Foto: Sesam Elektronische Sicherheitssysteme

Verschlüsselung

Von der Karte sicher zum Leser

Das Thema verschlüsselnde Kartentechnologien wird für die Einbruchmelde- und Zutrittskontrollbranche auch in der Praxis immer aktueller. Da sich aber unterschiedliche Hersteller mit Ihren Produkten am Markt positioniert haben, fällt es vielen Errichtern schwer, passende Leseeinheiten oder auch Karten anzubieten.

Generell unterscheidet man zwei etablierte RFID-Lese-technologien. Diese sind die 125 Kilohertz (kHz) und 13,56 Megahertz (MHz)-Technik. Innerhalb der 125 kHz-Welt findet man Leseeinheiten, die Karten vom Typ EM4200, EM4050, Hitag 1, Hitag 2 und Hitag S erkennen können. Sehr verbreitet ist die 125 kHz-Karte vom Typ EM4200, die unverschlüsselt mit dem Leser kommuniziert. 13,56 MHz-Leseeinheiten lesen diverse Kartentypen wie zum Beispiel Mifare, Legic oder HID. Diese Leseeinheiten unterstützen in der Regel auch eine Verschlüsselung mit meist einem bestimmten Kartentyp.

Um ein Mehr an Sicherheit zu erreichen, muss die Verschlüsselung am Leser auch aktiviert werden. In der oft eingestellten „Standardbetriebsart“, wird lediglich die Unikatsnummer (UID) der Karte unverschlüsselt ausgelesen und ist dann nicht sicherer als ein 125 kHz Leser mit EM4200 Karte. Die Verschlüsselung kann entweder am Leser oder aber über die angeschlossene Auswerteeinheit aktiviert werden. Dies hängt in der Regel von der Komplexität der Schnittstelle zwischen Leser und Auswerteeinheit ab. Ältere Leserdatenschnittstellen wie beispielsweise Wiegand oder Clock-Data arbeiten nur unidirektional und eignen sich daher nicht als Administrationsschnittstelle zur Kartenkonfiguration.

In diesen Fällen ist die Verschlüsselung zwischen Karte und Leser gekapselt und über die Kabelschnittstelle zur Auswerteeinheit wird in der Regel eine nicht verschlüsselte Information gesendet. Andere, etwa RS485-basierende Schnittstellen, arbeiten bidirektional und erlauben somit auch ein Senden von Daten von der Auswerteeinheit zum Leser und somit eine Konfiguration des Lesers. Außerdem bieten diese höherwertigen Schnittstellen häufig die Option einer durchgängigen Verschlüsselung, also auch auf dem Kabelweg bis hin zur Auswerteeinheit. Der VdS fordert derzeit die Verschlüsselung zwischen Karte und Leseeinheit und eine Kabelführung im gesicherten Bereich.

Verschiedene Anforderungen

In der Praxis treten oft drei unterschiedliche Anforderungen auf. Im einfachsten Fall handelt es sich um eine Neuinstallation und es befinden sich auch noch keine Karten im Umlauf. Hier sollten dem Kunden Karten verkauft werden, die mit den angebotenen Lesern verschlüsselnd arbeiten. Zu beachten ist immer, dass es sich um entsprechend hochwertige Karten handelt, die auch bei aktiver Verschlüsselung einen akzeptablen Leseabstand aufweisen. Hier hilft der Leser- oder Systemhersteller gerne weiter. Im zweiten Fall befinden sich bereits Karten im Umlauf, die für die hinzukommende Applikation mitgenutzt werden sollen. Häufig sind die Angaben des Kunden wie zum Beispiel, das seien alles Mifarekarten, nicht gerade zielführend.

Daher wird empfohlen, mindestens zwei Kundenkarten durch beispielsweise den Leser- oder Systemlieferanten testen zu lassen. Hier kann dann festgestellt werden, um welchen Kartentyp es sich konkret handelt und ob die Karte für eine Programmierung durch die hinzukommende Anwendung freigegeben ist. Oft ist dies nicht der Fall und es kann nur die Unikatsnummer verwendet werden. Im schlechtesten Fall kann die Karte durch eine Drittanwendung nicht benutzt werden, da der Lieferant der bestehenden Lösung die Karte für seine Anwendung blockiert hat und selbst das Lesen einer eindeutigen UID nicht zulässt. Ist dies der Fall, macht der Einsatz von Kombitranspondern Sinn, der zwei unterschiedliche, sich physikalisch nicht beeinflussende Transpondertypen vereint.

Im dritten Fall wünscht sich der Kunde eine Migration eines bestehenden Lesersystems, etwa von einem nicht verschlüsselnden Leseverfahren zu einem verschlüsselnden unter weiterer Verwendung der bestehenden Auswerteeinheiten. Hier ist zu beachten, dass die neuen Leseeinheiten die im Einsatz befindliche Leserdatenschnittstelle der Auswerteeinheit unterstützt. Gerade in der Einbruchmeldetechnik werden in Deutschland so gut wie nie Standardschnittstellen wie zum Beispiel Wiegand oder die moderne RS485-basierende OSDP-Schnittstelle verwendet, sondern herstellerspezifische Datenprotokolle. Selbst innerhalb der zuvor genannten Protokolle gibt es häufig individuelle Besonderheiten, die einen Einsatz eines Lesers mit „Standardschnittstelle“ an einem System mit der gleichen Schnittstelle unmöglich machen. Hier sollte dringend bei den jeweiligen Herstellern Rücksprache gehalten werden.

Carsten Hoersch
Das OSDP-Protokoll unterstützt die Kommunikation zwischen Leser und Auswerteeinheiten und Kontrollzentralen für Zutrittstechnik.
Foto: Jürgen Fälchle - stock.adobe.com

Zutrittskontrolle

OSDP als universelles Protokoll der Zutrittstechnik

Welche Rolle spielt OSDP als fast universelles Leserprotokoll in der Zutrittstechnik und welche Schritte sind zur praktischen Implementierung notwendig?

Foto: HID Global

HID Global

OSDP als neuer Schnittstellen-Standard

HID Global sieht OSDP (Open Supervised Device Protocol) als den neuen-Kommunikationsstandard bei Zutrittskontrollsystemen im Hinblick auf die Schnittstelle zwischen Controller und Lesegerät.

Foto: Elatec

Modulare Multistandard-Reader

Der Weg zu besseren Access-Lösungen

Die Regelung des Zutritts ist eine der zentralen Sicherheitsvorkehrungen jedes Unternehmens. Gerade für große Organisationen, die weitläufige Gelände und Gebäude sichern müssen, sind Access-Lösungen mit RFID Standard. Es gibt allerdings eine Reihe von Gründen, bestehende Identlösungen infrage zu stellen.

Foto: Fotolia/ by-studio

Sicherheitslücken in ZK-Anlagen

Unerkannte Angriffe

Seit den Mifare-Classic- und Legic-Prime-Hacks wird die Sicherheit der Datenübertragung von Transpondersystemen diskutiert. Objekte, in denen ein gehackter Transpondertyp verwendet wird, sind potenziell gefährdet. Aber es gibt noch andere Sicherheitslücken in Zutrittskontrollanlagen.