Betreten Unbefugte das betriebliche Gelände oder sogar das Gebäude, ist die Sicherheit gefährdet. Ähnlich verhält es sich im privaten Bereich. Ängste um das Hab und Gut, einschließlich der Daten, machen sich breit, wenn sich Fremde auf dem Gelände oder im Haus aufhalten. Jedoch ist es gerade in Wohnanlagen schwer nachzuprüfen, wer das Recht hat, sich dort aufzuhalten, und wer nicht. Ist es ein neuer Bewohner, ein Gast oder eine dunkle Gestalt, die dort nichts zu suchen hat? Wer kein System für die Zutrittskontrolle hat, ist in Gefahr.
Früher übernahmen die Pförtner an Fabriktoren oder Regierungsgebäuden die Zutrittskontrolle. Zusätzliche Sicherheit schaffte ausgebildetes Sicherheitspersonal, das mit zig Schlüsseln versehen die Räume, Produktionshallen und Lager hauptsächlich in der Nacht überprüfte. Heute funktioniert die Kontrolle mit modernen Zutrittskontrollsystemen. Mit diesen regeln die Betriebe elektronisch, wer sich wann und wo aufhalten darf. Hört sich sicher an? Ist es auch, wenn keine Fehler gemacht werden? Lesen Sie, welche fünf typischen Fehler die Sicherheit gefährden.
Zutrittskontrolle – 5 typische Fehler
In Wohnbereichen sind es hauptsächlich die Türsprechanlagen und Videokameras, mit denen sich Besucher identifizieren. In Betrieben kommen moderne Zutrittskontrollsysteme zum Einsatz. Wer sich Zutritt zu sensiblen Bereichen verschaffen möchte, muss sich durch einen Ausweis und/oder durch ein biometrisches Merkmal identifizieren. Die Kontrolle geschieht nicht mehr manuell, sondern durch einen Kartenleser. Dieser erfasst die Daten und leitet sie an eine Zutrittskontrollzentrale (ZKZ) oder an einen Door-Controller weiter. Diese erlauben oder verweigern nach Kontrolle der Daten den Zutritt. Ist die Person befugt, den Raum oder das Areal zu betreten, gibt ein elektrischer Türöffner, ein elektrischer Türantrieb oder ein Motorschloss den Weg frei.
Zudem überwachen zusätzliche Tür- und Riegelkontakte an den Door-Controllern die Türen. Bei Manipulation oder bei Einbruchsversuchen werden automatisch Alarme ausgelöst.
Die Verwaltung der Zugriffskontrollsysteme geschieht online oder offline. Beides ist möglich, damit die Menschen auch bei einem Ausfall des WLAN-Netzes nicht vor verschlossenen Türen stehen. Werden bei der Vergabe von Zugriffsrechten Fehler gemacht, kann es trotz aller Sicherheitsvorkehrungen zu einem unberechtigten Zutritt kommen.
Fehler 1: Unklare Vergabe von Zugriffsrechten
Der häufigste Fehler bei der Vergabe von Zugriffsrechten ist, dass alle Mitarbeiter pauschal für alle Bereiche zutrittsberechtigt sind, obgleich dies nicht erforderlich ist. Diese unsichere Methode ist bekannt als Gießkannenprinzip. Deshalb sollten die Verantwortlichen den Bediensteten nur Zutritt zu den Bereichen erlauben, die für ihre Arbeit essenziell sind (Need-to-Know-Prinzip). Dies gilt auch für den Zugriff auf Daten. Wechselt ein Mitarbeiter in eine andere Abteilung oder scheidet er aus, müssen ihm teils oder ganz die Zugriffsrechte entzogen werden, um Sabotage und andere Sicherheitsverstöße von vornherein zu unterbinden.
Fehler 2: Fehlende regelmäßige Überprüfung der Zugänge
Werden physische und digitale Zugänge nicht regelmäßig überprüft, verstößt der Betrieb gegen die DSGVO (Datenschutzgrundverordnung). Diese besagt, dass Nutzer nur auf die personenbezogenen Daten zugreifen dürfen, die für ihre Tätigkeit erforderlich sind. Dazu überprüft der Betrieb zunächst, welche Rolle der Mitarbeiter im Betrieb einnimmt und welche Rechte er benötigt, um seine Arbeit zu erledigen. Ändern sich die Tätigkeitsbereiche, müssen Rechte entzogen und neu vergeben werden.
Die Kontrolle sollte in regelmäßigen Abständen erfolgen, um das Risiko minimal zu halten. Gefährliche Sicherheitslücken sind „digitale Leichen“ von ausgeschiedenen Mitarbeitern. Werden Ausweisdokumente, Schlüssel oder sonstige Dinge verloren, die einem Fremden oder einem nicht befugten Mitarbeiter Zutritt verschaffen können, bedeutet dies ein noch höheres Risiko für Sabotage, Spionage und Datenmanipulationen. Deshalb müssen alle als verloren gemeldeten Dinge sofort gesperrt werden.
Bei regelmäßigen Audits der Nutzerdatenbank kommen Schwachstellen in der Zugriffskontrolle zutage. Die zuständige Person kontrolliert dabei, wer wann und wo Zugriff auf die Datenbank hat oder hatte und ob Unbefugte darauf zugegriffen haben. Das Ergebnis hält der Mitarbeiter in einem Auditbericht fest.
