Zutrittskontrolle
Zutrittskontrolle steuert den Zutritt über ein vom Betreiber festgelegtes Regelwerk „Wer – wann – wohin“, damit nur berechtigte Personen Zugang zu den für sie freigegebenen Bereichen in Gebäuden oder geschützten Arealen auf einem Gelände erhalten. Die Zutrittsberechtigungen können zeitlich begrenzt werden (Ablauffrist, Uhrzeit). Die Zutrittsberechtigung kann von Menschen, z. B. Mitarbeitern eines Sicherheitsdienstes, oder auch von technischen Zutrittskontrollsystemen anhand von Identitätsnachweisen überprüft werden.
Identmittel
Als Identifikationsmerkmal für die Zutrittskontrolle können sowohl materielle, geistige als auch biometrische Identmittel dienen. Bei den materiellen (elektronischen) Identifikationsmerkmalen wird häufig eine Einteilung in aktive und passive Medien vorgenommen. Beide haben dabei unterschiedliche Stärken und Schwächen ggü. den jeweils anderen Varianten. Passive Medien gibt es dabei in standardisierten und genormten Ausführungen, während es sich bei aktiven Identmedien i. d. R. um proprietäre Produkte einzelner Hersteller handelt. Eine Sonderrolle nimmt hier das als Identmedium eingesetzte Smartphone ein, welches meist BLE, NFC oder beides kombiniert als Schnittstelle verwendet, wobei die NFC Schnittstelle in der Kommunikation kompatibel zu den standardisierten Passiv Identmedien auf Basis von 13,56 MHz RFID Transpondern ist (z. B. DESFire und Legic Advant).
Aktiv
Aktive Identmittel sind typischerweise batteriebetrieben. Entweder versorgt die Batterie im Identmittel kontaktbehaftet die Entscheidungselektronik des Verschlusssystems mit Energie, oder das Identmittel kommuniziert über eine bestenfalls verschlüsselte Funkkommunikation mit dem Verschlusssystem. Letzteres findet zum Beispiel in den meisten Automobilen Anwendung.
Aktive Identmedien bieten meist höhere Reichweiten als die klassischen passiven RFID Transponder, im Gegensatz dazu sind sie jedoch mechanisch empfindlicher, benötigen Batterien und sind häufig ca. um den Faktor 10 oder mehr teurer als beispielsweise ein passiver DESFire Transponder. Dadurch dass es sich i. d. R. um proprietäre Systeme handelt, lassen sich Aktivtransponder häufig nicht oder nur mit großem Aufwand in weitere Systeme Integrieren (z. B. Kopier/Drucksysteme, Kantinen- und Bezahlsysteme, Fuhrparkmanagement, Zeiterfassung etc.).
Es existieren auch Lösungen bei denen eine passive HF-Transponderkarte (z.B: DESFire) mittels eines aktiven Boosters als Weitbereichstransponder verwendet werden kann, dies ermöglicht eine Fahreridentifikation mittels der normalen Zutrittskarte auch an einem Weitbereichsleser.
Passiv
Auch bei passiven Identmitteln wird zwischen kontaktbehafteten und kontaktlosen Medien unterschieden. Hier ist die Bandbreite der verwendeten Technologien am größten.
Berührungslos
Berührungslose Proximity-Systeme benutzen verschiedene RFID-Techniken. Meist werden die unterschiedlichen RFID-Technologien anhand ihres Frequenzbereichs in drei Gruppen unterteilt, Low Frequency (LF), High Frequency (HF) und Ultra High Frequencey (UHF). Gebräuchlich sind Medien im ISO-Kartenformat (Plastikkarte), als Schlüsselanhänger (Key-Fob), als Armband oder Aufkleber. Berührungslose Systeme lassen sich zudem auch in Armbanduhren, Handys, mechanischen Schlüsseln und Kleidungsstücken oder modischen Accessoires integrieren. Transponder lassen sich in entsprechenden Ausführungen sogar chirurgisch unter die Haut implantieren. Das Verfahren findet vor allem bei der Kennzeichnung von Tieren größere Verbreitung, es existieren auch Implantate zur Verwendung am Menschen.
