Für etliche Bewegung im Zutrittskontrollmarkt sorgt derzeit ein Zutrittskontroll-Whitepaper von RWE. Gemeinsam mit den Security Research Labs in Berlin hat der Konzern es vor kurzem unter dem programmatischen Titel „Esta­blishing Security Best Practices in ­Access Control" veröffentlicht. Beschrieben wird darin der Weg, den RWE in einem konzernweit angelegten ­Prozess in Richtung eines sicheren ­Zutrittskontrollsystems beschreitet. Matthias Erler von GIT-SICHERHEIT.de befragte Dr. Andreas Rohr von der RWE Group Security als Cyber ­Forensic Manager zu Hintergründen und Einzelheiten des Projekts.

GIT-SICHERHEIT.de: Herr Dr. Rohr, Sie haben bei RWE einen Prozess zur Einführung sicherer Zutrittskontrolle gestartet. Was hat Sie dazu angetrieben?

Andreas Rohr: Zunächst einmal kann man einen solchen Prozess nicht allein vollziehen, sondern benötigt insbesondere auch die Erfahrungen des operativen Bereichs. Vor dem Hintergrund der in der jüngeren Vergangenheit veröffentlichten Sicherheitsschwächen diverser RFID-Technologien im Bereich der Zugangskontrolle wurde eine erneute Risikoanalyse notwendig. Über eine neue Architektur nachzudenken wurde neben Sicherheitserwägungen auch durch den Wunsch nach Unabhängigkeit von einem Integrator bzw. Hersteller motiviert. Es reichte uns daher nicht aus, einfach die eingesetzte RFID-Technologie durch eine heute als sicher eingestufte Technik auszuwechseln. Hauptsächlich wollten wir verhindern, in Zukunft noch einmal in eine ähnliche Situation zu kommen und die Sicherheit nicht ausschließlich auf einer Sicherheitseigenschaft beruhen zu lassen. Außerdem war unser Ziel eine komplette Neuausrichtung hin zur flexiblen Unterstützung aller mit einem Konzernausweis nutzbaren Applikationen.

Von welchen Applikationen und Umfängen sprechen wir bei RWE in diesem Zusammenhang?

Andreas Rohr: Hier sind vornehmlich die Zutrittskontrolle und das bargeldlose Bezahlen in der Gastronomie zu nennen. Es gehören aber auch Nachweise für Sicherheitsbelehrungen, also gesetzliche Auflagen, dazu. Außerdem werden Abrechnung und Zeiterfassung über die Ausweisnutzung abgewickelt. Eine weitere Komponente ist die sogenannte starke Authentisierung unter Nutzung von Zertifikaten, die sich auf einem PKI-Smart-Card-Chip im Ausweis befinden. Was den Umfang betrifft, so reden wir bei RWE über einen Bereich von mehr als 150 Lokationen in über zehn Ländern mit insg. 70.000 Mitarbeitern und weiteren 40.000 Ausweisen für RWE-Externe (z.B. Dienstleister oder Besucher).

RWE führte 2010 ein Assessment hinsichtlich RFID-Sicherheit durch. Was war das Ergebnis?

Andreas Rohr: Es handelte sich um eine Sicherheitsanalyse der am Markt verfügbaren Technologie unter Einbeziehung der veröffentlichten Schwachstellen z.B. von Hitag 1, HID prox, Mifare Classic und Legic Prime. Sie machte uns deutlich, dass diese von Komfort getriebenen Ansätze - gepaart mit beworbenen aber nicht offengelegten „Sicherheitsfeatures" (Stichwort: security-by-obscurity) - sich als nicht zielführend, also nicht sicher, erwiesen haben. Zudem ist festzuhalten, dass für die Absicherung eines Objekts oder Einzelassets eine durchgängige Sicherheitskonzeption notwendig ist. So kann die Verwendung einer RFID-basierten Zugangskontrolle nur ein Baustein in der Gesamtheit aller Absicherungsmaßnahmen sein.

Geben Sie uns ein Beispiel?

Andreas Rohr: Man würde beispielsweise eine Holztür sicher nicht mit einer kryptografisch sicheren RFID-Technik zugangssichern. Das angestrebte Schutzniveau sollte zum einen zu den (technischen) Absicherungsmaßnahmen passen und andererseits dem Schutzbedarf des abgesicherten Bereiches entsprechen. Für die Erhöhung des Schutzniveaus kann man gegebenenfalls die Nutzung einer RFID-basierten Karte durch Einbezug weiterer Faktoren wie Wissen (PIN) oder Besitz (Biometriemerkmal) ergänzen. Überdies hinaus empfiehlt sich eine Betrachtung der Buchungsdaten auf berechtigungstechnisch korrekte, aber potentiell missbräuchliche Nutzung - etwa von geklonten Karten. Ein solcher Intrusion-Detection Ansatz erfordert die Beachtung der Mitbestimmung und des Datenschutzes.

Welche Eigenschaften muss ein System aus Ihrer Sicht erfüllen, damit es als sicher gelten kann?

Andreas Rohr: Als Indiz für eine sichere Systemarchitektur eines Zugangskontrollsystems ist die Bereitschaft des Herstellers anzusehen, diese - gegebenenfalls abgesichert durch ein Non-Disclosure-Agreement (NDA) - zur Prüfung/Bewertung offenzulegen. So beruht die eigentliche Sicherheit auf einer durchgängigen Verwendung von offenen, gut untersuchten Standard-Kryptoalgorithmen. Anders ausgedrückt, sollte eine Architektur als vom Design her sicher einstufbar sein. Das eigentliche Sicherheitsniveau wird dann vom Kryptokey-Management bestimmt. Dazu gehören die sichere Erzeugung von Schlüsseln, deren sichere Verteilung an die betreffenden Systeme sowie die Verwendung im Personalisierungsumfeld von Zugangskarten. Als essentiell wichtig wird bei RWE die Möglichkeit angesehen, alle Masterkeys selbst zu erzeugen, so dass die Schlüsselhierarchie - wie bei einigen Integratoren üblich - nicht außerhalb von RWE startet.