SECURITY insight 1/12

Schwerpunkt: ZutrittskontrolleSchwerpunktDas Handy als virtuelle RFID-KarteDie zunehmend eingesetzte Technologie „Near Field Communication“kann die Zutrittskontrolle kostengünstiger und flexibler machenVon Dr. Andreas RohrSchon seit einiger Zeit arbeiten Netz-Provider und Hersteller von Mobilfunktelefonenan Geschäftsmodellen mit Anwendungen unter Einsatz der sogenannten NFC-Technologie (Near Field Communication). Ihre Verwendung fürdie Zutrittskontrolle birgt Chancen, aber auch ein paar Risiken, die im Anwendungsdesignberücksichtigt werden müssen.FlächendeckendeVerbreitungNFC basiert auf der Kombination vonSmartcard-Technologie und standardisierten,kontaktlosen Verbindungstechnikenim Frequenzbereich von 13,56 MHz.Diese in immer mehr Mobiltelefonen vonNokia, Blackberry, Samsung und HTCohnehin verbauten Chips dürften in dennächsten Jahren zu einer flächendeckendenVerbreitung bei Anwendernführen. Pilotversuche der DeutschenBahn („Touch&Travel“) oder des Rhein-Main-Verkehrsverbunds („NFC HandyTicketing“) zeigen Ansätze zur möglichenErleichterung beim Bezahlen, etwa imZonen-Dschungel verschiedener Nahverkehrsverbünde:Ortsfremde Kundenkönnen sicher sein, nicht zu viel odernicht zu teure Tickets gekauft zu haben.Auch in der Hotelbranche oder bei Herstellernvon Oberklassewagen gibt esbereits Entwicklungen zur Integrationvon Autoschlüsseln ins Handy oder viaMobilfunk übertragene virtuelle Schlüsselfür die Hoteltür.Die damit einhergehende Frage ist nun,welche Anwendungen ein Unternehmenfür sich nutzen kann, um eigene Prozessekostengünstiger und/oder flexiblerzu machen. Die am nächsten liegendeAnwendung ist die Verwendung solcherGeräte in der RFID-basierten Zugangskontrolle.Das NFC-fähige Mobiltelefonverhält sich dabei wie eine klassische,passive Zugangskarte. Ein zusätzlicherVorteil ergibt sich dadurch, dass diesevirtuelle „RFID-Karte“ über die ohnehinvorhandene Datenverbindung des Mobilfunkbetreiberserreichbar ist und beispielweiseferngewartet werden kann.Optimale Vergabeminimaler RechteMan stelle sich folgendes Szenario vor:Ein Unternehmen hat sehr großflächigdislozierte, vergleichsweise kleine Lokationen(zum Beispiel Netz-Verteilhäuschenvon Strom- oder Telekomanbietern), diemit Offline-RFID-Schließung geschütztsind. Außendienst-Mitarbeiter oder externeDienstleister müssen von Zeit zu ZeitPrüfungen und Wartungen durchführenkönnen. Es wäre nun praktisch, wenn mandiesen Personen via Anruf/Legitimierungin einer Zentrale über das Mobilfunknetzjust in time und zeitlich befristet die notwendigenRechte zuweisen könnte.Bei einer solchermaßen zeitlich optimalenVergabe minimaler Rechte ist dieSicherheit der zu Grunde liegenden Infrastrukturentscheidend, um die gewonneneFlexibilität gegenüber klassischen,unkontrollierbaren Generalschlüsseln aufGrund eines unsicheren Verfahrens nichtzu verlieren. Da die Sicherheit des GSM-Standards nachgewiesenermaßen brüchigist, muss man für die Übertragungauf der „letzten Meile“ applikationsseitigVertraulichkeit und Integrität gewährleisten.Die Sicherheitsanforderungen andas Krypto-Schlüsselmanagement RFIDbasierenderZugangskontrolle¹ muss nunerweitert werden, um das geschilderteSzenario unterstützen zu können.Bei der Verwendung von sicherenZugangskontrollsystemen nach demStand der Technik basiert die Sicherheitzum Großteil auf den kartenspezifischenKryptoschlüsseln zur Authentisierung ander Tür. Daher muss man grundsätzlichvon einer Vorinitialisierung der virtuellenRFID-Karten ausgehen beziehungsweisediese einmalig je Teilnehmer organisieren.