LF Transponder im Bereich um 120-125 kHz waren im Bereich der Zutrittskontrolle lange Zeit sehr verbreitet, gelten diese jedoch heute im Allgemeinen als unsicher, da diese aufgrund bestimmter physikalischer Grenzen keine dem anerkannten Stand der Technik entsprechende Verschlüsselung unterstützen.[1] Beispiele für LF-Transponder Technologien sind Hitag, Hitag-S, EM4200 und neXS.
HF-Transponder nutzen typischerweise den Frequenzbereich 13,56 MHz, auf dem deutschen Markt haben vor allem Transponder auf Basis der Produktfamilien Legic und Mifare große praktische Bedeutung erlangt. Die in der Zutrittskotrolle eingesetzten Transponder im LF- und HF-Bereich verfügen in Abhängigkeit der zugelassenen Sendeleistung und der eingesetzten Antenne typischerweise über Reichweiten von wenigen Zentimetern bis hin zu einem knappen Meter, wobei die neueren Systeme aufgrund von implementierten Sicherheitsmerkmalen meist nur noch ca. 3 - 12 cm unterstützen. Mifare Classic gilt als veraltet, da sie mit trivialen Mitteln „gebrochen“ werden können und sollten (jenseits der rein organisatorischen Zutrittskontrolle) keine Anwendung mehr finden. Die Verfahren (Mifare) DESFire EV1 und neuer, sowie das auf vergleichbarer Technik aufbauende Legic Advant gelten nach derzeitigem Stand bei korrekter und vollständiger implementierung als sicher, d. h. es existieren keine öffentlich bekannten Schwachstellen. Beim Einsatz von speziellen Antennen wie sie für gezielte Relay-Angriffe auf berührungslose Systeme eingesetzt werden, sind mitunter auch höhere Reichweiten möglich. Chips der (Mifare) DESFire-Familie verfügen neben einigen weiteren Sicherheitsfunktionen unter anderem über Mechanismen zur Kontrolle der Signallaufzeit im ms-Bereich und können dadurch bei Einsatz entsprechender Leser, sog. Relay-Angriffe wie sie vor allem durch den Diebstahl von Kfz mit sog. Keyless Systemen größere Bekanntheit erlangten, nahezu unmöglich machen. DESFire EV1 und neuer über eine Zertifizierung gem. Common Criteria EAL4+ und werden beispielsweise auch im elektronischen Dienstausweis des Bundes für die Zutrittskontrolle verwendet.
Außerhalb Europas haben darüber hinaus beispielsweise auch HID iClass (US) und Sony Felica (Pacific) Transponder relevante Marktanteile, diese haben in Europa und insbesondere der EU jedoch kaum praktische Relevanz.
Transponder im UHF-Bereich werden in der Zutrittskontrolle vor allem für spezielle Weitbereichsleser zur Zufahrtskontrolle verwendet, wenn es auf eine möglichst zügige Erkennung und Durchfahrt ankommt oder wenn ein anhalten an einem gewöhnlichen (HF-)Kartenleser mit vergleichsweise geringer Reichweite aus anderen gründen nicht gewünscht oder praktikabel ist, (z. B. an Gabelstaplern in Warenlagern, Einsatzfahrzeugen etc.). Da die gängigen UHF-Systeme ebenfalls als nicht besonders sicher gelten, kommen in entsprechenden Fällen häufig Systeme mit aktiven Identmedien zum Einsatz.
