Management

RWE führt konzernweite Zutrittskontrolllösung ein

29.06.2011 - Für etliche Bewegung im Zutrittskontrollmarkt sorgt derzeit ein Zutrittskontroll-Whitepaper von RWE. Gemeinsam mit den Security Research Labs in Berlin hat der Konzern es vor kurze...

Für etliche Bewegung im Zutrittskontrollmarkt sorgt derzeit ein Zutrittskontroll-Whitepaper von RWE. Gemeinsam mit den Security Research Labs in Berlin hat der Konzern es vor kurzem unter dem programmatischen Titel „Esta­blishing Security Best Practices in ­Access Control" veröffentlicht. Beschrieben wird darin der Weg, den RWE in einem konzernweit angelegten ­Prozess in Richtung eines sicheren ­Zutrittskontrollsystems beschreitet. Matthias Erler von GIT-SICHERHEIT.de befragte Dr. Andreas Rohr von der RWE Group Security als Cyber ­Forensic Manager zu Hintergründen und Einzelheiten des Projekts.

GIT-SICHERHEIT.de: Herr Dr. Rohr, Sie haben bei RWE einen Prozess zur Einführung sicherer Zutrittskontrolle gestartet. Was hat Sie dazu angetrieben?

Andreas Rohr: Zunächst einmal kann man einen solchen Prozess nicht allein vollziehen, sondern benötigt insbesondere auch die Erfahrungen des operativen Bereichs. Vor dem Hintergrund der in der jüngeren Vergangenheit veröffentlichten Sicherheitsschwächen diverser RFID-Technologien im Bereich der Zugangskontrolle wurde eine erneute Risikoanalyse notwendig. Über eine neue Architektur nachzudenken wurde neben Sicherheitserwägungen auch durch den Wunsch nach Unabhängigkeit von einem Integrator bzw. Hersteller motiviert. Es reichte uns daher nicht aus, einfach die eingesetzte RFID-Technologie durch eine heute als sicher eingestufte Technik auszuwechseln. Hauptsächlich wollten wir verhindern, in Zukunft noch einmal in eine ähnliche Situation zu kommen und die Sicherheit nicht ausschließlich auf einer Sicherheitseigenschaft beruhen zu lassen. Außerdem war unser Ziel eine komplette Neuausrichtung hin zur flexiblen Unterstützung aller mit einem Konzernausweis nutzbaren Applikationen.

Von welchen Applikationen und Umfängen sprechen wir bei RWE in diesem Zusammenhang?

Andreas Rohr: Hier sind vornehmlich die Zutrittskontrolle und das bargeldlose Bezahlen in der Gastronomie zu nennen. Es gehören aber auch Nachweise für Sicherheitsbelehrungen, also gesetzliche Auflagen, dazu. Außerdem werden Abrechnung und Zeiterfassung über die Ausweisnutzung abgewickelt. Eine weitere Komponente ist die sogenannte starke Authentisierung unter Nutzung von Zertifikaten, die sich auf einem PKI-Smart-Card-Chip im Ausweis befinden. Was den Umfang betrifft, so reden wir bei RWE über einen Bereich von mehr als 150 Lokationen in über zehn Ländern mit insg. 70.000 Mitarbeitern und weiteren 40.000 Ausweisen für RWE-Externe (z.B. Dienstleister oder Besucher).

RWE führte 2010 ein Assessment hinsichtlich RFID-Sicherheit durch. Was war das Ergebnis?

Andreas Rohr: Es handelte sich um eine Sicherheitsanalyse der am Markt verfügbaren Technologie unter Einbeziehung der veröffentlichten Schwachstellen z.B. von Hitag 1, HID prox, Mifare Classic und Legic Prime. Sie machte uns deutlich, dass diese von Komfort getriebenen Ansätze - gepaart mit beworbenen aber nicht offengelegten „Sicherheitsfeatures" (Stichwort: security-by-obscurity) - sich als nicht zielführend, also nicht sicher, erwiesen haben. Zudem ist festzuhalten, dass für die Absicherung eines Objekts oder Einzelassets eine durchgängige Sicherheitskonzeption notwendig ist. So kann die Verwendung einer RFID-basierten Zugangskontrolle nur ein Baustein in der Gesamtheit aller Absicherungsmaßnahmen sein.

Geben Sie uns ein Beispiel?

