Zutrittskontrolle

Zutrittskontrolle steuert den Zutritt über ein vom Betreiber festgelegtes Regelwerk „Wer – wann – wohin“, damit nur berechtigte Personen Zugang zu den für sie freigegebenen Bereichen in Gebäuden oder geschützten Arealen auf einem Gelände erhalten. Die Zutrittsberechtigungen können zeitlich begrenzt werden (Ablauffrist, Uhrzeit). Die Zutrittsberechtigung kann von Menschen, z. B. Mitarbeitern eines Sicherheitsdienstes, oder auch von technischen Zutrittskontrollsystemen anhand von Identitätsnachweisen überprüft werden.

Technisches Zutrittskontrollsystem

Identmittel

Als Identifikationsmerkmal für die Zutrittskontrolle können sowohl materielle, geistige als auch biometrische Identmittel dienen. Bei den materiellen (elektronischen) Identifikationsmerkmalen wird häufig eine Einteilung in aktive und passive Medien vorgenommen. Beide haben dabei unterschiedliche Stärken und Schwächen ggü. den jeweils anderen Varianten. Passive Medien gibt es dabei in standardisierten und genormten Ausführungen, während es sich bei aktiven Identmedien i. d. R. um proprietäre Produkte einzelner Hersteller handelt. Eine Sonderrolle nimmt hier das als Identmedium eingesetzte Smartphone ein, das meist BLE, NFC oder beides kombiniert als Schnittstelle verwendet, wobei die NFC-Schnittstelle in der Kommunikation (theoretisch) kompatibel zu den standardisierten Passiv-Identmedien auf Basis von 13,56 MHz RFID-Transpondern ist (z. B. DESFire und Legic Advant). Die praktische Nutzbarkeit dieser NFC-Schnittstelle ist jedoch schwierig, da die Authentifizierung einer physischen Karte nicht von allen Anbietern veröffentlicht ist und nicht nachgeahmt werden kann. Bis März 2024 war es von Apple abhängig ein iPhone als Identmittel zu verwenden, doch aufgrund des Gesetzes über digitale Märkte können europäische Entwickler, ein iPhone nutzen um sich zu gegenüber einem NFC Reader zu identifizieren[1].

Aktiv

Aktive Identmittel sind typischerweise batteriebetrieben. Entweder versorgt die Batterie im Identmittel kontaktbehaftet die Entscheidungselektronik des Verschlusssystems mit Energie, oder das Identmittel kommuniziert über eine bestenfalls verschlüsselte Funkkommunikation mit dem Verschlusssystem. Letzteres findet zum Beispiel in den meisten Automobilen Anwendung.

Aktive Identmedien bieten meist höhere Reichweiten als die klassischen passiven RFID-Transponder, im Gegensatz dazu sind sie jedoch mechanisch empfindlicher, benötigen Batterien und sind häufig etwa um den Faktor 10 oder mehr teurer als beispielsweise ein passiver DESFire-Transponder. Dadurch, dass es sich i. d. R. um proprietäre Systeme handelt, lassen sich Aktivtransponder häufig nicht oder nur mit großem Aufwand in weitere Systeme Integrieren (z. B. Kopier/Drucksysteme, Kantinen- und Bezahlsysteme, Fuhrparkmanagement, Zeiterfassung etc.).

Es existieren auch Lösungen, bei denen eine passive HF-Transponderkarte (z.B: DESFire) mittels eines aktiven Boosters als Weitbereichs-Transponder verwendet werden kann; dies ermöglicht eine Fahreridentifikation mittels der normalen Zutrittskarte auch an einem Weitbereichsleser.

Mobiltelefon als Identmittel

Seit 2006 gibt es die Möglichkeit über Bluetooth das Mobiltelefon als Identmittel, also als Schlüssel, zu nutzen.

Es wird zwischen zwei Systemen unterschieden:

  • Solche, die ohne spezielle Software auf dem Mobiltelefon auskommen. Hierbei wird nur die MAC-Adresse des Bluetooth-Interface ausgelesen, also geprüft, als welche Mobiltelefone sich die nahen Geräte ausgeben. Manche Systeme, etwa die von SOREX, unterstützen ohne Software auf dem Mobiltelefon zusätzlich ein Passwort.
  • Solche Systeme, die mit spezieller Software auf dem Mobiltelefon ein Passwort abfragen.

