Geklonte RFID-Chips

„RFID im Blick“ und PAV Card starten aufgrund der aktuellen Sicherheitsproblematik eine Umfrage zum Thema Sicherheit und Zutritt.

Sicherheitsrisiko oder Panikmache?

Der vereitelte Attentatsversuch am Flughafen in Detroit sowie die Kompromittierung eines Smart Card-Sicherheitssystems für Zutritt und Kontrolle haben die Diskussion des Themas „Sicherheit" für IT-Experten und Endanwender erneut angeregt. Das für den Zutritt des Hamburger Flughafens zugrundeliegende Legic Prime-System wurde von Hackern des Chaos Computer Clubs im Dezember überwunden. Ob dieser Vorgang zu einer erhöhten Sensibilität bezüglich Sicherheitsvorkehrungen bei den betroffenen Unternehmen geführt hat, untersucht eine aktuelle Umfrage, welche von „RFID im Blick" in Kooperation mit PAV initiiert wurde.

Hacken auch für Laien möglich?
„Sicherlich braucht die entsprechende Person IT-Know-how, um ein Sicherheitszutrittssystem zu knacken. Aber sobald jemand die Anleitung dazu öffentlich gemacht hat, ist es auch für Laien möglich, diesen Weg nachzuvollziehen", so Dierk Früchtenicht, Entwicklungsleiter bei PAV. Für wirklich sicher hält der Experte Microcontroller-Chips, welche über asymmetrische Verschlüsselungen unter Verwendung elliptischer Kurven verfügen. Letztendlich entscheide aber nicht der Typ der Verschlüsselung, sondern die gesamte Sicherheitsarchitektur des Systems. „Eine Schlüssellänge von 256 Bit für eine bestimmte Verschlüsselung ist heute noch sicher, aber das gilt möglichweise nicht mehr in zehn Jahren", so Früchtenicht. Die Sicherheit ließe sich nach der jetzigen Rechenleistung definieren, denn ausgeklügelte Angriffe würden Zeit und starke IT-Systeme benötigen, um entsprechende Codes zu entschlüsseln.

Definierte Schlüssellängen
Die Definition von sicheren Schlüssellängen obliegt dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI untersucht Sicherheitsrisiken bei der Anwendung der Informationstechnik und entwickelt Sicherheitsvorkehrungen. Es informiert über Risiken und Gefahren beim Einsatz der Informationstechnik und versucht Lösungen dafür zu finden. Dies beinhaltet die Prüfung und Bewertung der IT-Sicherheit von IT-Systemen, einschließlich deren Entwicklung in Kooperation mit der Industrie. „Für die informierte Community war es nicht wirklich eine Überraschung dass ein weiterer Chip gehackt wurde", äußert sich Harald Kelter, Sicherheitsexperte vom BSI zu der aktuellen Debatte. Legic Prime sei bereits das dritte Sicherheitssystem, welches nach Mifare Classic und Hitag 2 überwunden wurde. Grund dafür sieht Kelter in der Geheimhaltung der proprietären Krytografie der Chips. Die verwendeten Algorithmen seien nicht bekannt gewesen und wurden auch nicht von Kryptologen untersucht. „Wenn wir die Stärke eines Algorithmus kennen, können wir die Sicherheitslage einschätzen. Setzen Sie beispielsweise die offenen Standards 3DES oder AES ein, können Sie die Implementierung dieser Algorithmen evaluieren und zertifizieren lassen. Die geprüften Chips werden bei uns in eine Liste eingepflegt, die wir online veröffentlichen. Dies ist ein Mechanismus, mit dem unter den Anwendern Sicherheit erzeugt werden kann" erklärt Kelter.

Sicherheit eine Momentaufnahme?
„Bezüglich des Themas Sicherheit muss der aktuelle Status betrachtet werden. Zutrittssysteme, die vor etwa 20 Jahren installiert wurden, waren damals durchaus noch sicher genug, da die Entwicklung der Kryptografie und Dekryptgrafie noch nicht so weit fortgeschritten war, wie es heute der Fall ist", so Peter Seeck, Prokurist der FIS Organisation. Man sei immer an die Physik gebunden, die der Markt aktuell zu bieten hat. Vermeiden ließen sich solche Angriffe, indem die Unternehmen periodisch IT-Spezialisten beauftragen, welche versuchen würden das System zu kompromittieren. Nur so sei laut Seeck eine permanente Sicherheit gegeben.

Weitere Kommentare zum Thema Sicherheit, Fakten über den neuen Personlausweis und die an Flughäfen geplanten Körperscanner lesen Sie in der Februarausgabe von „RFID im Blick".