Sicherer Zutritt per Smartphone
Aktuelle Mobile-Access-Lösungen für die Zutritts- und Identitätskontrolle bieten bei hoher Sicherheit eine gute Nutzerfreundlichkeit sowie viele Vorteile für die Betreiber, berichtet unser Autor – und ganz nebenbei tun sie auch noch etwas Gutes für die Umwelt.
Sicherheit, Nutzerfreundlichkeit und Umweltschutz sind drei wesentliche Faktoren, wenn es um moderne Zutritts- und Identitätskontrollsysteme geht. Und auch wenn der erste dieser Punkte Priorität genießt, werden für Unternehmen die Themen Usability und Nachhaltigkeit ebenfalls immer wichtiger – sowohl um Mitarbeiter:innen zufriedenzustellen als auch um für potenzielle neue Arbeitskräfte attraktiv zu wirken. Moderne Mobile-Access-Lösungen werden dabei allen diesen Ansprüchen gerecht – sie sind die aktuelle Evolutionsstufe einer Technologie, deren wechselhafte Geschichte bis in die 1990er-Jahre zurückreicht.
RFID – Sicherheit ist relativ
Damals waren Radio-Frequency-Identification- (RFID)-Karten brandneu auf dem Markt und ermöglichten erstmals kontaktlose Zugangskontrollen. Dank der Identifizierung mittels elektromagnetischer Wellen war es nicht mehr nötig, einen unmittelbaren Kontakt zwischen „Schloss und Schlüssel“ herzustellen. Die verbesserten Datenübertragungs-Möglichkeiten der Computerchips in den Karten und die Fähigkeiten entsprechender Lesegeräte, sie zu erfassen und auszuwerten, legten das Fundament für spätere Implementierungen.
Von einer erhöhten Sicherheit konnte jedoch noch eine ganze Weile keine Rede sein: Die 125-kHz-Verfahren, die für die Übertragung zum Einsatz kamen, waren nicht wirklich abhörsicher und boten nur begrenzten Schutz. Im Gegenteil: Mit dem richtigen Equipment konnten Kriminelle die übermittelten Informationen auslesen und Karten einfach duplizieren, sobald sie in Besitz der auf dem Chip gespeicherten Informationen kamen. Das lag vor allem daran, dass die Daten unverschlüsselt von der Karte zum Lesegerät übertragen wurden. In der Praxis kam das allerdings sehr selten vor, denn solche Abhörgeräte waren recht kostspielig und fundiertes technisches Know-how über die Technologie fehlte noch in den „einschlägigen Kreisen“. Dennoch zerbrachen sich Kartenanbieter schon damals den Kopf darüber, wie sie zukunftsweisende Zutritts- und Identitätskontrolllösungen sicherer machen könnten.
Aufbruch mit Smartcards
Rund zehn Jahre nach der Einführung von RFID für die Zugangskontrolle erblickten Smartcards das Licht der Welt. Sie funken Daten über eine höhere standardisierte Frequenz (13,56 MHz) und erfüllen internationale Standards wie ISO 14443 Identification cards – Contactless integrated circuit cards sowie ISO 15693 Cards and security devices for personal identification – Contactless vicinity objects.
Smartcards verfügen in der Regel über eine nativ implementierte Ende-zu-Ende-Verschlüsselung, um Übertragungen zu schützen. Sie enthalten außerdem Mikroprozessoren, die Strom vom Lesegerät benötigen, um eine vertrauenswürdige Kommunikation herzustellen und die Daten zu verschlüsseln sowie zu übertragen. Sie sind somit nicht in der Lage, Daten ohne physische Nähe zum passenden Lesegerät zu übertragen. All das erschwert den Fremdzugriff und ein Hacking der wertvollen Zugangskontrollkarten.
State of the Art: Smartphones und Wearables
Die rasante Verbreitung von Smartphones und Wearables, die über Near-Field-Communication (NFC) oder „Bluetooth Low Energy“ (BLE) kommunizieren, hat schließlich die nächste und aktuelle Evolutionsstufe beflügelt: Mobile-Access-Lösungen brechen längst mit dem Paradigma einer dedizierten Chipkarte oder ähnlicher Trägersysteme, die ausschließlich der Zugangs- und Identitätskontrolle dienen. Stattdessen lassen sie sich von Anwender:inne:n bequem auf ihrem Smartphone oder Wearable installieren, was zahlreiche Vorteile in Bezug auf die Nutzerfreundlichkeit mit sich bringt. Vor allem stärkt die Technologie aber auch die Sicherheit und Nachhaltigkeit – und zwar so, dass nicht nur die Nutzer:innen, sondern auch beispielsweise Betreiber von Büroflächen maßgeblich davon profitieren.