Kontaktbehaftet
Kontaktbehaftete Karten ähneln im Aufbau der deutschen Versichertenkarte der gesetzlichen Krankenkassen und verfügen wie diese über eine von außen sichtbare Kontaktfläche. Bei den zum heutigen Zeitpunkt noch als sicher anzusehenden kontaktbehafteten Karten, handelt es sich in der Regel um Prozessor Chipkarten auf welchen kryptografisch gesicherte PKI Zertifikate aufgebracht werden. Häufig verfügen diese Karten zudem auch über sog. dual Interface Chips, welche sich sowohl kontaktbehaftet als auch kontaktlos ansprechen lassen. Der Einsatz von PKI basierten Identmedien zur Zutrittskontrolle ist in der Praxis mit vergleichsweise hohem Aufwand und damit meist auch hohen Kosten verbunden und wird daher i. d. R. nur in Hochsicherheitsbereichen z. B. im militärischen Bereich eingesetzt (z. B. US DoD CAC). Im Bereich der Zugangskontrolle in IT-Systemen von Behörden und größeren Firmen haben PKI-Smartcards seit Windows 7 eine hohe Verbreitung zur Multifaktorauthentifizierung und können daneben beispielsweise auch zur Signatur und Verschlüsselung von E-Mails genutzt werden, theoretisch ließen sich solche Karten auch zur physische Zutrittskontrolle nutzen, was jedoch nur sehr selten umgesetzt wird.
Der sogenannte iButton, ein Markenname von Dallas Semiconductor, hat sich im Bereich der Zutrittskontrolle ebenfalls bereits etabliert. Der iButton beruht auf der Eindraht-Technik, bei welcher gerade mal zwei Kontakte ausreichen, um Daten zwischen dem Identmittel und Entscheidungselektronik auszutauschen. Dies ermöglicht eine äußerst kompakte wie robuste Bauform.
Magnetkarten
Magnetstreifenkarten gelten heute allgemein als nicht mehr sicher genug, da sie ohne großen technischen Aufwand kopierbar sind. Zudem unterliegen die Karten einem hohen Verschleiß. Dennoch wird dieses System zum Beispiel noch immer gerne in Hotels verwendet, da es sehr preiswert herzustellen ist.
Die Magnetkarte wird jedoch seit mitter der 2000er immer stärker von kontaktlosen Identmedien verdrängt, da diese einen vielfach höheren Speicherplatz bei gleichzeitiger Verschlüsselung bieten. Zudem sind diese deutlich widerstandsfähiger und quasi verschleißfrei.
Geistiges Identifikationsmerkmal
Als geistiges Identmittel können z. B. Kennwörter oder PINs dienen, zum Beispiel als Türöffnungscode, der über ein Nummerntastenfeld einzugeben ist. Geistige Identifikationsmerkmale werden häufig als weiterer Faktor beim Einsatz eines materiellen Identifikationsmerkmals eingesetzt. Hierdurch soll ähnlich der PIN einer Bankkarte, eine unberechtigte Nutzung erschwert werden. Zudem bietet sich die Möglichkeit, durch unterschiedliche PINs weitere Funktionen im Hintergrund auszulösen.
Mobiltelefon als Identmittel
Seit 2006 gibt es die Möglichkeit über Bluetooth das Mobiltelefon als Identmittel, also als Schlüssel, zu nutzen.
Es wird zwischen zwei Systemen unterschieden:
- Solche, die ohne spezielle Software auf dem Mobiltelefon auskommen. Hierbei wird nur die MAC-Adresse des Bluetooth-Interface ausgelesen, also geprüft, als welche Mobiltelefone sich die nahen Geräte ausgeben. Manche Systeme, etwa die von SOREX, unterstützen ohne Software auf dem Mobiltelefon zusätzlich ein Passwort.
- Solche Systeme, die mit spezieller Software auf dem Mobiltelefon ein Passwort abfragen.
Moderne Zutrittskontrollsysteme erlauben die Verwendung von Mobiltelefonen als Identmittel unter Verwendung der Near Field Communication und können damit die Funktionalität von Chipkarten nachbilden (sog. Host Card Emulation bzw. HCE).