Fehler 3: Unsichere Identifikationsmethoden
RFID ist das Standardmedium zur Zugriffskontrolle in Betrieben. Jedoch bietet die erste Generation selbst für den normalen Gebrauch keine ausreichende Sicherheit. Veraltete RFID-Zutrittskarten können schnell gehackt werden und sind damit nutzlos. Ausreichenden Schutz für Gebäude mit Publikumsverkehr bieten jedoch noch die moderneren RFID-Karten, bei denen Techniken wie Mifare Desfire EV1 oder Legic advant eingesetzt werden.
Für einen Hochsicherheitsbereich reicht der Schutz jedoch nicht aus und ist deshalb nicht zulässig. Laut den VdS-Sicherungsrichtlinien für Geschäfte und Betriebe sind dort weitere Identifikationsmedien vorgeschrieben. Rechenzentren und andere Unternehmen mit Hochsicherheitsbereichen greifen deshalb zusätzlich auf biometrische Lösungen zurück. Der Fingerprint eignet sich jedoch nicht, da er manipulierbar ist. Eine brauchbare Alternative ist die Handvenenerkennung. Diese identifiziert die Person eindeutig am Venenmuster der inneren Handfläche. Dieses kann nicht gefälscht werden.
Nicht tauglich sind PINs. Bei diesen besteht die Gefahr, dass sie mit anderen Personen innerhalb oder außerhalb des Betriebs geteilt werden (PIN-Sharing). Es empfiehlt sich, die Kombination von RFID-Karten der neuesten Generation und einer sicheren biometrischen Lösung durch hochauflösende, schwenkbare HDTV-Kameras mit optischem Zoom zu ergänzen. Die Kameras schrecken ab und vereinfachen es, randalierende Personen und solche, die versuchen, sich unbefugt Zutritt zu verbotenen Bereichen zu verschaffen, mithilfe gestochen scharfer Bilder zu identifizieren.
Gilt es, Betriebe mit hohem Risiko oder militärische Anlagen, Banken, Fußgängerzonen oder Regierungsgebäude zu schützen, kommen Anti-Terror- oder Hochsicherheitspoller zum Einsatz. Die Angreifer werden bereits vor dem Gelände gestoppt, obwohl sie einen Lkw nutzen, um die Barrieren zu durchbrechen.
Fehler 4: Mangelnde Protokollierung und Kontrolle
Die Zutrittskontrollen nützen jedoch nichts, wenn sie niemand protokolliert und auswertet. Diebe und Randalierer bleiben dann unerkannt. Oft fehlt es auch an einer Lösung, die in Echtzeit überwacht und Alarm schlägt, wenn jemand versucht, sich gewaltsam Zutritt zu verbotenen Bereichen zu verschaffen. Zudem dürfen Türen nicht zu lange offenstehen. Auch dann sollte ein Alarmsystem direkt darauf aufmerksam machen.
Unzureichende Schulung der Mitarbeiter
Die größte Schwachstelle bei der Zutrittskontrolle ist der Mensch, denn dieser kann durch unachtsames Verhalten die Zutrittskontrolle unwirksam machen. Ein Stichwort dafür ist das „Social Engineering“. Durch Unbedachtheit und pure Freundlichkeit halten Menschen beim Hineingehen in ein Gebäude nachfolgenden Personen die Tür auf. Dabei überprüfen sie nicht, ob diese überhaupt berechtigt sind, das Gebäude zu betreten. Gehen Transponderschlüssel verloren, ist vielen nicht klar, dass sie den Verlust sofort melden müssen. Jede Minute zählt, denn in der Zwischenzeit können sich Fremde Zutritt zu sensiblen Bereichen verschaffen. Diese und andere Schwachstellen lassen sich nur durch Schulung der Mitarbeiter minimieren. Dadurch erhalten sie ein Bewusstsein dafür, was durch unachtsames Verhalten geschehen kann. Ergänzt werden sollten die Schulungen durch klare Richtlinien.
Warum eine durchdachte Zutrittskontrolle entscheidend ist
Eine durchdachte Zutrittskontrolle schafft die Voraussetzung dafür, dass Werte, Daten und Personen sicher sind. In kritischen Infrastrukturen sind sie durch Gesetze vorgeschrieben und erfordern eine lückenlose Dokumentation. Mangelt es an der Planung und Umsetzung, führt dies zu erheblichen Sicherheitslücken und vielfach zu hohen Nachbesserungskosten und Strafen.
Maßnahmen zur Verbesserung der Zutrittskontrolle
Eine wichtige Maßnahme zur Verbesserung der Zutrittskontrolle ist, sicherzustellen, dass die Systeme stets den neuesten Sicherheitsstandards entsprechen. Starke Verschlüsselungsstandards wie ECC oder AES schützen bei der Transpondertechnologie die auf der Karte gespeicherten Daten sowie die Kommunikation zwischen dem Lesegerät und der Karte. Bei der physischen Zutrittskontrolle (PAC-Anwendungen) unterstützen Multifaktor-Authentifizierungen (MFA) die Sicherheit.
Lesegeräte sollten fest montiert werden und sich in einem manipulationssicheren Gehäuse befinden. Geräte im Außenbereich verlangen noch mehr. Sie müssen Regen, extremen Temperaturen, Schnee und Staub standhalten. Die Sicherheitssysteme erfüllen ihren Zweck nur, wenn sie untereinander kompatibel sind und stets aktualisiert werden. Hilfreich sind Remote-Updates, die diesen Prozess beschleunigen. Betriebe sollten zudem sicherstellen, dass Defekte in kurzer Zeit durch geschultes Fachpersonal behoben werden.
Foto: ©Jannat/ stock adobe