Moderne Zutrittskontrollsysteme erlauben die Verwendung von Mobiltelefonen als Identmittel unter Verwendung der Near Field Communication und können damit die Funktionalität von Chipkarten nachbilden (sog. Host Card Emulation bzw. HCE).

Es sind Anbieter verschiedener Systeme auf dem Markt.

Mit dem OSS-Standard, OSS-MA (Mobile Access) wird seit einigen Jahren durch die Open Security Standards Association e.V. ein herstellerübergreifender offener Standard für die Verwendung von Smartphones als Identmedium entwickelt. Erste Prototypen hierzu wurden bereits ab 2021 auf den einschlägigen Messen durch unterschiedliche Hersteller als Mitglieder der OSS Asociation vorgestellt. Die Marktreife für fertige OSS-MA-Lösungen wird für Anfang 2023 erwartet. OSS-MA wird voraussichtlich primär auf BLE als Schnittstelle setzen, dies wird unter anderem auf die bislang sehr restriktive Handhabung des Zugriffs auf die NFC-Schnittstelle von Apple-Geräten (durch Apple) zurückgeführt. Grundsätzlich wäre auch NFC als Schnittstelle bestens geeignet. Der Vorteil von NFC ggü. BLE ist, dass es per HCE (Host Card Emulation) die Emulation von HF-Transpondern wie DESFire ermöglicht. Durch NFC HCE wäre es somit technisch möglich, bestehende Zutrittskontrollhardware weiter zu nutzen.

Passiv

Zutrittskontrolle mittels Fahrerkarte

Auch bei passiven Identmitteln wird zwischen kontaktbehafteten und kontaktlosen Medien unterschieden. Hier ist die Bandbreite der verwendeten Technologien am größten.

Berührungslos

Berührungslose Proximity-Systeme benutzen verschiedene RFID-Techniken. Meist werden die unterschiedlichen RFID-Technologien anhand ihres Frequenzbereichs in drei Gruppen unterteilt, Low Frequency (LF), High Frequency (HF) und Ultra High Frequency (UHF). Gebräuchlich sind Medien im ISO-Kartenformat (Plastikkarte), als Schlüsselanhänger (Key-Fob), als Armband oder Aufkleber. Berührungslose Systeme lassen sich zudem auch in Armbanduhren, Handys, mechanischen Schlüsseln und Kleidungsstücken oder modischen Accessoires integrieren. Transponder lassen sich in entsprechenden Ausführungen sogar chirurgisch unter die Haut implantieren. Das Verfahren findet vor allem bei der Kennzeichnung von Tieren größere Verbreitung, es existieren auch Implantate zur Verwendung am Menschen.

LF-Transponder im Bereich um 120–125 kHz waren im Bereich der Zutrittskontrolle lange Zeit sehr verbreitet, gelten diese jedoch heute im Allgemeinen als unsicher, da diese aufgrund bestimmter physikalischer Grenzen keine dem anerkannten Stand der Technik entsprechende Verschlüsselung unterstützen.[2] Beispiele für LF-Transponder Technologien sind Hitag, Hitag-S, EM4200 und neXS.