Es sind Anbieter verschiedener Systeme auf dem Markt.
Biometrie
Des Weiteren können auch biometrische Merkmale wie beispielsweise
- Fingerabdruck
- Iris- oder Netzhautscan
- Handflächenabdruck
- Hand- oder Fingervenenerkennung
- Gesichtsmerkmale
zur Identifikation oder Verifikation herangezogen werden.
Beim Einsatz von biometrischen Merkmalen als zusätzlichen Faktor zu einem materiellen elektronischen Identmittel, ist es möglich die aus der biometrie abgeleiteten Daten, meist in Form eines Hashwertes auf verschlüsselt dem Identmedium zu speichern. Dies soll den Datenschutz verbessern, indem die massenweise Speicherung von biometrischen Daten auf einem einzelnen zentralen (Server-)System vermieden wird. In der Praxis wird dies vor allem in Verbindung mit Transpondern auf Basis DESFire EV1 oder höher umgesetzt.
Fälschungssicherheit
Um das Duplizieren von Ausweisen zuverlässig zu verhindern, werden zunehmend Crypto-Chipkarten eingesetzt, bei denen eine Authentifizierung nach dem Challenge-Response-Verfahren genutzt wird. Das dabei verwendete Verschlüsselungsverfahren ist in der Regel AES. Zu diesen Karten zählen z. B. die TCOS-Chipkarte oder die DESFire. Zusätzlich kann bei diesen Karten auch eine PIN eingesetzt werden, mit der sich der Besitzer gegenüber der Karte als rechtmäßiger Nutzer ausweisen muss. Diese beiden Funktionen sind eine der Grundvoraussetzungen um die BSI-Leitlinie BSI - TL 03403 (vormals BSI 7551) Klasse 3 zu erfüllen. Vorgaben zum sicheren Einsatz von Chipkarten in Zutrittskontrollsystemen und anderen Anwendungen sind in der Technischen Richtlinie BSI - TR 03126-5 des BSI enthalten.
Aufbau eines elektronischen Zutrittskontrollsystems
Ein System besteht aus mindestens drei Komponenten, die in einem oder mehreren physischen Geräten untergebracht sein können. Der Sensor nimmt die Identifizierung oder Verifizierung des Benutzers auf und übermittelt diese der Zutrittskontrollzentrale, in der das Regelwerk WER-WANN-WO angewendet wird. Bei Berechtigung wird ein Aktor angesteuert und der Zutritt gewährt. Die Zentrale trifft diese Entscheidung entweder selbst (Offline-System) oder lässt sich diese von einer zentralen Kontrollinstanz erst bestätigen (Online-System). Zutrittskontrollsysteme treten meist in zentraler oder dezentraler Topologie oder einer Mischform auf. Bei einer zentralen Anordnung sind alle Sensoren (Leser) und Aktoren (Türöffner, Schleusen, o. ä.) mit der zentral installierten Zutrittskontrollzentrale verbunden, die meist in einem gesicherten Bereich wie z. B. Technikraum untergebracht ist. Bei einer dezentralen Anordnung liegen viele kleinere, häufig miteinander vernetzte, Zutrittskontrollzentralen in unmittelbarer Nähe zu Sensor und Aktor. Diese arbeiten entweder eigenständig und sind über Ethernet, EIB oder seriell per RS485 vernetzt, oder mit einer zentralen Hauptsteuerung verbunden. Die Steuerungen speichern bis zu tausende Zutrittsberechtigungen und Protokolle intern auch bei Ausfall der Vernetzung ab. An die Steuerungen können auch mehrere Sensoren wie Tür- und Riegelkontake angeschlossen werden. Dadurch können Kompromittierungs- und Einbruchsversuche erkannt und einer Einbruchmeldeanlage übergeben werden.