Andreas Rohr: Man würde beispielsweise eine Holztür sicher nicht mit einer kryptografisch sicheren RFID-Technik zugangssichern. Das angestrebte Schutzniveau sollte zum einen zu den (technischen) Absicherungsmaßnahmen passen und andererseits dem Schutzbedarf des abgesicherten Bereiches entsprechen. Für die Erhöhung des Schutzniveaus kann man gegebenenfalls die Nutzung einer RFID-basierten Karte durch Einbezug weiterer Faktoren wie Wissen (PIN) oder Besitz (Biometriemerkmal) ergänzen. Überdies hinaus empfiehlt sich eine Betrachtung der Buchungsdaten auf berechtigungstechnisch korrekte, aber potentiell missbräuchliche Nutzung - etwa von geklonten Karten. Ein solcher Intrusion-Detection Ansatz erfordert die Beachtung der Mitbestimmung und des Datenschutzes.

Welche Eigenschaften muss ein System aus Ihrer Sicht erfüllen, damit es als sicher gelten kann?

Andreas Rohr: Als Indiz für eine sichere Systemarchitektur eines Zugangskontrollsystems ist die Bereitschaft des Herstellers anzusehen, diese - gegebenenfalls abgesichert durch ein Non-Disclosure-Agreement (NDA) - zur Prüfung/Bewertung offenzulegen. So beruht die eigentliche Sicherheit auf einer durchgängigen Verwendung von offenen, gut untersuchten Standard-Kryptoalgorithmen. Anders ausgedrückt, sollte eine Architektur als vom Design her sicher einstufbar sein. Das eigentliche Sicherheitsniveau wird dann vom Kryptokey-Management bestimmt. Dazu gehören die sichere Erzeugung von Schlüsseln, deren sichere Verteilung an die betreffenden Systeme sowie die Verwendung im Personalisierungsumfeld von Zugangskarten. Als essentiell wichtig wird bei RWE die Möglichkeit angesehen, alle Masterkeys selbst zu erzeugen, so dass die Schlüsselhierarchie - wie bei einigen Integratoren üblich - nicht außerhalb von RWE startet.

Können Sie uns kurz die einzelnen Phasen der Einführung eines sicheren Zutrittskonzepts bei RWE erläutern?

Andreas Rohr: Bei RWE wurden, grob zusammengefasst, insgesamt drei Phasen beschritten. In einem ersten Schritt wurden die Sicherheitsanforderungen an zukünftige Zugangskontrollsysteme beschrieben und alle in Frage kommende Nutzapplikationen im Konzern betrachtet. In der Folge wurde eine Zielarchitektur beschrieben, die bestehende Installationen transparent weiterbetreibt und gleichzeitig die Neuumsetzung im Sinne einer sanften Migration ermöglicht. Die dafür nötigen Systembausteine haben wir in einer zweiten Phase entwickelt und implementiert. Parallel wurde an drei Standorten im Rahmen dort laufender Neubauprojekte bereits die neue Konzeption prototypisch umgesetzt, um Betriebserfahrungen im Umgang mit den neuen Systemen zu sammeln. Diese Phase ist nahezu abgeschlossen. Bereits angefangen hat die letzte Phase, d.h. die tatsächliche Regelnutzung in Projekten mit neu auszustattender Zugangstechnik. Besonders sensitive Bereiche können nun auf den neuen Konzernstandard zurückgreifen, um auf das gewünschte Sicherheitsniveau zu migrieren.

Würden Sie uns das neue Konzept der multifunktionalen RWE-Service-Card etwas näher beschreiben?