HF-Transponder nutzen typischerweise den Frequenzbereich 13,56 MHz, auf dem deutschen Markt haben vor allem Transponder auf Basis der Produktfamilien Legic und Mifare große praktische Bedeutung erlangt. Die in der Zutrittskontrolle eingesetzten Transponder im LF- und HF-Bereich verfügen in Abhängigkeit der zugelassenen Sendeleistung und der eingesetzten Antenne typischerweise über Reichweiten von wenigen Zentimetern bis hin zu einem knappen Meter, wobei die neueren Systeme aufgrund von implementierten Sicherheitsmerkmalen meist nur noch etwa 3–12 cm unterstützen. Mifare Classic gilt als veraltet, da sie mit trivialen Mitteln „gebrochen“ werden können und sollten (jenseits der rein organisatorischen Zutrittskontrolle) keine Anwendung mehr finden. Die Verfahren (Mifare) DESFire EV1 und neuer, sowie das auf vergleichbarer Technik aufbauende Legic Advant gelten nach derzeitigem Stand bei korrekter und vollständiger implementierung als sicher, d. h. es existieren keine öffentlich bekannten Schwachstellen. Beim Einsatz von speziellen Antennen wie sie für gezielte Relay-Angriffe auf berührungslose Systeme eingesetzt werden, sind mitunter auch höhere Reichweiten möglich. Chips der (Mifare) DESFire-Familie verfügen neben einigen weiteren Sicherheitsfunktionen unter anderem über Mechanismen zur Kontrolle der Signallaufzeit im ms-Bereich und können dadurch bei Einsatz entsprechender Leser, sog. Relay-Angriffe wie sie vor allem durch den Diebstahl von Kfz mit sog. Keyless-Systemen größere Bekanntheit erlangten, nahezu unmöglich machen. DESFire EV1 und neuer über eine Zertifizierung gem. Common Criteria EAL4+ und werden beispielsweise auch im elektronischen Dienstausweis des Bundes für die Zutrittskontrolle verwendet.

Außerhalb Europas haben darüber hinaus beispielsweise auch HID iClass (US) und Sony Felica (Pacific) Transponder relevante Marktanteile, diese haben in Europa und insbesondere der EU jedoch kaum praktische Relevanz.

Transponder im UHF-Bereich werden in der Zutrittskontrolle vor allem für spezielle Weitbereichsleser zur Zufahrtskontrolle verwendet, wenn es auf eine möglichst zügige Erkennung und Durchfahrt ankommt oder wenn ein anhalten an einem gewöhnlichen (HF-)Kartenleser mit vergleichsweise geringer Reichweite aus anderen gründen nicht gewünscht oder praktikabel ist, (z. B. an Gabelstaplern in Warenlagern, Einsatzfahrzeugen etc.). Da die gängigen UHF-Systeme ebenfalls als nicht besonders sicher gelten, kommen in entsprechenden Fällen häufig Systeme mit aktiven Identmedien zum Einsatz.

Kontaktbehaftet

Kontaktbehaftete Karten ähneln im Aufbau der deutschen Versichertenkarte der gesetzlichen Krankenkassen und verfügen wie diese über eine von außen sichtbare Kontaktfläche. Bei den zum heutigen Zeitpunkt noch als sicher anzusehenden kontaktbehafteten Karten handelt es sich in der Regel um Prozessor Chipkarten, auf denen kryptografisch gesicherte PKI Zertifikate aufgebracht werden. Häufig verfügen diese Karten zudem auch über sog. dual Interface Chips, die sich sowohl kontaktbehaftet als auch kontaktlos ansprechen lassen. Der Einsatz von PKI basierten Identmedien zur Zutrittskontrolle ist in der Praxis mit vergleichsweise hohem Aufwand und damit meist auch hohen Kosten verbunden und wird daher i. d. R. nur in Hochsicherheitsbereichen z. B. im militärischen Bereich eingesetzt (z. B. US DoD CAC). Im Bereich der Zugangskontrolle in IT-Systemen von Behörden und größeren Firmen haben PKI-Smartcards seit Windows 7 eine hohe Verbreitung zur Multifaktorauthentifizierung und können daneben beispielsweise auch zur Signatur und Verschlüsselung von E-Mails genutzt werden, theoretisch ließen sich solche Karten auch zur physische Zutrittskontrolle nutzen, was jedoch nur sehr selten umgesetzt wird.

Der sogenannte iButton, ein Markenname von Dallas Semiconductor, hat sich im Bereich der Zutrittskontrolle ebenfalls etabliert. Der iButton beruht auf der Eindraht-Technik, bei der gerade mal zwei Kontakte ausreichen, um Daten zwischen dem Identmittel und Entscheidungselektronik auszutauschen. Dies ermöglicht eine äußerst kompakte wie robuste Bauform.