Immer mehr setzen sich für kleinere oder mittlere Anforderungen anstelle solcher aufwändig zu verkabelnden Zutrittskontrollen auch autark arbeitende Beschlagssysteme durch. Hierbei sind Lesekopf, Verriegelungstechnik und Entscheidungselektronik im Beschlag integriert, sind oft batteriebetrieben und funktionieren ohne weiteren größeren Umbau der Türe mit den meisten handelsüblichen DIN-Einsteckschlössern. Der Verschluss wird entweder über eine Blockade oder einen Leerlauf des Drückers (Fallensicherheit) oder über einen fest am Beschlag montierten Drehknauf gewährleistet (Riegelsicherheit), welche erst bei berechtigtem Zutritt einkuppeln und manuell bedient werden können.
Der Fortschritt der technischen Entwicklung hat auch bereits eine Vielzahl von elektronischen Knaufzylindern hervorgebracht, welche ganz einfach an Stelle eines mechanischen Zylinders in beinahe jedem beliebigen Türschloss eingebaut und nachgerüstet werden können. Diese verfügen in der Regel über zwei Drehknäufe, von welchen der auf der Außenseite leer durchdreht und erst bei berechtigtem Zutritt bedienbar wird. Bei elektronischen Knaufzylindern mit einer beidseitigen Zutrittskontrolle ist dies sogar auf beiden Seiten der Fall.
Mit steigender Anzahl dieser Beschlags- und Zylinderlösungen bei einem Betreiber steigt der Verwaltungsaufwand, die Schließpläne zu aktualisieren oder Meldungen an einer zentralen Stelle wie Pförtner oder Sicherheitszentrale zur Verfügung zu stellen. Die Anbindung in Echtzeit von Türbeschlägen und Terminals erfordert eine aktive Verbindung, die nicht per Handheld oder zu Fuß ermöglicht werden kann. Die nachträgliche Vernetzung erfordert dann meist einen ähnlichen Aufwand wie die Installation eines herkömmlichen Zutrittskontrollsystems, wobei auch Systeme mit Funk, Handy oder anderen alternativen Anbindungen auf dem Markt existieren. Einige Lösungen gehen hierbei den alternativen Weg, nicht das Gerät zu verkabeln, sondern das Ausweismedium als Mittler sowohl für die Berechtigung als auch andere Daten zu benutzen.
Die Interaktion zwischen Sicherheitsanlagen nimmt für die Betreiber solcher Systeme einen immer höheren Stellenwert ein. Daher bieten mehrere Hersteller Lösungen an, um Sicherheitssysteme aus unterschiedlichen Disziplinen (Brandmeldetechnik, Einbruchmeldetechnik, Videoüberwachung etc.) und häufig auch von unterschiedlichen Herstellern miteinander zu vernetzen. Ziel dieser Bemühungen ist es, den Betreuungsaufwand zu minimieren oder gesamtheitliche Sicherheitskonzepte umzusetzen.
Standardisierung
Lange Zeit war es üblich und teilweise ist es dies heute noch, dass Zutrittskontrollsysteme nur als ganzes von einem Lieferanten bezogen werden konnten, der Austausch von Komponenten mit solchen anderer Hersteller galt lange als unmöglich, da diese nicht zueinander kompatibel waren. Dies kann insbesondere bei nachträglichen Erweiterungen, bei der Abkündigung von einzelnen Produktlinien oder Produkten eines Herstellers und beim Austausch von defekten Komponenten zu einem großen Problem werden. Oftmals waren Betreiber bzw. Anwender gezwungen ganze Systeme auszutauschen da es bestimmte Komponenten nicht mehr gab oder man war gezwungen diese zu überhöhten Preisen nachzubestellen. Aus dieser Problemstellung heraus wurden nach und nach verschiedene Schnittstellen im Bereich der Zutrittskontrolle standardisiert, sodass es möglich wurde bestimmte Komponenten mit solchen auch anderer Hersteller in einem gemeinsamen System zu betreiben.