Pluspunkt User-Experience
Für die Nutzer:innen, also etwa die Angestellten in einem Unternehmen, ist vor allem die Usability einer Zugangskontrolllösung interessant: Je einfacher und intuitiver die Bedienung, desto besser. RFID-Karten, Smartcards und andere Gegenstände für die Zutritts- und Identitätskontrolle sind ganz oberflächlich betrachtet etwas, an das Mitarbeiter:innen zusätzlich denken und auf das sie aufpassen müssen. Vergessen sie diese zu Hause oder verlieren sie solche Systeme, bedeutet das Stress und Kosten. Smartphones oder Wearables haben sie jedoch meist ohnehin immer bei sich – und damit, sofern in ihrem Unternehmen eine Mobile-Access-Lösung zum Einsatz kommt, auch ihre „Schlüsselkarte“.
Softwarebasierte Zugangskontrolllösungen stehen Nutzer:inne:n zudem ohne Verzögerungen sofort zur Verfügung: Sie müssen keine Smartcard beantragen, keine Passfotos einreichen und dann erst noch auf die Fertigstellung des Plastikkärtchens warten. Es genügt, eine App zu installieren und die Sicherheits- oder IT-Abteilung des Unternehmens sendet via E-Mail einen Schlüssel, der – einmal in der App eingegeben und vom System verifiziert – die nötigen Berechtigungen mit dem Smartphone verknüpft.
Moderne Lösungen und Lesegeräte bieten überdies die Möglichkeit, sich via Bluetooth zu identifizieren. Diese Übertragungstechnologie ermöglicht es, Türen und Tore (etwa in Lagerhäusern) oder Schranken zum Parkhaus bequem aus einigen Metern Entfernung zu öffnen. Auch für körperlich eingeschränkte Angestellte ist die Zugangskontrolle so in vielen Fällen einfacher umsetzbar.
Mobile-Access-Lösungen öffnen jedoch nicht nur Türen, sondern sind heutzutage auch an vielen anderen Orten im Einsatz, wo früher Smartcards genutzt wurden. Mitarbeiter:innen können mit ihnen etwa auf sichere Weise Dokumente auf unternehmensweit zugänglichen Druckern ausdrucken oder ihr Smartphone für die Bezahlung in Kantinen oder an Selbstbedienungsautomaten nutzen. Auch der Zugriff auf gesicherte Rechner und Software wird durch softwarebasierte Zugangskontrolllösungen komfortabler und sicherer gestaltet.
Sicherheit und Komfort – auch für IT-Operators
In Sachen Nutzerfreundlichkeit bieten Mobile-Access-Lösungen gleichermaßen große Vorteile für die IT- und Sicherheitsabteilungen von Unternehmen: Sie sparen sich zum Beispiel die Arbeit, individuelle Smartcards zu drucken und die entsprechenden Identitäten auf einer physischen Karte zu erstellen. Stattdessen können sie zentralisiert die Zugangsrechte aller Angestellten verwalten und in Sekundenschnelle Rechte vergeben – und auch wieder entziehen.
Das ist ein enormer Vorteil gegenüber älteren Zutritts- und Identifikationslösungen: Früher drohte beim Verlust einer RFID-Karte oder einer Smartcard deren Missbrauch, was die gesamte Sicherheitsinfrastruktur eines Gebäudes kompromittieren konnte. Bis die verlorene Karte gemeldet und die Zugriffsrechte entzogen wurden, vergingen mitunter Stunden oder gar Tage. Mobile-Access-Lösungen sind insofern sicherer, da die IT-Abteilung dem Gerät die Zugangsberechtigung einfach und sofort nach Meldung entziehen kann.
Tatsache ist zudem, dass Angestellte ihre Smartphones und Wearables deutlich seltener verlieren als Schlüsselkarten oder ähnliche Zusatzgeräte für die Zutrittskontrolle – und wenn es doch passiert, merken sie es wesentlich schneller. Mobile-Access-Lösungen steigern somit die Sicherheit und verhindern effektiv, dass ein Austausch oder eine Sperrung überhaupt notwendig werden.
Vorteile für Umwelt und Vermieter
Neben Unternehmen und ihren Mitarbeiter:inne:n können aktuelle Mobile-Access-Lösungen auch ein Wettbewerbsvorteil für Firmen sein, die Gewerbe- und Büroflächen vermieten. Seit der Pandemie setzen immer mehr Organisationen auf Homeoffice und Remote-Work-Modelle, sodass gewerbliche Vermieter unter großem Druck stehen, ein besonders wertiges Angebot anzubieten. Gerade Start-ups und Unternehmen, die sich digital aufstellen wollen, erwarten softwarebasierte Zugangskontrolllösungen – diese Option ist daher mittlerweile fast obligatorisch geworden.
