In einer zunehmend vernetzten und digitalisierten Welt ist die physische Sicherheit kritischer Infrastrukturen (KRITIS) von enormer Bedeutung. Diese Strukturen sind essenziell für das Funktionieren unserer Gesellschaft in Bereichen wie Energie, Transport, Finanzen und Gesundheit, um nur einige zu nennen. Sowohl bewusste Angriffe als auch unbeabsichtigte Störfälle können katastrophale Folgen haben und die physische Sicherheit spielt eine entscheidende Rolle dabei, viele Risiken zu minimieren. Dies unterstreichen die EU CER-Richtlinie (EU 2022/2557) sowie der veröffentlichte Referentenentwurf vom KRITIS-Dachgesetz deutlich, die darauf abzielen, die Sicherheit und Resilienz von Betreibern kritischer Anlagen zu stärken.
Zutrittskontrollmedien, wie Werksausweise, Badges, NFC/RFID-Karten, etc. sind für sehr viele Betreiber eine wesentliche Komponente der physischen Sicherheitsmaßnahmen. Sie dienen dazu, den Zutritt zum Werksgelände sowie sensiblen Bereichen zu kontrollieren und sicherzustellen, dass nur autorisiertes Personal Zutritt hat. Dabei ist es von entscheidender Bedeutung, dass diese Systeme selbst sicher sind und nicht manipuliert oder umgangen werden können. Allerdings stellt sich die Frage, wie regelmäßig und gründlich diese Systeme auf ihre Sicherheit und Aktualität überprüft werden. Die Technologie entwickelt sich ständig weiter und damit auch die Techniken, mit denen potenzielle Angreifer versuchen könnten, diese Kontrollen zu umgehen. Daher ist es unerlässlich, dass Unternehmen nicht nur die Installation solcher Kontrollsysteme sicherstellen, sondern auch deren regelmäßige Überprüfung und Aktualisierung.
Wann wurde Ihre Lösung für die Zutrittskontrolle zuletzt auf den Stand der Technik und Sicherheit überprüft?
0%Noch nie
0%< 2 Jahre
0%< 5 Jahre
0%≥ 5 Jahre
Ein aktuelles Beispiel dafür ist der Flipper Zero, ein Security-Tool, das für weniger als 200€ erhältlich ist und das viele ältere, aber noch weit verbreitete Sicherheitssysteme im Bereich der RFID/NFC-Karten mittels Kopiervorgang, Cracking und Fuzzing sowie ferngesteuerte Schranken und Tore mittels Sniffing und Bruteforce aushebeln kann.
Obwohl es sich in dem Video auf Instagram um eine Hotelzimmertüre handelt, hebt die dargestellte Funktion "Unlock With Reader" sowie die Videodauer die Einfachheit solcher Vorgänge hervor und zeigt zugleich, wie wichtig es ist, dass Unternehmen ständig auf dem neuesten Stand der Technik bleiben und ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um ihre Infrastrukturen wirksam zu schützen.
Auch Personen ohne technische Kenntnisse können mit solchen Werkzeugen Sicherheitsmaßnahmen aushebeln, wenn die Sicherheitssysteme veraltet sind und/oder Schwachstellen aufweisen. Wer für die physische Sicherheit verantwortlich ist, sollte den Markt und den Funktionsumfang der verfügbaren Tools kennen:
RFID/NFC: Zutrittskarten etc.
Flipper Zero
Proxmark 3 RDV4.1 / Evo / Easy
iCopy-X
Chameleon Ultra / Tiny / Mini
Keysy
...
Funk: Schranken, Rolltore, Alarmanlagen, Autos etc.
Flipper Zero
HackRF One mit PortaPack
PandwaRF Rogue
...
Ein weiterer wichtiger Punkt ist die Verwaltung und Vergabe der Zutrittskontrollmedien. Wer hat Zutritt zu welchen Bereichen? Wie wird entschieden, wer Zutritt erhält und wer nicht? Wie wird sichergestellt, dass Medien, die verloren gehen oder gestohlen werden, schnell deaktiviert werden können? Wer kann neue Medien erstellen und wem gehört die Anlage? (siehe Vermieter, die physische Unsicherheit?) All dies sind wichtige Fragen, die im Rahmen einer umfassenden Sicherheitsstrategie berücksichtigt werden müssen.
Abschließend lässt sich festhalten, dass physische Sicherheit und die Überprüfung der Sicherheit von Zutrittskontrollsystemen unerlässlich sind, um die Resilienz kritischer Infrastrukturen zu gewährleisten. Es ist daher zu hoffen, dass die entsprechenden gesetzlichen Vorgaben, wie das vorgeschlagene KRITIS-Dachgesetz, Unternehmen dazu anhalten, diese Aspekte ernst zu nehmen und entsprechende Maßnahmen zu ergreifen.