Magnetkarten

Magnetstreifenkarten gelten heute allgemein als nicht mehr sicher genug, da sie ohne großen technischen Aufwand kopier- und manipulierbar sind. Zudem unterliegen die Karten einem hohen Verschleiß. Dennoch wird dieses System beispielsweise noch vielfach in einigen Hotels verwendet, da die Hotels die Kosten für eine Modernisierung scheuen.

Die Magnetkarte wird bereits seit Mitte der 2000er immer stärker von kontaktlosen Identmedien verdrängt, da diese einen vielfach höheren Speicherplatz bei höherer Sicherheit durch Verschlüsselung bieten. Zudem sind diese deutlich widerstandsfähiger und quasi verschleißfrei.

Code (geistiges Identmittel)

Als geistiges Identmittel können z. B. Kennwörter oder PINs dienen, zum Beispiel als Türöffnungscode, der über ein Nummerntastenfeld einzugeben ist. Geistige Identifikationsmerkmale werden häufig als weiterer Faktor beim Einsatz eines materiellen Identifikationsmerkmals eingesetzt. Hierdurch soll ähnlich der PIN einer Bankkarte, eine unberechtigte Nutzung erschwert werden. Zudem bietet sich die Möglichkeit, durch unterschiedliche PINs weitere Funktionen im Hintergrund auszulösen.

Biometrie

Des Weiteren können auch biometrische Merkmale wie beispielsweise

zur Identifikation oder Verifikation herangezogen werden.

Beim Einsatz von biometrischen Merkmalen als zusätzlichen Faktor zu einem materiellen elektronischen Identmittel, ist es möglich die aus der Biometrie abgeleiteten Daten, meist in Form eines Hashwertes verschlüsselt auf dem Identmedium zu speichern. Dies soll den Datenschutz verbessern, indem die massenweise Speicherung von biometrischen Daten auf einem einzelnen zentralen (Server-)System vermieden wird. In der Praxis wird dies vor allem in Verbindung mit Transpondern auf Basis DESFire EV1 oder höher umgesetzt.

Fälschungssicherheit

Um das Duplizieren von Ausweisen zuverlässig zu verhindern, werden zunehmend Crypto-Chipkarten eingesetzt, bei denen eine Authentifizierung nach dem Challenge-Response-Verfahren genutzt wird. Das dabei verwendete Verschlüsselungsverfahren ist in der Regel AES. Zu diesen Karten zählen z. B. die TCOS-Chipkarte oder die DESFire. Zusätzlich kann bei diesen Karten auch eine PIN eingesetzt werden, mit der sich der Besitzer gegenüber der Karte als rechtmäßiger Nutzer ausweisen muss. Diese beiden Funktionen sind eine der Grundvoraussetzungen um die BSI-Leitlinie BSI - TL 03403 (vormals BSI 7551) Klasse 3 zu erfüllen. Vorgaben zum sicheren Einsatz von Chipkarten in Zutrittskontrollsystemen und anderen Anwendungen sind in der Technischen Richtlinie BSI - TR 03126-5 des BSI enthalten.

Aufbau eines elektronischen Zutrittskontrollsystems

Ein System besteht aus mindestens drei Komponenten, die in einem oder mehreren physischen Geräten untergebracht sein können. Der Sensor nimmt die Identifizierung oder Verifizierung des Benutzers auf und übermittelt diese der Zutrittskontrollzentrale, in der das Regelwerk WER-WANN-WO angewendet wird. Bei Berechtigung wird ein Aktor angesteuert und der Zutritt gewährt.

Die Zentrale trifft diese Entscheidung entweder selbst (Offline-System) oder lässt sich diese von einer zentralen Kontrollinstanz erst bestätigen (Online-System). Zutrittskontrollsysteme treten meist in zentraler oder dezentraler Topologie oder einer Mischform auf. Bei einer zentralen Anordnung sind alle Sensoren (Leser) und Aktoren (Türöffner, Schleusen, o. ä.) mit der zentral installierten Zutrittskontrollzentrale verbunden, die meist in einem gesicherten Bereich wie z. B. Technikraum untergebracht ist. Bei einer dezentralen Anordnung liegen viele kleinere, häufig miteinander vernetzte, Zutrittskontrollzentralen in unmittelbarer Nähe zu Sensor und Aktor. Diese arbeiten entweder eigenständig und sind über Ethernet, EIB oder seriell per RS485 vernetzt, oder mit einer zentralen Hauptsteuerung verbunden. Die Steuerungen speichern bis zu tausende Zutrittsberechtigungen und Protokolle intern auch bei Ausfall der Vernetzung ab. An die Steuerungen können auch mehrere Sensoren wie Tür- und Riegelkontakte angeschlossen werden. Dadurch können Kompromittierungs- und Einbruchsversuche erkannt und einer Einbruchmeldeanlage übergeben werden.

