j
Heute noch ein kleiner, zweiteiliger Sammelbeitrag, in dem ich auf die Risiken eingehe, welche Schließsysteme bzw. Systeme zur Zugangskontrolle sowie zur Zeiterfassung unter Umständen bieten. Denn viele dieser Systeme hängen am Internet und die Dienstleister, die diese eingerichtet haben, waren zu sorglos. Die Systeme sind einerseits per Internet erreichbar, weisen anderseits aber Schwachstellen wie die vom Hersteller vor konfigurierten Standard-Zugangsdaten auf.
Altfall: RFID-Schlüsselkarten mit Backdoor
Bei der Vorbereitung dieses Beitrags fiel mir der 2024 bekannt gewordene Fall im Bereich elektronische Schließsysteme ein. Sicherheitsforscher Philippe Teuwen von Quarkslabs hatte sich mit "MIFARE Classic" kompatiblen Schlüsselkarten für elektronische Schließsysteme befasst. Diese kommen in Schließsystemen von Hotels oder in Unternehmen zum Einsatz. Schwachstellen in diesen Schlüsselkarten machen solche Schließsysteme unsicher.
Philippe Teuwen schrieb im August 2024, dass die von NXP Semiconductors (früher Philips Semiconductors) entwickelten und lizenzierten kontaktlosen MIFARE Classic-Karten weit verbreitet sind. Andererseits waren die RFID-Schlüsselkarten aber im Laufe der Jahre zahlreichen Angriffen ausgesetzt. Trotz der Einführung neuer Versionen seien diese Karten anfällig geblieben. Das gilt auch für Szenarien, bei denen nur Angriffe auf die Karte allein, ohne Zugriff auf das entsprechende Lesegerät, möglich sind.
Im Jahr 2020 brachte der chinesische Hersteller Shanghai Fudan Microelectronics (führend bei nicht lizenzierten "MIFARE-kompatiblen" NFC-Chips), mit dem FM11RF08S eine neue Variante von MIFARE Classic-NFC-Chips heraus. Diese Variante ist mit speziellen Gegenmaßnahmen ausgestattet, die alle bis dahin bekannten "card-only"-Angriffe vereiteln sollen, und gewinnt seit dieser Zeit allmählich weltweit an Marktanteil.
Philippe Teuwen hat sich Schlüsselkarten mit diesem Chip vorgenommen und einer Sicherheitsanalyse unterzogen. Dabei ist er auf zahlreiche Schwachstellen gestoßen, mit denen sich die Schlüsselkarte angreifen lassen.
So war er in der Lage, FM11RF08S-Sektorschlüssel in ein paar Minuten zu knacken, wenn die Schlüssel über mindestens drei Sektoren oder drei Karten wiederverwendet werden. Durch schnelles Fuzzing entdeckten der Sicherheitsforscher und seine Kollegen zudem eine Hardware-Backdoor, die die Authentifizierung mit einem unbekannten Schlüssel ermöglicht.
Das Team um Philippe Teuwen hat den geheimen Schlüssel mit einer neuen Angriffsmethode geknackt und festgestellt, dass er allen existierenden FM11RF08S-Karten gemeinsam ist. Seine Erkenntnisse hat der Sicherheitsforscher im August 2024 im Blog-Beitrag MIFARE Classic: exposing the static encrypted nonce variant… and a few hardware backdoors sowie als PDF-Dokument veröffentlicht. Golem hat einige Details in einem deutschsprachigenArtikel zusammen gefasst.
Risiko: Zutrittskontrollsysteme mit Internetanbindung
In vielen Organisationen kommen Zugangskontrollsysteme zur Absicherung des Zugangs durch Mitarbeiter zum Einsatz. Schlüsselkarten oder biometrische Parameter entscheiden dann, wer Zugang zu Räumen bekommt.
Ein besonderes Problem ist dabei, dass viele dieser Systeme mit dem Internet verbunden sind. Jegliche Schwachstelle oder Konfigurierungsfehler schaffen Risiken für diese Zugangskontrollsysteme.
Fehlerhaft konfigurierte und ungeschützte Zugangsmanagementsysteme (AMS), die in unterschiedlichen Branchen und Ländern eingesetzt werden, wachsen sich inzwischen zum globalen Sicherheitsrisiko aus. Und wir reden hier von kritischen Einsätzen in Bereichen wie Baugewerbe, Gesundheitswesen, Bildungswesen, Forschung, verarbeitende Industrie, Ölindustrie und staatliche Stellen.