Andreas Rohr: Das Hauptziel ist es, einen im gesamten Konzern international einsetzbaren Konzernausweis zu haben, der für die verschiedensten Anwendungen genutzt werden kann. Zuvorderst ist dies sicher die Zugangskontrolle und das bargeldlose Bezahlen in der RWE-Gastronomie. Zukünftig gehört dazu aber auch die Authentisierung an Computern und Services in der RWE IT-Landschaft mittels Zertifikaten. Dafür sind insgesamt drei zentrale Elemente erforderlich, die dann prinzipiell jede Art von dezentral gemanagten Zugangs- oder IT-Systemen unterstützt. Die drei zentralen Bausteine sind ein konzernweit einheitliches Kartenmanagement (inkl. Produktion), das Krypto-Schlüsselmanagement und eine einheitliche, workflow-basierte Rechtesteuerung. Die Notwendigkeit eines einheitlichen Kartenmanagements liegt auf der Hand, da eine Karte in allen beteiligten Systemen bekannt sein muss und dies in einem Top-Down-Ansatz am einfachsten zu realisieren ist. Die angeschlossene Kartenproduktion sollte daher natürlich mandantenfähig sein und dezentral produzieren können. Das zentrale Schlüsselmanagement ist eine Grundvoraussetzung für den sicheren Betrieb und muss konzernweit einheitlich erfolgen. Möchte man nicht in allen Zugangskontrollsystemen Rechte eines Nutzers einzeln verwalten (typischerweise ein System pro Hersteller), so ist eine Abstraktion im Sinne eines Ident- und Rights-Managements notwendig. So kann dann jeder Mitarbeiter mit seiner Karte in jeder Lokation unabhängig vom eigentlichen System vorort berechtigt werden. Alle verfügbaren Bausteine sollen definierte Schnittstellen haben und somit substituierbar sein. Dadurch werden der Wettbewerb und die einsetzbare Produktvielfalt im Konzern erhöht, ohne die berühmten Inseln zu bauen. Größter Mehrwert für die Anwender wie das Facility-Management oder einzelne Projekte sind standardisiert einsetzbare Herstellerprodukte mit relativ geringen Realisierungsrisiken.

Es handelt sich ja um Hybrid-Karten mit Legic Prime, Legic Advant und Desfire EV1 - und es werden auch HID-Karten getestet?

Andreas Rohr: Aufgrund der bereits mit diversen Technologien vorhanden Installationen in der Zugangskontrolle und Gastronomie muss ein neuer Konzernausweis zwangsläufig eine Hybridkarte mit verschiedenen RFID-Chips sein, so dass eine Rückwärtskompatibilität gewährleistet ist. Alternativ könnte man sicher auch Leseterminals verwenden, die verschiedenste Karten verarbeiten können. Die Festlegung eines einheitlichen Sicherheitsniveaus (je Bereich) ist dann aber kaum noch möglich. Daher haben wir uns für den Weg der Implementierung des neuen Designs bei Neu- und Umbauten ohne Kompatibilität zu etwaigen alten Karten entschieden, wobei alle Mitarbeiter mit Zugang zu diesen Bereichen dann eine Hybridkarte bekommen. So ist ein über einen gewissen Zeitraum gestreckter Wechsel möglich und kein Totalaustausch notwendig. Auch bei allen Neuausstattungen mit Karten und bei Karten-Reproduktionen werden ausschließlich die neuen Hybridkarten verwendet.

Inwieweit arbeiten Sie bei diesem Projekt mit anderen Unternehmen zusammen?

Andreas Rohr: RWE ist eines der Unternehmen, die sich derzeit in einer Neuausrichtungsphase der Konzernausweise und der Zugangskontrolle befinden. Die Gründe dafür sind vielschichtig und wir stehen mit einigen Großkonzernen aus dem Dax-30 Bereich in Kontakt. Gemein ist allen, dass eine Kopie der vergangen Ansätze ausschließlich mit neuer Technologie als nicht zielführend angesehen wird. Wir stehen in engem Kontakt sowohl mit Chipherstellern als auch den Entwicklungsabteilungen der führenden Anbieter im Zugangskontrollmarkt. Für ein zentrales Schlüssel- und Rechtemanagement existieren bis dato keine marktverfügbaren Produkte, die dem Anforderungsprofil entsprächen. Daher haben wir aufwandsteilig mit einem weiteren Dax-30 Unternehmen und den Security Research Labs in Berlin ein entsprechend generisches, sicheres Schlüsselmanagement entwickelt. Im Bereich des zentralen Rechtemanagements laufen derzeit eine Studie und Untersuchungen zu den Grenzen und Voraussetzungen für einen Einsatz in heterogenen Umgebungen. Im weiteren Verlauf ist es angestrebt, den einzelnen Herstellern einen Industriekunden-Standard in die Entwicklungsbücher zu schreiben, die im Endeffekt auf Anbieter- und Kundenseite zu geringeren Implementierungsrisiken und zu mehr Flexibilität bei der Auswahl führen wird. In Zukunft sollten also keine Customizing-Aufwände zur Integration verschiedener Zugangskontrollsysteme mehr entstehen: Customizing führt sonst über den gesamten Lebenszyklus immer wieder zu Mehraufwänden führt und die Komplexität im Life-Cycle-Management wird erhöht.

Herr Dr. Rohr, herzlichen Dank für das ­Gespräch.

Kontakt

RWE AG

Opernplatz 1
45128 Essen
Deutschland

+49 201 12 15040