Immer mehr setzen sich für geringe oder mittlere Anforderungen anstelle aufwändig zu verkabelnder zentraler Zutrittskontrollen auch autark arbeitende Beschlagssysteme durch. Hierbei sind Lesekopf, Verriegelungstechnik und Entscheidungselektronik im Beschlag integriert, oft batteriebetrieben und funktionieren ohne besonderen Umbau der Tür mit den meisten handelsüblichen DIN-Einsteckschlössern. Der Verschluss wird entweder über eine Blockade oder einen Leerlauf des Drückers (Fallensicherheit) oder über einen fest am Beschlag montierten Drehknauf gewährleistet (Riegelsicherheit), die erst bei berechtigtem Zutritt einkuppeln und manuell bedient werden können.

Der Fortschritt der technischen Entwicklung hat auch bereits eine Vielzahl von elektronischen Knaufzylindern hervorgebracht, die ganz einfach an Stelle des mechanischen Zylinders in beinahe jedem beliebigen Türschloss eingebaut und nachgerüstet werden können. Diese verfügen in der Regel über zwei Drehknäufe, von denen der auf der Außenseite leer durchdreht und erst bei berechtigtem Zutritt bedienbar wird. Bei elektronischen Knaufzylindern mit einer beidseitigen Zutrittskontrolle ist dies auf beiden Seiten der Fall.

Mit steigender Anzahl dieser Beschlags- und Zylinderlösungen bei einem Betreiber steigt der Aufwand, die Schließpläne zu aktualisieren oder Meldungen an einer zentralen Stelle wie Pförtner oder Sicherheitszentrale zur Verfügung zu stellen. Die Anbindung von Türbeschlägen und Terminals in Echtzeit erfordert eine aktive Verbindung. Die nachträgliche Vernetzung erfordert dann meist einen ähnlichen Aufwand wie die Installation eines herkömmlichen Zutrittskontrollsystems, wobei auch kabellose Systeme über Funk, Mobiltelefon oder anderen Anbindungen angeboten werden.

Bei Zutrittskontroll-Systemen für Beherbergungsbetriebe arbeiten die Geräte zum Öffnen der Zimmertür häufig autonom und batteriebetrieben. Die Dauer der Freigabe wird dann nicht über eine Funk- oder Kabelverbindung an das Türgerät übermittelt, sondern auf dem Ausweismedium selber gespeichert.

Mehrere Hersteller bieten Lösungen an, um Sicherheitssysteme unterschiedlicher Disziplinen (Brandmeldetechnik, Einbruchmeldetechnik, Videoüberwachung etc.) und häufig auch von unterschiedlichen Herstellern miteinander zu vernetzen. Ziel dieser Bemühungen ist es, den Betreuungsaufwand zu minimieren oder gesamtheitliche Sicherheitskonzepte umzusetzen.

Standardisierung

Lange Zeit war es üblich und teilweise ist es dies heute noch, dass Zutrittskontrollsysteme nur als ganzes von einem Lieferanten bezogen werden konnten, der Austausch von Komponenten mit solchen anderer Hersteller galt lange als unmöglich, da diese nicht zueinander kompatibel waren. Dies kann insbesondere bei nachträglichen Erweiterungen, bei der Abkündigung von einzelnen Produktlinien oder Produkten eines Herstellers und beim Austausch von defekten Komponenten zu einem großen Problem werden. Oftmals waren Betreiber bzw. Anwender gezwungen ganze Systeme auszutauschen, da es bestimmte Komponenten nicht mehr gab oder man war gezwungen diese zu überhöhten Preisen nachzubestellen. Aus dieser Problemstellung heraus wurden nach und nach verschiedene Schnittstellen im Bereich der Zutrittskontrolle standardisiert, sodass es möglich wurde bestimmte Komponenten mit solchen auch anderer Hersteller in einem gemeinsamen System zu betreiben.