Mobile-Access-Lösungen sind überdies nachhaltiger als klassische Ansätze mit Plastikkarten. In einer Zeit, in der die Menschheit immer umweltbewusster wird, ist es kaum noch zu rechtfertigen, überflüssigen Müll zu verursachen. Schätzungen zufolge werden jedes Jahr weltweit rund 500 Millionen neue Zugangskarten produziert – das sind 3000 Tonnen Plastik und eigentlich unnötige Emission von 11 000 Tonnen Kohlendioxid (CO2). Gerade im universitären Kontext sind Mobile-Access-Lösungen daher eine sinnvolle Alternative: Denn in keinem Unternehmen werden jährlich so viele neue Plastikkarten benötigt wie an Hochschulen – und in wenigen Bereichen werden jährlich so viele Smartcards unbrauchbar und weggeworfen.
Moderne Architekturen
Weniger offensichtlich ist, was unter der sprichwörtlichen Haube der Anwendungen stattfindet und wie Hersteller die Sicherheit der Applikation technisch gewährleisten. Heutige softwarebasierte Zugriffskontrolllösungen nutzen oft ein cloudbasiertes Portal für die Rechtevergabe und Nutzerverwaltung. Hinzu kommen üblicherweise Apps für Android und iOS sowie Software-Development-Kits (SDKs) für Integrationen in Backend-Systeme, Managementplattformen und/oder eigene Apps von Anwender-Unternehmen. Hardwareseitig werden mehr oder minder spezialisierte Lesegeräte benötigt.
Die Zutritts- und Identifikationskontrolle findet in der Praxis zumeist wie folgt statt: Die Administration der Anwender:innen erstellt in der cloudbasierten Management-Plattform ein Nutzerprofil und einen zugehörigen Schlüssel, den die/der User:in via E-Mail erhält. Sobald auf dem Smartphone die Anbieter- oder Unternehmens-App installiert wurde, kann man diesen Verifizierungsschlüssel einlesen, um das Gerät im System anzumelden. Daraufhin sendet der Administrator eine Mobile ID an die App, die User:in und Gerät mit spezifischen Zugangsrechten versieht.
Wird versucht, eine Tür zu öffnen, gehen verschlüsselte Identifikationsdaten an das Lesegerät vor Ort, das die Validität der Anfrage verifiziert und beim Zugangskontrollsystem anfragt, um den Zutritt je nach Berechtigung zu gewähren oder zu verweigern.
Sicherheit durch Standardisierung
Historisch gesehen war Sicherheit immer ein Produkt ihrer Zeit – auch was heute noch als „sicher“ gilt, kann wenig später bereits veraltet sein. So war es auch mit verschiedenen Smartcards: Es dauerte nicht lange, bis für zahlreiche Modelle erfolgversprechende Angriffe gefunden wurden, was einmal mehr die Anfälligkeit proprietärer Sicherheitsprotokolle aufgezeigt hat.
Gerade beim Einsatz in Mobile-Access- und softwarebasierten Zugangskontrolllösungen sind daher Sicherheits- und Identifikationsmaßnahmen gefragt, die unabhängig vom Hardwarechip funktionieren. Denn: Ein angreifbares Kartensystem ist letztlich unbrauchbar und sorgt ansonsten dafür, dass sämtliche Karten, Lesegeräte und Sicherheitsmaßnahmen erneuert werden müssten.
Mobile-Access-Lösungen nutzen daher heute oft sogenannte Applets, welche Zugangsdaten und digitale Identitäten sicher auf dem „Smart Device“ der Wahl speichern. Applets haben den entscheidenden Vorteil, dass ihre Sicherheitsvorkehrungen nicht ein für alle Mal fest auf dem Chip implantiert sind, sondern vom Hersteller aktualisiert werden können – Anbieter können ihre Applets also weiterentwickeln und mit neuen Verschlüsselungs- und Schutzmechanismen nach Stand der Technik ausstatten.
Grundsätzlich sollten entsprechende Applikationen Schutzmaßnahmen gegen Reverse-Engineering, unautorisierten Zugriff, Code-Injection und -Obfuscation, also die Manipulation von Anwendungscode, enthalten. Außerdem sind alle verwendeten kryptografischen Schlüssel gerätespezifisch auszugestalten, sodass es keinen „Masterkey“ gibt, der auf Smartphones oder Wearables gespeichert würde.
Ausblick: Verbesserungspotenzial durch KI-Monitoring
Für noch mehr Sicherheit wird in Zukunft immer öfter künstliche Intelligenz (KI) sorgen: Sie ist schon heute in der Lage, auf Wunsch des Betreibers Profile und Aktivitätsmuster der Nutzer:innen zu erstellen – treten Anomalien auf, warnt das System die verantwortlichen Security-Teams. KI spielt somit eine wichtige Rolle, wenn es darum geht, die Effizienz von Sicherheitsteams zu steigern und Reaktionszeiten im Ernstfall zu verkürzen.
Jaroslav Barton ist Director of Product Marketing, Physical Access Control, Global Regions bei HID.