Übertragung im DatenblockDie Übertragung der eigentlichenZutrittsrechte muss dann abhängig vomZutrittssystem in einem entsprechendenDatenblock (Token) erfolgen. Auf demTransportweg sind diese Daten gegen1 Andreas Rohr: „Alles auf eine Karte – Vorausschauendes Schlüsselmanagementfür eine sichere RFID-basierte Zutrittskontrolle“, in: 6/2010, Seiten 64-70Abhören (und damit gegebenenfallseigener Verwendung) sowie Veränderungzu schützen. Diese Anforderungenhat der Anbieter HID in einem Konzeptnamens „Secure Identification Object“(SIO) umgesetzt und an eine zugehörige,vertrauenswürdige Infrastruktur (TIP)adressiert. Dabei wird der Nutzinhalteines Tokens (zum Beispiel ein Zutrittsrecht)symmetrisch verschlüsselt undder verschlüsselte Token kryptografischsigniert, was die Authentizität des Rechtsnachweist (also keine Veränderung seitErstellung).Beide von HID adressierten Problememüssen von für nicht SIO-tauglicheZutrittssysteme mit einer entsprechendenApplikation auf dem NFC-Phone oderder zugehörigen Smartcard angegangenwerden. Die sichere Speicherungder Kryptoschlüssel für Transport undZugang zur virtuellen RFID-Karte (zumAufbringen der Rechte) ist dabei essenziell.Eine wichtige Voraussetzung bei der Verwendungvon NFC-Phones ist der Einsatzeiner sicherer RFID-Zugangskontrolle imAllgemeinen. Selten leisten sich Unternehmenden Luxus, sämtliche Zutrittstechnologienkomplett auszutauschen,um diese Anwendung zu ermöglichen.Die damit einhergehende Migrationskomplexitäterfordert in der Regel einschrittweises Vorgehen. Ein praxisbewährterSchritt ist die Verwendungvon Hybridkarten, die sowohl die ältereTechnologie (zum Beispiel Mifare Classic,LEGIC Prime oder HID Prox) als auchdie künftige, sichere Technologie parallelbeherbergen. Hybridkarten sind auchdann sinnvoll, wenn man in Gebäudennur einige Etagen gemietet hat. Dort wirdhäufig ein anderes Zugangskontrollsystemam Empfang oder in den Fahrstühleneinsetzt.HybridkartenDer Einsatz einer Hybridkarte erspartdie Verwendung mehrerer Karten, birgtjedoch auch ein paar Schwierigkeiten.Die Reichweite nimmt naturgemäß ab,was den Nutzern unbedingt vorher mitgeteiltwerden sollte. Ausgiebiges Testenvon Hybridkarten zusammen mit demKartenhersteller ist zwingend anzuraten.Insbesondere in Fällen, in denen Datenauf die Karte geschrieben werden (zumBeispiel Geldbeträge in der Gastronomie),ist die Störanfälligkeit zu testen. DieLabors von HID seien hier exemplarischerwähnt, da sie erfolgreich Triple-Hybridkartenspezifisch auf verschiedeneKundenleser optimiert haben. Zuvorderstsei in der Betriebspraxis vor Automatengewarnt, da sich die Metallgehäuse eherschädlich auf das RFID-Feld und somitauf die Funktionsfähigkeit auswirken.Wenn eine Integration von moderner,sicherer Zutrittskontrolle in bestehendeLandschaften gelingt, sind viele Anwendungsfälle– wie die NFC-Phone basierteZugangskontrolle – denkbar. Der Einsatzsolch flexibler Szenarien kann sowohlsicherheits- also auch kostentechnischsinnvoll sein.www.rwe.dewww.hidglobal.comDr. Andreas Rohr, heute Leiter der Abteilung„Strategic IT Security“ bei RWE Supply &Trading, beschäftigt sich seit einiger Zeitmit der herstellerunabhängigen Sicherheitvon RFID-basierter Zugangskontrolle undzugehörigen Prozessen und hat bei RWE diekonzernweite Verwendung einer Zugangskartefür alle Standorte und verschiedene(historisch vorhandene) Systeme eingeführt.28Security insight 1/2012 29