Alte RFID-Systeme: Wenn RFID-Systeme zur Schwachstelle werden

über das Internet kommunizieren,

personenbezogene, Verkehrs- oder Standortdaten verarbeiten,

oder Zahlungsfunktionen unterstützen.

Inkrafttreten: 10. Dezember 2024

Hauptpflichten: ab 11. Dezember 2027 nach Übergangsfrist; Meldepflichten für Schwachstellen bereits ab 11. September 2026.

Pflichten für Hersteller: Security by Design und Default, Risikoanalysen, SBOMs (Software Bill of Materials), systematisches Vulnerability-Management, definierte Update-Strategien und koordinierte Vulnerability‑Disclosure‑Prozesse über den gesamten Produktlebenszyklus.

125‑kHz‑LF‑Transponder (Hitag, EM4200, neXS, …)

Solche Low‑Frequency‑Karten waren lange Standard. Aufgrund physikalischer Grenzen unterstützen sie jedoch keine Verschlüsselung nach aktuellem Stand der Technik und gelten heute als unsicher.

MIFARE Classic & LEGIC prime

Beide wurden ab Ende der 2000er‑Jahre öffentlich gebrochen. Universitäten und der Chaos Computer Club demonstrierten, wie sich MIFARE‑Classic‑Karten klonen lassen; später folgte Legic prime. PCS fasst dies treffend zusammen: „Man kann davon ausgehen, dass alle Karten mit der Technologie aus den 90er Jahren ähnlich ‚unsicher‘ sind.“

Read‑Only‑Karten mit bloßer Seriennummer

In vielen Systemen genügt eine einfache ID (Seriennummer) ohne Kryptografie – oft implementiert mit sehr günstigen 125‑kHz‑Medien. Das Auslesen der Seriennummer ist mit frei erhältlichen Mitteln möglich, Klone lassen sich mit Komponenten aus dem Elektronik‑Versandhandel bauen.

Wiegand-Schnittstelle: Die seit den 1980ern verbreitete Wiegand Verkabelung überträgt Kartendaten unverschlüsselt und unidirektional. Moderne Analysen weisen darauf hin, dass Angreifer die Signale einfach mitschneiden und replizieren können; ein Wiegand System ist damit anfällig für Abhören und Manipulation.

Veraltete Controller ohne Hardening: Alte Zutrittskontrollzentralen nutzen häufig unverschlüsselte TCP/Seriell Verbindungen, Standardpasswörter und proprietäre Update Mechanismen – wenn überhaupt Updates vorgesehen sind. Unter CRA Gesichtspunkten sind Systeme ohne Patch Pfad und ohne dokumentiertes Vulnerability Management kaum haltbar.)

UHF Weitbereichsleser: Für Zufahrten werden oft UHF Transponder eingesetzt. Wikipedia weist darauf hin, dass gängige UHF Systeme nicht als besonders sicher gelten und deshalb oft nur in Kombination mit aktiven Medien oder weiteren Faktoren für sicherheitskritische Szenarien verwendet werden sollten.

Karten werden verliehen oder achtlos getragen.

Mitarbeiterinnen und Mitarbeiter lassen Fremde „eben schnell“ mit ins Gebäude.

Zutrittsrechte werden nicht regelmäßig überprüft; Ex‑Mitarbeiter bleiben im System aktiv.

Es existiert kein zweites Merkmal (PIN, Biometrie) für sensible Bereiche.

Standalone‑Zutrittssysteme mit lokalem Speicher und proprietärem Exportformat,

keine Integration in SIEM / SOC,

keine Möglichkeit, 12 Monate an Zutrittsprotokollen auditfest vorzulegen,

keine Alarmierung bei auffälligen Mustern (z.B. viele Fehlversuche, Zutritt außerhalb definierter Zeitfenster).

Welche Identmedien sind im Einsatz? (Karten, Tags, Uhren, Smartphones, UHF‑Transponder etc.)

Welche RFID‑Technologien/Frequenzen werden genutzt? (LF 125 kHz, HF 13,56 MHz MIFARE/LEGIC, UHF etc.)

Welche Leser und Controller sind verbaut, in welchen Bereichen?

Wo existieren autarke Beschläge/Knaufzylinder ohne Online‑Anbindung?

Welche Systeme sind KRITIS‑relevant (Kernanlagen, Leitstellen, Serverräume, OT‑Netze)?

125‑kHz‑Karten (Hitag, EM, Unique etc.)

MIFARE Classic

LEGIC prime

„Nur Seriennummer“-Karten

UHF‑Transponder an Toren / Schranken (abhängig von Design und zusätzlicher Sicherung)

MIFARE DESFire EV1/EV2/EV3

LEGIC advant

Crypto‑Smartcards mit AES‑Challenge‑Response und ggf. Common‑Criteria‑Zertifizierung

Läuft hier noch Wiegand (26/34 Bit)? → hohe Priorität für Ablösung.