Der "alles muss per Internet erreichbar sein"-Ansatz schafft Sicherheitsprobleme, von denen Organisationen auf der ganzen Welt betroffen sind. Das führt einerseits dazu, dass die physische Sicherheit von Tausenden von Organisationen weltweit beeinträchtigt ist.
Die Möglichkeit, unbefugt in Gebäude einzudringen und auf einfache Weise physische Sicherheitsmaßnahmen zur Zutrittskontrolle zu umgehen, stellt eine ernsthafte Bedrohung für die Sicherheit von Organisationen dar.
Hinzu kommt, dass Hunderttausende hochsensibler Mitarbeiterdaten wie persönliche Identifikationsdaten, biometrische Informationen, Fotos und Arbeitspläne durch die Erreichbarkeit per Internet offengelegt wurden. Und dann spielen, abseits der Risiken wie Identitätsdiebstahl, unbefugter Zugang und/oder Zugriff auf vertraulicher Geschäftsdaten, auch gesetzliche Regeln wie die DSGVO mit hinein.
Verschiedene Zugangskontrollsysteme, Quelle: Modat
Sicherheitsforscher von Modat haben sich in einer Untersuchung dieses Themenfeld vorgenommen und näher analysiert. Dabei sind sie zu erschreckenden Erkenntnissen gelangt. Weltweit gibt es Hunderttausende Zugangskontrollsysteme, die in irgend einer Form Sicherheitsmängel aufweisen.
Italien sticht in Europa besonders negativ hervor, aber auch Nordamerika, Ostasien, Australien und einige europäische Länder wie Spanien, England und Frankreich sind in der "Spitzengruppe" von Systemen mit Problemen gut vertreten.
Den Sachverhalt bzw. die Details haben die Sicherheitsforscher von Modat im Februar 2025 im Artikel Doors Wide Open: hundreds of thousands of employees exposed; thousands of organisations physically vulnerable veröffentlicht. Golem hatte die Erkenntnisse in diesem Beitrag aufgegriffen und schreibt, dass in Deutschland 49.000 dieser Systeme mit Problemen gefunden wurden.
In Teil 2 gehe ich auf das Thema "Zeiterfassungssysteme" ein, die frei per Internet erreichbar und durch Fehlkonfigurationen während der Inbetriebnahme unsicher sind. Blog-Leser hatten mich bereits vor Monaten auf diesen Sachverhalt hingewiesen. Ich habe die Hersteller kontaktiert, und lege nun – nach einigen Monaten Wartezeit – einige Sachverhalte offen.
Artikelreihe
Zugangs- und Schließsysteme mit Internetanbindung als Risiko – Teil 1
Systeme zur Zeiterfassung mit Internetanbindung als Risiko – Teil 2
Ähnliche Artikel
BSI-Warnung vor ABUS HomeTec Pro CFA 3000-Türschloss
Hotel-Check-In-System: Schwachstelle CVE-2024-37364 in Ariane Allegro Scenario Player legt Daten offen
IBIS-Hotel: Check-In-Terminal gibt Zugangsdaten fremder Zimmer aus
Unsaflok: Millionen Hoteltüren lassen sich durch Sicherheitslücken öffnen
MVP: 2013 – 2016
****************************************
Der "alles muss per Internet erreichbar sein"-Ansatz schafft Sicherheitsprobleme,
****************************************
War doch absehbar! Der Richtige Ansatz sollte lauten: nichts außer das, für was Internetzugriff essenstiel ist hat im Internet was zu suchen! Wer sich daran hält hat schon mal 90 % der Sicherheitslücken ausgeknipst und kann sich auf die restlichehn 10% konzentrieren.
Weitere 5% lassen sich eleminieren indem man nicht jedem Hype hinterher rennt. Bleiben also 5% Risiken/Lücken über, auf die man sich konzenztrieren muss und einem durchaus das Leben schwer machen können wenn man keine fähigen Mitarbeiter oder selbst die Expertise hat, aber dies ist durchaus handelbar.
Es gibt nicht wirklich viel Hard-/Software/Bereiche welche tatsächlich Internetzugang brauchen!
