Risikoabschätzung
Eigentlich hätte es diese Story auf die Titelseiten schaffen müssen: Ein Hacker deckt eine Schwachstelle in einem Protokoll auf, das weltweit in vielen Zutrittskontrollanlagen zum Einsatz kommt. Für den Hack braucht der Angreifer lediglich ein paar handelsübliche Komponenten und einige Minuten Zeit. Genau das passierte letzten August auf der Hacker-Konferenz DefCon in Las Vegas, als Zac Franken demonstrierte, wie sich das weit verbreitete Wiegand-Protokoll hacken ließ.
Obwohl wir Sicherheit einen hohen Stellenwert einräumen, blieb die Nachricht weitgehend unbeachtet. Mike Davis, der bei HID Global als Sicherheitsexperte die Abteilung für geistiges Eigentum leitet, meint: „Die Branche hat kaum auf diese Meldung reagiert; eigentlich gab es gar keine öffentlichen Äußerungen.“ Das Wiegand-Protokoll hat in der Tat einige Schwachstellen, aber eine korrekt konfigurierte Sicherheitsanlage bietet nach wie vor wenig Angriffsfläche. Die Probleme, auf die Zac Franken hinwies, und einige Hinweise für einen sicheren Betrieb, werden nachstehend beschrieben.
Wiegand ist Marktführer
Wiegand ist ein zwanzig Jahre alter, relativ einfacher Standard, wird aber heute noch in vielen modernen Zutrittskontrollanlagen eingesetzt. Er geht auf die Wiegand Reader Technology zurück, die einen 26-Bit- Authentifizierungscode vorsieht. Viele moderne Lesegeräte kommunizieren mit der Steuertechnik mittels „Wiegand-Effekt“, bei dem unterschiedliche Drähte die Nullen und Einsen repräsentieren. Auch heute noch verwenden viele Lesegeräte, darunter Näherungssensoren, kontaktlose Smartkarten und auch leistungsfähige biometrische Systeme, das Wiegand-Protokoll für die Datenübertragung zwischen Lesegerät und Zutrittskontrolle. „Das Wiegand-Protokoll ist in unserer Branche sehr weit verbreitet“, sagt Davis.
Wie jedes andere Kommunikationsprotokoll hat auch Wiegand seine Stärken und Schwächen. Zu den Stärken gehören die weite Verbreitung, die niedrigen Kosten, die Fähigkeit zur Datenübertragung über weite Strecken und die Tatsache, dass es relativ unempfindlich gegen elektrische und mechanische Schäden ist. Leider hat Wiegand auch einige Schwächen. Erstens gibt es keine Autorisierung zwischen Lesegerät und Zutrittskontrolle, so dass die Codes leicht abgefangen werden können. Zweitens ist eine Datenbreite von 26 Bit sehr gering. Davis erklärt, dass Wiegand nur 256 Gebäudecodes und 65535 Benutzerkennungen verwalten kann. Dadurch besteht die Möglichkeit, dass die Benutzer von Zugangssystemen in Nachbargebäuden funktionsgleiche Karten und sogar die gleichen Benutzerkennungen haben können. Das ist jedoch sehr unwahrscheinlich.
Franken nutzte die erste Schwäche aus: Er programmierte einen Mikrocontroller so, dass er die Zugangscodes von einem Wiegand-Lesegerät aufzeichnete. Der Mikrocontroller konnte mit einer präparierten Karte angesteuert werden. Franken klinkte den Controller in die Verdrahtung des Lesegeräts ein. Nun konnte der Controller die Kommunikation überwachen und die Zugangscodes speichern. Mit der präparierten Karte konnte Franken die gespeicherten Codes abrufen und damit die Türskontrolle aktivieren.
Branchenkenntnisse
Der erfolgreiche Angriff auf das Übertragungsprotokoll hatte kaum Folgen. Zuerst einmal ist der Angriff relativ schwierig und riskant, da das Lesegerät von der Wand abgeschraubt werden muss – es gibt Angriffe, die deutlich einfacher sind. Und weil Franken seinen Code nicht veröffentlichte, müssten die Einbrecher sich schon sehr gut mit der Programmierung von Firmware auskennen. Außerdem nutzen nicht alle Unternehmen das 26-Bit-Wiegand-Format, da sie Wert auf proprietäre Sicherheitslösungen legen und andere Übertragungsformate bevorzugen.
Da das Format meist nicht dokumentiert ist, bleibt das Einbruchsrisiko vergleichsweise niedrig. Für Davis ist klar: „Es gibt viele Möglichkeiten, völlig ohne Technologie in ein Gebäude einzubrechen: In ein Gebäude mit Glastür kann jeder gelangen, der einen Stein hinein wirft.“ Andere Einbruchsmethoden sind das sogenannte „Social Engineering“ – der Angreifer täuscht eine falsche Identität vor und überredet andere Personen, ihn hineinzulassen. Beliebt sind auch Lowtech-Angriffe: Dabei wird Papier an einem Stiel befestigt, der Stiel unter der Tür hindurchgeschoben und geschwenkt, worauf die interne Bewegungserkennung ausgelöst wird.
Unternehmen können sicher ein besseres Protokoll als Wiegand einsetzen, aber neue Protokolle führen zu neuen Sicherheitsproblemen – die Kosten steigen und die Abhängigkeit von proprietären Kommunikationsprotokollen nimmt zu. Wenn es einheitliche Standards gibt, können Hersteller Geräte auf den Markt bringen, die mit den Geräten anderer Hersteller kompatibel sind. Dadurch können sie höhere Stückzahlen produzieren und Skaleneffekte nutzen. Proprietäre Standards erhöhen dagegen die Kosten und binden den Kunden an einen Hersteller. Andere Übertragungsprotokolle wie TCP/IP können anfälliger für Angriffe sein als das Wiegand-Protokoll, da es viel mehr Programmierer gibt, die sich damit gut auskennen.
Mehrstufige Sicherheit
Sie wollen wissen, welche Lösung am besten geeignet ist? Halten Sie sich einfach an die Empfehlungen der Hersteller, dann sind Sie auf der sicheren Seite. Zutrittskontrollanlagen haben in der Regel einen speziellen Schutz vor Manipulationen; dieser Schutz wird in der Praxis selten genutzt, sollte aber verwendet werden. In Gebäuden sollten wichtige Zugangsbereiche zusätzlich durch Kameras überwachte werden. Alternativ kann das Wachpersonal angewiesen werden, die Lesegeräte einmal täglich zu kontrollieren. Bei sichtbaren Manipulationsversuchen ist sofort eine Prüfung durchzuführen.
Diese Maßnahmen reichen für einfache Sicherheitsanforderungen aus, aber in Hochsicherheitsbereichen sind zusätzliche Sicherheitsstufen erforderlich. „Man konzipiert kein Sicherheitssystem, das sich an einem einzigen Punkt lahmlegen lässt“, weiß Davis. Die Sicherheit kann durch Kameras, Wachpatrouillen, zusätzliche Zutrittskontrolltechnik und andere Maßnahmen verbessert werden. Sollte Wiegand durch ein anderes Protokoll ersetzt werden, kann niemand garantieren, dass das neue Protokoll absolut sicher ist – ein mehrstufiges Sicherheitskonzept ist also unvermeidlich. Für Mike Davis ist klar: „Wenn ein Sicherheitssystem von einer einzigen Zutrittskontrolle abhängt, kann von einem Sicherheitssystem keine Rede sein.
* Pflichtfeld