Zutrittskontrolle am Flughafen genackt

Zeiterfassung und Zugangskontrolle

Der Spiegel berichtete vor einiger Zeit über eine alarmierende Sicherheitslücke an Flughäfen: http://www.spiegel.de/netzwelt/netzpolitik/alarmierende-sicherheitsluecke-hacker-knacken-flughafen-zugangskontrolle-a-671980.html. ” Alarmierende Sicherheitslücke an großen deutschen Flughäfen: Mit einem simplen 200-Euro-Gerät lassen sich die Sicherheitssperren überlisten. Hacker des CCC führten ARD-Reportern vor, wie leicht Zutrittskarten gescannt und dann elektronisch simuliert werden können – die Polizeigewerkschaft ist entsetzt.” Diesen Artikel leider ist immernoch hochaktuell, wir möchten ihn aus der Praxis beleuchten.

Die Schlagzeile des Spiegels berichtet kein neues Faktum. Es ist seit Jahren bekannt, dass der Algorithmus der im Flughafen verwendeten Technologie geknackt worden ist. Bei der Technologie Legic Prime (im Spiegel Artikel als die verwendete Technologie identifiziert) handelt es sich um das sogenannte Leseverfahren, also um die Technologie mit Hilfe derer der Leser den Ausweis lesen kann. Legic Prime ist ein Verfahren, bei dem verschlüsselt gearbeitet wird, das Verschlüsselungsverfahren wurde aber schon vor Jahren vom Chaos Computer Club gecknackt. Mit der Demonstration am Flughafen hat der Chaos Computer mögliche Folgen dieser Technologie in die breite Öffentlichkeit gebracht. Was bedeuted das nun?

Sicherheit kostet Geld, die Wirkung dieser Sicherheit wird aber oft nicht ersichtlich. Der Fall am Flughafen hat durch den Spiegel Online Artikel Aufmerksamkeit gewonnen — weil das System geknackt wurde. Hätte das System (mit Hilfe einer anderen Technologie) dem Versuch standgehalten, hätte niemand davon erfahren. In Sicherheit muss man aber investieren bevor etwas passiert. Das macht die Argumentation für ein sicheres, ggf. kostspieligeres System für die Sicherheitsbeauftragten in Unternehmen oft schwierig.

Heutzutage gibt es Systeme, die nicht geknackt sind und einen deutlich höheren Sicherheitsstandard bieten, zum Beispiel Mifare Desfire oder Legic Advant. Im Einkauf sind diese Systeme nicht einmal unbedingt teurer als einfachere Techniken, wie zum Beispiel Mifare Classic, Legic Prime oder Hitag. Der Rat eines Experten ist hier aber hilfreich. Im Spiegel Artikel ist dargestellt, dass der Flughafenbetreiber die Kosten für den Austausch von Karten und Geräten auf neuere Technologien scheut. Vielleicht ist aber sogar ein Upgrade der Geräte auf eine neue Technologie möglich. Bei dem Aufwand, der im Flughafen für den Sicherheitscheck von Passagieren betrieben wird, sollte hier sicher dringend etwas geschehen. Die Vermutung liegt nahe, dass sich die Kosten für eine Umrüstung der Zutrittskontrolle gemessen an diesem Aufwand sogar in Grenzen halten.

In der Praxis stecken verdeckte Sicherheitslücken stecken oft auch in der Konzeption des Systems. Wie sind die Raumzonen definiert? Welche Regeln gelten für die Vergabe von Zutrittsrechten? Und was passiert mit dem Ausweis, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet? Werden die Berechtigungen dann automatisch gelöscht? Das beste Sicherheitssystem bietet keinen Schutz, wenn es falsch konzipiert ist.

Sicherlich braucht nicht jedes Unternehmen die höchste Sicherheitsstufe für die Zutrittsregelung wie ein Flughafen. Doch wenn man schon in Sicherheit investiert, dann sollte man auch sicher sein, dass diese Investition den gewünschten Erfolg erzielt. Beratung von Experten kann hier weiterhelfen die richtige Wahl zu treffen und das System gemessen an den eigenen Ansprüchen richtig zu konzipieren.

 

 

 

 

 

 

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>