Existiert bereits OSDP (Open Supervised Device Protocol) mit Verschlüsselung und bidirektionaler Kommunikation? OSDP wurde von der Security Industry Association explizit entwickelt, um Wiegand‑Schwachstellen zu beheben: Verschlüsselung, Authentifizierung, Statusmonitoring, Remote‑Konfiguration und Interoperabilität.

Sind Verbindungen TLS‑gesichert?

Gibt es Trennung von Office‑IT und Zutrittsnetz (VLAN/Segmentierung)?

Wie werden Updates und Konfigurationen aufgespielt (signierte Firmware, Rollen/Rechte)?

Existieren Fernwartungszugänge ohne starke Authentifizierung?

Sind externe Zugriffspfade dokumentiert und technisch beschränkt?

Perimeter: Sind Sicherheitsbereiche definiert und dokumentiert (z.B. Außenhaut, Verwaltungsbereiche, kritische Technik)?

Zutrittsregeln: Gibt es ein Rollen- und Berechtigungskonzept („Wer darf wann wohin?“)?

Multi-Faktor: Werden in Hochrisikobereichen zusätzliche Faktoren (PIN, Biometrie) eingesetzt?

Werden alle Zutrittsereignisse (erfolgreich, fehlgeschlagen, außerhalb der Zeiten) protokolliert?

Sind die Logs zentral auswertbar (SIEM / CEM‑Integration)?

RFID‑Penetrationstests (Kartentechnik, Schlüsselmanagement, Clone‑Angriffe),

Analyse der Leser- und Controller‑Firmware,

Prüfung der Netzarchitektur und Schnittstellen,

Review der Prozesse und Dokumentation im Lichte von KRITIS‑Dachgesetz / NIS‑2 / CRA / RED.

Fälschungssicherheit durch Challenge‑Response und AES,

speicherresidente Rollenmodelle (mehrere Applikationen auf einer Karte),

die Nutzung von PIN und biometrischen Templates direkt auf der Karte, ohne zentrale biometrische Datenbanken.

Verschlüsselung und Authentifizierung der Kommunikation zwischen Leser und Controller,

bidirektionaler Datenaustausch für Statusmeldungen, Sabotage‑Erkennung, Remote‑Konfiguration,

Herstellerunabhängigkeit durch offenen Standard und Interoperabilität.

Karte + PIN (klassischer 2‑Faktor),

RFID + Biometrie (z.B. Finger-/Handvenenerkennung für Hochsicherheitszonen),

Smartphone‑Ausweis + Online‑Verifizierung („Zero Trust“ für physische Zugänge, wie von NIS‑2‑Kommentierungen empfohlen).

zentrale Rechteverwaltung und Rollenmodelle,

lückenlose Protokollierung sämtlicher Zutrittsereignisse,

Echtzeit‑Monitoring und Anbindung an SIEM / SOC,

unterstützte Dokumentation für Audits und Zertifizierungen,

Update‑Mechanismen, die sich mit CRA‑Anforderungen an Lifecycle‑Security decken.

Klären, ob das Unternehmen KRITIS‑Dachgesetz und/oder NIS‑2 unterliegt (direkt oder als Zulieferer).

Zutrittskontrolle im Sicherheitskonzept verankern – nicht als Insellösung, sondern integriert mit IT‑Security, Videoüberwachung und Notfallmanagement.

Zielbild definieren: Welche Sicherheitszonen, welche Schutzziele, welche Nachweispflichten?

Hybrid‑Leser einsetzen, die alte und neue Kartentechnologien parallel unterstützen, um stufenweise von z.B. MIFARE Classic/LEGIC prime zu DESFire/LEGIC advant zu wechseln.

Alte LF‑Karten und reine Seriennummer‑Karten konsequent ablösen; die Systeme dazu so konfigurieren, dass sie Kryptofunktionen wirklich nutzen – ein Punkt, den PCS in seinem Artikel ausdrücklich hervorhebt.

Wiegand‑Verkabelungen schrittweise durch OSDP oder andere verschlüsselte Protokolle ersetzen; bei Neuprojekten Wiegand nicht mehr vorsehen.

Karte + PIN,

RFID + Biometrie (z.B. Handvenenerkennung),

ggf. ergänzend mit Drehsperren und anderen Vereinzelungsanlagen, um Tailgating zu verhindern.

Regelmäßige Schulungen für Mitarbeitende (Erkennen von Social‑Engineering, Umgang mit Ausweisen, Verhalten bei Sicherheitsvorfällen).

Wiederkehrende Risikoanalysen und Tests der physischen Zutrittskontrollen, wie es NIS‑2 vorsieht.

Kontinuierliche Modernisierung der Zutrittsinfrastruktur, um Stand der Technik und CRA‑Konformität zu sichern – inkl. dokumentierter Firmware‑ und Softwareupdates.

verwendete Kartentechnologie,

Protokolle und Architekturen,

Protokollierung und Nachweisbarkeit,

Prozesse, Verantwortlichkeiten und Schulungen.