Ja das kommt dabei raus wenn alles im Internet sein "muss". Ich kenne noch die Schließsysteme die per serieller Schnittstelle an einen PC angeschlossen waren der keinerlei Netzwerkverbindung hatte und nur zur Programmierung und Auswertung genutzt wurde. Klar das kann man heut anders lösen aber es muss eben nicht ins Internet. Ein separates LAN für solche Zwecke genügt auch.
Sehe ich auch so. Es ist kein Hexenwerk VLANs anzulegen und den Zugriff so einzuschränken, dass nur die gerade eben notwendigen Ressourcen dort zugreifen können. Das gilt aber nicht nur fürs Schließsystem. Switche, Server, Telefonie, Maschinen usw. Da haben normale Anwender auch nix verloren. Immer schön die Netze segmentieren.
Das Problem sind sehr häufig die Errichter solcher Anlagen.
Diese sind nicht selten nur "Elektriker" und können mit Begriffen wie z. B. VLANs oder auch Netzwerksegmentierung nichts anfangen.
Hier sollte der alte Spruch gelten: Schuster bleib bei Deinen Leisten.
Ich als ITler, errichte schließlich auch keine Elektroanlagen.
Ich kenne mindestens ein Schließsystem für Hotels, wo der Hersteller eine Portweiterleitung von außen auf den entsprechenden Server vorschreibt.
Natürlich gibt es kleine Hotels die nur mit einer Fritzbox arbeiten und daher noch nicht einmal die Quelle einschränken können.
Lösung? Keine. Der Hersteller sagt "das muss so", das Hotel sagt "ich will das so". Da kann man jetzt als Dienstleister sagen "ey, auf keinen Fall, das ist der absolute Müll! Wieso eingehende Ports?". Interessiert aber beide nicht und das Ergebnis ist: "Mach das so oder ich suche mir einen anderen IT Dienstleister"…
Selbst 3CX schreibt bis heute in ihrem Adminhandbuch, dass die SIP Ports von außen nach innen frei sein müssen, was natürlich totaler Unsinn ist.
******************************
Interessiert aber beide nicht und das Ergebnis ist: "Mach das so oder ich suche mir einen anderen IT Dienstleister"…
******************************
tja und dann lautet die Antwort: JA such dir nen anderen Dienstleister! Ich muss nicht jeden als Kunden nehmen… erst recht nicht wenn ich letztendlich dafür den Kopf hinhalten muss und der Kunde aber unbelehrbar ist.
Wenn du es dir nicht leisten kannst nen Kunden abzulehnen, dann läuft schon grundsätzlich bei dir einiges schief oder die Gier frißt Hirn.
Ich habe eine kleine Firma 30 Angestellte, aus dem Bereich Robotik-Prozeßautomatisierung-Sondermaschinenbau… nehme nur Kunden aus Deutschland… ja Anfragen aus EU Ländern sind auch als mal da, ist aber das Risiko/den Aufwand nicht wert… die Firma läuft trotzdem! Kann sehr gut leben davon, gierig muss ich nicht sein. Das letzte Hemd hat eh keine Taschen ;-P
Große Konzerne kriegen natürlich den Hals nie voll.
Wenn du es dir nicht leisten kannst nen Kunden abzulehnen, dann läuft schon grundsätzlich bei dir einiges schief oder die Gier frißt Hirn.
Das sehe ich anders. Zum einen kann man das nur machen, wenn man selbständig ist. Spoiler: Bin ich nicht, ich kann mir das eben nicht aussuchen.
Zum Anderen: Ich sehe ja ständig, was die anderen Dienstleister in der Gegend so hinterlassen. Exchange hinter der Fritze mit Portforwarding finde ich ständig.
Wieso sollte man den ganzen Kunden ablehnen, weil dieser EINEN eindringlichen Rat von mir nicht annehmen will? Bei so etwas wird schriftlich darauf hingewiesen, dass das in keinem Fall sinnvoll ist und man jegliche Verantwortung für etwaige Folgen ablehnt. Das muss der Kunde unterschreiben und fertig.
https://www.dormakaba.com ist auch so ein Kandidat mit fest verbautem Admin Zugangsdaten aber nur Lan-seitig normal nicht im Internet). kommt man im Grunde auch ohne Lizenz dran.