In der Praxis sind vor allem der ursprünglich in den USA durch die SIA entwickelte OSDP-Standard, sowie in Europa der Standard Offline der Open Security Standards Association e.V. (OSS-SO) relevant. OSDP ist eine Spezifikation für die sichere Kommunikation über einen RS485 Bus, die vorwiegend zwischen Kartenlesern und Zutrittskontrollzentralen zum Einsatz kommt. OSS-SO ist ein Standard der das Speicherformat von Offline Zutrittsrechten wie sie vorwiegend für mechatronische Offline Zutrittskontrollkomponenten eingesetzt werden, auf einem kontaktlosen Transpondermedium definiert. Derzeit existieren OSS-SO-Definitionen für die Transpondertechnologien Mifare Classic, (Mifare) DESFire EV1(+) und Legic Advant. Durch das standardisierte Speicherformat lassen sich Komponenten unterschiedlicher Hersteller, die OSS-SO unterstützen, mit demselben Ausweis und demselben Verwaltungssystem verwenden. Hierdurch ist es auch möglich, gemischte Systeme zu betreiben.

Normen und Richtlinien zur Zutrittskontrolle

1. Normen auf deutscher und europäischer Ebene

  • DIN EN 60839-11-1 VDE 0830-8-11-1:2013-12 Alarmanlagen Teil 11-1: Elektronische Zutrittskontrollanlagen – Anforderungen an Anlagen und Geräte
  • DIN EN 60839-11-2 VDE 0830-8-11-2:2016-02 Alarmanlagen Teil 11-2: Elektronische Zutrittskontrollanlagen – Anwendungsregeln

ehemalige Normen:

  • EN 50133-1 / DIN VDE 0830 Teil 8-1:2003-09 „Zutrittskontrollanlagen für Sicherungsanwendungen, Teil 1 Systemanforderungen“ (Dokument zurückgezogen)
  • EN 50133-2-1 / DIN VDE 0830 Teil 8-2-1:2001-08 „Zutrittskontrollanlagen für Sicherungsanwendungen, Teil 2 - 1: Allgemeine Anforderungen an Anlagenteile“ (Dokument zurückgezogen)
  • EN 50133-7 / DIN VDE 0830 Teil 8-7:2000-04 „Zutrittskontrollanlagen für Sicherungsanwendungen, Teil 7: Anwendungsregeln“ (Dokument zurückgezogen)

2. Richtlinien

2.1 VdS-Richtlinien

  • VdS 2353:2004-06 „Richtlinien für die Anerkennung von Errichterfirmen für Zutrittskontrollanlagen“ (zurückgezogen)
  • VdS 2358:2009-10(02) „Richtlinien für Zutrittskontrollanlagen, Teil 1: Anforderungen“
  • VdS 2359:2009-10 „Prüfmethoden für Anlageteile von Zutrittskontrollanlagen“
  • VdS 2367:2004-06 „Richtlinien für Zutrittskontrollanlagen, Teil 3: Planung und Einbau“
  • VdS 3436:2005-08 „Betriebsbuch für Zutrittskontrollanlagen“

2.2 BSI-Richt- und -Leitlinien (Bundesamt für Sicherheit in der Informationstechnik)

  • BSI - TR 03126-5 „Elektronischer Mitarbeiterausweis“
  • BSI - TL 03402 „Anforderungen an Zutrittskontrollanlagen“
  • BSI - TL 03403 „Zutrittskontrollanlagen – Richtlinien für die Projektierung und Ausführung“

Siehe auch

Commons: Zutrittskontrollsysteme – Sammlung von Bildern, Videos und Audiodateien

Belege

  1. https://developer.apple.com/support/hce-transactions-in-apps/
  2. Ralf Spenneberg, Hendrik Schwartke, Oguzhan Cicek: Sicherheit von 125kHz Transpondern am Beispiel Hitag S. 28. Dezember 2015, abgerufen am 21. September 2022 (englisch).