In der Praxis sind vor allem der ursprünglich in den USA durch die SIA entwickelte OSDP-Standard, sowie in Europa der Standard Offline der Open Security Standards Association e.V. (OSS-SO) relevant. OSDP ist eine Spezifikation für die sichere Kommunikation über einen RS485 Bus welche vorwiegend zwischen Kartenlesern und Zutrittskontrollzentralen zum Einsatz kommt. OSS-SO ist ein Standard der das Speicherformat von Offline Zutrittsrechten wie sie vorwiegend für mechatronische Offline Zutrittskontrollkomponenten eingesetzt werden, auf einem kontaktlosen Transpondermedium definiert. Derzeit existieren OSS-SO Definitionen für die Transpondertechnologien Mifare Classic, (Mifare) DESFire EV1(+) und Legic Advant. Durch das standardisierte Speicherformat lassen sich Komponenten unterschiedlicher Hersteller welche OSS-SO unterstützen, mit demselben Ausweis und demselben Verwaltungssystem verwenden. Hierdurch ist es auch möglich gemischte Systeme zu betreiben.
Normen und Richtlinien zur Zutrittskontrolle
1. Normen auf deutscher und europäischer Ebene
- DIN EN 60839-11-1 VDE 0830-8-11-1:2013-12 Alarmanlagen Teil 11-1: Elektronische Zutrittskontrollanlagen – Anforderungen an Anlagen und Geräte
- DIN EN 60839-11-2 VDE 0830-8-11-2:2016-02 Alarmanlagen Teil 11-2: Elektronische Zutrittskontrollanlagen – Anwendungsregeln
ehemalige Normen:
- EN 50133-1 / DIN VDE 0830 Teil 8-1:2003-09 „Zutrittskontrollanlagen für Sicherungsanwendungen, Teil 1 Systemanforderungen“ (Dokument zurückgezogen)
- EN 50133-2-1 / DIN VDE 0830 Teil 8-2-1:2001-08 „Zutrittskontrollanlagen für Sicherungsanwendungen, Teil 2 - 1: Allgemeine Anforderungen an Anlagenteile“ (Dokument zurückgezogen)
- EN 50133-7 / DIN VDE 0830 Teil 8-7:2000-04 „Zutrittskontrollanlagen für Sicherungsanwendungen, Teil 7: Anwendungsregeln“ (Dokument zurückgezogen)
2. Richtlinien
2.1 VdS-Richtlinien
- VdS 2353:2004-06 „Richtlinien für die Anerkennung von Errichterfirmen für Zutrittskontrollanlagen“ (zurückgezogen)
- VdS 2358:2009-10(02) „Richtlinien für Zutrittskontrollanlagen, Teil 1: Anforderungen“
- VdS 2359:2009-10 „Prüfmethoden für Anlageteile von Zutrittskontrollanlagen“
- VdS 2367:2004-06 „Richtlinien für Zutrittskontrollanlagen, Teil 3: Planung und Einbau“
- VdS 3436:2005-08 „Betriebsbuch für Zutrittskontrollanlagen“
2.2 BSI- Richt- und Leitlinien (Bundesamt für Sicherheit in der Informationstechnik)
- BSI - TR 03126-5 „Elektronischer Mitarbeiterausweis“
- BSI - TL 03402 „Anforderungen an Zutrittskontrollanlagen“
- BSI - TL 03403 „Zutrittskontrollanlagen – Richtlinien für die Projektierung und Ausführung“
Siehe auch
Weblinks
- Datenschutz: Anforderungen an die Zutrittskontrolle (Nr. 1 der Anlage zu § 9 Satz 1 BDSG)
- BSI TR-03126 sicherer RFID-Einsatz (TR RFID)
Einzelnachweise
- ↑ Ralf Spenneberg, Hendrik Schwartke, Oguzhan Cicek: Sicherheit von 125kHz Transpondern am Beispiel Hitag S. 28. Dezember 2015, abgerufen am 21. September 2022 (englisch).