verschaffen, ohne irgendwelche Spuren zu hinterlassen.

Aber auch aus Dateien ohne Schneid- und Bestiftungswerte lassen sich wichtige sicherheitskritische Rückschlüsse ziehen. So sind zumindest immer Angaben über Typ, Ausstattung und Einbauort von Zylindern sowie Bezeichnung, Funktion und Anzahl von Schlüsseln enthalten. Für einen Angreifer mit grundlegenden Kenntnissen über Schließanlagen und die Technologie der verwendeten Zylinder lassen sich aus diesen Daten leicht potentielle Angriffsziele ableiten. So kann zum Beispiel allein aus der Anzahl verschiedener, in einem Zylinder öffnender Schließungen auf den zu erwartenden Widerstandswert gegen einen Picking-Angriff geschlossen werden.

Zusätzliche wichtige Informationen liefern Angaben zur technischen Ausstattung der Zylinder (Bohrschutz, Ziehschutz, Gefahrenkupplung). Oft finden sich auch Name, Abteilung, Anschrift und andere persönlich Daten der Schlüsselträger, aus denen Rückschlüsse auf das Organigramm oder die Stellung einzelner Personen im Unternehmen beziehungsweise der Organisation des Kunden möglich sind. Enthält die Datei zusätzlich noch Ereignisdaten gegebenenfalls vorhandener mechatronischer oder elektronischer Komponenten, lassen sich sogar komplette Bewegungsprofile einzelner Personen oder Nutzungsprofile einzelner Türen erstellen.

Haftungsproblem

Nun handelt es sich dabei ja nicht um Daten der am Datenaustausch unmittelbar Beteiligten, die unter Umständen das damit verbundenen Risiko zu tragen bereit sein könnten. Es werden Daten Dritter, nämlich die Daten von Kunden, ausgetauscht, und das in der Regel ohne Wissen und Zustimmung der Betroffenen. Hier liegt eventuell sogar ein datenschutzrechtliches oder auch (im Schadensfall) haftungsrechtliches Problem vor. In Deutschland haften Geschäftsführer bei Verletzung der Sorgfaltspflicht persönlich.

Betroffen sind natürlich in erster Linie Dateien, die in einem direkt lesbaren oder öffentlich zugänglichen Format vorliegen (zum Beispiel CSV, Excel, XML und ähnliche, dies trifft auf praktisch alle in der Schlossindustrie verwendete Formate für Schließanlagendaten zu). Aber auch Lockbase-Dateien bieten ohne zusätzliche „starke“ Verschlüsselung keinen ausreichenden Schutz. Zwar sind die Dateien chiffriert, und es kann ein Dokumentenkennwort eingegeben werden. Dieser Schutz ist jedoch eher für die hausinterne Sicherheit gedacht und stellt für einen professionellen Angreifer, welcher über eine Kopie der Datei und ausreichend Zeit verfügt, kein wirkliches Hindernis dar.

Einige Hersteller bieten ihren Kunden die Möglichkeit eines verschlüsselten Dateitransfers (https) zu einem Web-Server des Herstellers. Aber auch dieses Verfahren ist nicht wirklich sicher. Denn die Daten sind nur während des Transports gesichert. Auf dem Server selbst liegen sie unverschlüsselt. Damit ist das Verfahren nur so sicher, wie der Server, auf dem die Daten zwischengespeichert werden. Steht der Server bei einem Internet-Dienstleister, was bei den meisten Schlossfabriken der Fall ist, dann sind die Daten zumindest für dessen Mitarbeiter problemlos einsehbar. Und da Web-Server normalerweise nicht besonders gesichert sind, ist dieses Verfahren im Grunde nicht vertrauenswürdiger, als der Versand unverschlüsselter E-Mails.

Nur ein Verfahren wie Lockbase B2B, das eine hochsichere Verschlüsselung der Daten von Desktop zu Desktop garantiert, das heißt vom Schreibtisch des Kunden bis zur zuständigen, mit der Schließanlagenberechnung betrauten Abteilung des Herstellers, ist wirklich sicher.

Jochen Körtner, Geschäftsführer, Körtner & Muth GmbH

Foto: Thorben Wengert/Pixelio

Teletrust

Passwort-Hack: Das Problem sind die Webseiten

Zu den Berichten über den Diebstahl von 1,2 Milliarden Benutzernamen und zugehöriger Passwörter sowie mehr als 500 Millionen E-Mail-Adressen ist festzuhalten, dass die Daten nach aktuellem Kenntnisstand nicht von den privaten Rechnern der Nutzer, sondern offenbar von den Webseiten mehrerer Online-Anbieter stammen.

Auf der Datenautobahn herrscht Verkehrschaos. Wie lassen sich Datenverkehr und Datenablage sicher und DSGVO-konform gestalten?
Foto: Pixabay

IT-Sicherheit

Wie geht DSGVO-konformer Datenverkehr?

Auf der Datenautobahn herrscht Verkehrschaos. Wie lassen sich Datenverkehr und Datenablage sicher und DSGVO-konform gestalten?

QSC

Sicheres Cloud Computing

Cloud Computing ist im Alltag der Unternehmen angekommen. Bei der Auslagerung ausgewählter Applikationen an einen Cloud-Provider spielen dessen technische Kompetenz und die Erfüllung der datenschutzrechtlichen Anforderungen eine entscheidende Rolle.

Cyber-Sicherheit spielt bei Kritis-Betreibern eine zentrale Rolle.
Foto: Pixabay

IT-Sicherheit

Cybersicherheit und mobile Kommunikation in Kritis

Kritis-Betreiber müssen besonders auf die Cybersicherheit bei der mobilen Kommunikation, etwa per Handy oder Tablet, achten.

Special Zutrittskontrolle: Informieren Sie sich rund um den Themenbereich der Zutrittskontrolle

×