Schrittweiser Austausch von Zutrittskontrollsystemen

IP-basierte Zutrittskontrollsysteme bieten heute eine Vielzahl unterschiedlicher Funktionen an und lassen sich problemlos aktualisieren; traditionelle Zutrittskontrollsysteme dagegen müssen in der Regel komplett ausgetauscht werden, wenn eine Komponente veraltet ist. Denn traditionelle Systeme sind im Grunde nichts anderes als ein digitales Schloss, das mit einem passenden Schlüssel (zum Beispiel Pin-Code oder Chipkarte) geöffnet werden kann. Der Sensor im Schloss liest ein vom Schlüssel ausgesendetes Signal und öffnet die Tür, wenn die Informationen auf beiden Seiten übereinstimmen.

Im Laufe der Zeit haben immer neue Funktionen den Weg in die Zutrittskontrolle gefunden. Nutzer können beispielsweise individuelle Rechte vergeben, sodass bestimmte Personen nur zu vorab festgelegten Zeiten einen Bereich betreten oder verlassen dürfen. Darüber hinaus führen moderne Systeme Protokoll, wann welche Personen einen Raum betreten oder verlassen haben. Möglich wird das durch den technischen Fortschritt, insbesondere durch das Internet der Dinge (Internet of Things, IoT) – und genau hier liegt das Problem.

Veraltete Systeme schrittweise austauschen

Sobald ein Endgerät an ein Netzwerk angeschlossen wird, ist es ein Zugangspunkt, von dem aus auf das Unternehmensnetzwerk zugegriffen werden kann. Selbst die sichersten Server mit erstklassigen Schutzmechanismen und Protokollen können hier nur bedingt standhalten, wenn Hacker über ein angeschlossenes Lesegerät den Zugriff auf das Netzwerk bekommen. Einfach ausgedrückt: Ein Schlüsselkartenlesegerät ist der verwundbarste Punkt des gesamten physischen Sicherheitssystems, der als Eingang zum Inneren des Netzwerks genutzt werden kann. Hacker verschaffen sich durch Manipulation oder auch rohe Gewalt Zugriff auf das Unternehmensnetzwerk. Von dort aus können sie das Netzwerk ausspähen, Daten stehlen, Malware installieren oder in andere Sicherheitssysteme eindringen, um Vorgänge zu überwachen – und das alles ohne das Wissen des Administrators.

Wer nun auf ein vermeintlich sichereres, analoges System ohne Internetzugang setzt, das lediglich mit der Tür verbunden ist, stellt schnell fest, dass diese Geräte oftmals noch anfälliger sind. Um ein solches System zu hacken, benötigt man in der Regel nur ein einziges Bluetooth-Gerät, das bereits für unter 100 EUR erhältlich ist. Damit lässt sich auf dem Kartenlesegerät eine Software installieren, die anschließend die Daten aller Zutrittsversuche protokolliert und diese an ein nahegelegenes Telefon oder Laptop übermittelt. Mithilfe dieser Daten lässt sich dann eine duplizierte ID-Karte erstellen. Notwendig ist dafür lediglich, dass die Zutrittskontrollsysteme das Wiegand-Protokoll verwenden, das weltweit am weitesten verbreitete Protokoll für Proximity-Kartenlesegeräte. Hinzu kommt, dass Administratoren hier keinerlei Informationen erhalten, da das Lesegerät nicht an ein Netzwerk angeschlossen ist.

Ein Szenario wie im obigen Beispiel kann jedes Zutrittskontrollsystem treffen, egal ob es an ein Netzwerk angeschlossen ist oder nicht. Während bei einem IP-basierten System vorhandene Komponenten jederzeit aufgerüstet, aktualisiert oder optimiert werden, müssen traditionelle Systeme in der Regel komplett ausgetauscht werden. Diese Art der Modernisierung mag zwar die einfachste Lösung sein, sie ist aber nicht die kostengünstigste oder vernünftigste. Vielmehr können veraltete Systeme für Zutrittskontrolle und Videoüberwachung durch schrittweisen Austausch oder punktuelle Upgrades nach und nach auf den neuesten Stand gebracht werden.

IP-basiertes Zutrittskontrollsystem hat viele Vorteile

Wer sich nun dazu entscheidet, sein Zutrittskontrollsystem zu einer IP-basierten Lösung zu migrieren, sollte vor allem darauf achten, dass diese effektiv vor Cyberangriffen geschützt wird. Eine Grundvoraussetzung für effektiven Schutz ist eine End-to-EndVerschlüsselung. Damit werden alle Daten, die zwischen Chipkarte und Lesegerät sowie Lesegerät und Server übertragen werden, verschlüsselt, was auch den Zutritt mit duplizierten Chipkarten deutlich erschwert. Ein neues Zutrittskontrollsystem bietet aber deutlich mehr als nur höhere Sicherheitsstandards. Die aus dem System gewonnenen Daten können durch intelligente Analyse in vielen anderen Bereichen genutzt werden. So ist es beispielsweise möglich, den Personenfluss im öffentlichen Raum zu steuern oder Arbeits- und Anwesenheitszeiten von Mitarbeitern zu erfassen, ohne eine zusätzliche Stempeluhr einsetzen zu müssen. IP-basierte Zutrittskontrolllösungen erleichtern darüber hinaus auch die standortübergreifende Verwaltung von Zutrittsrechten von Mitarbeitern und Besuchern. Zudem enden die Möglichkeiten eines solchen Systems nicht bei der Verwaltung von Türen. Moderne Lösungen können auch eine Reihe weiterer Sicherheitsbedürfnisse abdecken. Dazu gehören die Verwaltung von Server-Racks, der Zugang zu Medizinschränken oder zu Vitrinen im Einzelhandel.

Zutrittskontrolle vereinheitlichen

Unternehmen und Organisationen sollten außerdem ernsthaft darüber nachdenken, die Zutrittskontrolle mit weiteren Sicherheitssystemen zu vereinheitlichen. Damit lassen sich Zutrittskontrollereignisse mit Alarmen, Videoüberwachung und dem Reportingsystem synchronisieren. Versucht eine Person unbefugt, beispielsweise mithilfe einer gestohlenen Chipkarte, in ein Büro einzudringen, wird das Sicherheitspersonal über dieses ungewöhnliche Ereignis alarmiert und kann sich von der Leitstelle oder dem mobilen Endgerät die Aufnahmen oder Live-Bilder der nächstgelegenen Videokamera ansehen. Nun können aus der Ferne alle Türen und sonstige Zugänge verriegelt werden, auch wenn der Eindringling durch die Chipkarte eigentlich über die entsprechenden Berechtigungen verfügt.

Zutrittskontrollsysteme bieten heute eine Vielzahl unterschiedlicher Funktionen an. Dennoch sollte die Lösung nutzerfreundlich und wenig komplex bleiben. Ein einheitlicher und dynamischer Ansatz für die Sicherheits- und Zugriffsrechteverwaltung ist entscheidend, damit das Sicherheitspersonal in Krisensituationen genau weiß, was es zu tun hat, um mögliche Bedrohungen schnellstmöglich zu beseitigen.

Kay Ohse, Country Manager DACH und ECE bei Genetec