Digitale RFID-Schlösser aus Fernost – Eine günstige Alternative?

Verfasst von: Kai Pistorio
Dieses Bild zeigt einige passive RFID Transponder-Schlüsselanhänger.
Dieses Bild zeigt einige passive RFID Transponder-Schlüsselanhänger.  Bild: Kai Pistorio
Die Welt wird zunehmend digitaler. Einen mechanischen Schlüssel zu besitzen, gilt schon beinahe als oldschool. Im Internet werden Code-Tastaturen mit integriertem RFID Leser bereits unter 10 Euro angeboten. Sind sie eine Alternative zu den höherpreisigen Artikeln, oder Spielzeug? Wie steht es mit der Sicherheit? Wer den Kauf eines solchen Gerätes in Erwägung zieht, oder bereits im Einsatz hat, sollte diesen Artikel bis zum Ende lesen.

Als Grundvoraussetzung für diesen Artikel ist es notwendig zu wissen, dass es verschiedene Arten von Transpondern gibt. Zumeist werden sie als Schlüsselanhänger verwendet. Man unterscheidet zwischen aktiven (mit eigener Stromversorgung und Knopf) und passiven Transpondern. Passive Transponder werden über das Lesegerät mit Strom versorgt und schalten in dem Moment frei, wenn sie vor das Lesegerät gehalten werden. Im Test wurde sich auf passive Transponder beschränkt, die auf verschiedenen Frequenzen funken: 125 Khz (EM-Transponder): Diese galten schon vor vielen Jahren als überlistet. Ihre IDs sind mit einfachen Geräten leicht zu kopieren (klonen). Eine wirkliche Sicherheit bieten sie nicht an.

13.56 Mhz (MIFARE-Standard): Vorreiter und Hersteller der Originale ist heute NXP. Der MIFARE-Standard ist etabliert und bietet neben Verschlüsselung auch zusätzlichen Speicher. Mit MIFARE Classic lässt sich ein weitestgehend sicheres System realisieren, sofern man auf die Verschlüsselung setzt. Leider zeigt der Test, dass Importgeräte oft auf die Verschlüsselung verzichten und sich auf die unzureichende ID-Nummer fixieren. Wichtig: Bitte beachten Sie, dass sowohl die im Handel erhältlichen Programmiergeräte, als auch die frei programmierbaren Transponder keine Originalware der Hersteller sind, sondern zumeist aus China stammende Nachbildungen. Das Kopieren von Transponder-IDs ist mit diesen leicht möglich.

Schwachstelle 1: Unzureichende Architektur und physische Angriffe

Im Test wurden zahlreiche RFID-Systeme bis 50 Euro genauer untersucht. Grundlegend sollte man wissen, dass die Leseeinheit und die Auswerteeinheit voneinander getrennt sein sollten. Die Leseeinheit (das Tastenfeld außen) überträgt lediglich die Daten über ein Kabel an die Auswerteeinheit im Inneren des Hauses. Diese verfügt über das Relais – den Schalter, der den elektronischen Türöffner aktiviert. Bei günstigen Systemen sind beide Komponenten im gleichen Gehäuse an der Außenwand untergebracht. Da ein Relais ein einfacher Schalter ist, kann es mittels einer Drahtbrücke überwunden werden, sobald das Gehäuse geöffnet wird.

Tamper-Alarm: Einige Systeme bieten einen Tamper-Alarm, der bei Öffnung auslöst. Nur in einem System war die Platine mit Harz vergossen. In den anderen Systemen lag der Piezo-Lautsprecher frei zugänglich und konnte leicht mit einer Zange oder Klebeband ausgeschaltet oder gedämpft werden. Fazit zur Architektur: Ist die gesamte Elektronik auf der Außenseite untergebracht, bietet sie nahezu keine Sicherheit vor physischen Angriffen. Auch hatte sich herausgestellt, dass sehr viele Komplettsysteme lediglich mit einer einzigen, kleinen Schraube am Gehäuse gesichert waren. Wer diese entfernt, konnte das gesamte System in kürzester Zeit in seine Bestandteile zerlegen.

Schwachstelle 2: Der "Leere ID"-Software-Exploit

Dieser Angriff ist besonders gravierend, da er ganz ohne Öffnen des Gehäuses oder Manipulation am Gerät funktioniert und auf einem grundlegenden Programmierfehler beruht. Schaut man in die Artikelbeschreibungen, findet man Angaben, dass Transponder-IDs im internen Speicher abgelegt werden. Nicht vergebene Speicherplätze werden in der Digitaltechnik mit einem bestimmten Wert für "leer" markiert (z.B. Hexadezimal FF FF FF FF). Der Angriff nutzt einen Programmierfehler: Gut durchdachte Systeme merken sich, wie viele Transponder eingelernt wurden, und beenden die Suche danach. Schlecht programmierte Systeme hingegen lesen den gesamten Speicher bis zum Ende.

Durch die Verwendung von speziell präparierten Transpondern (die mit leicht zugänglichen Programmierwerkzeugen erstellt werden), kann in den Speicherbereich, der die Transponder-ID verbirgt, gezielt der systeminterne "Leer"-Wert geschrieben werden. Hält man diesen manipulierten Transponder vor den Leser, liest das System die manipulierte "Leer"-ID aus, sucht im Speicher, findet den identischen "Leer"-Wert auf den nicht belegten Plätzen und schaltet zwangsläufig den Zugang frei. Die Tür steht offen. Hier reicht oft ein manipulierter, programmierbarer Transponder, der in der Regel keine Originalware des Herstellers NXP ist. Nutzen Sie daher so ein System nicht für sicherheitsrelevante Bereiche.

Fazit und praktische Empfehlungen

In vielen getesteten, günstigen Alternativen der beliebten Transponder-Codeschlösser fanden sich gravierende Fehler. Durch einen Programmierfehler sind sehr viele Systeme per Software angreifbar und öffnen die Tür, sobald ein manipulierter Transponder vor die Leseantenne gehalten wird. Kaufen Sie ausschließlich Systeme mit getrennter Auswerteeinheit. Das Relais zum Öffnen der Tür MUSS sich im gesicherten Innenbereich befinden. Wählen Sie, wenn möglich, MIFARE DESFire oder fragen Sie beim Händler nach, ob die Verschlüsselungsfunktionen des MIFARE Classic-Chips tatsächlich genutzt werden. Qualität hat ihren Preis: Markenhersteller, deren Produkte oft mehrere hundert Euro kosten, zeigten nur selten Schwächen im Test. Wer billig kauft, kauft oftmals mehrfach.

Suchbegriffe, Druckversion und Feedback

Artikel wurde veröffentlicht: vor PDF erzeugen Inhalt beanstanden
Verwendung des Artikels nur mit schriftlicher Genemigung des Verfassers.  Für den Inhalt des Artikels ist der Verfasser verantwortlich, dem auch das Urheberrecht obliegt. Redaktionelle Inhalte von Reporters.de können auf anderen Webseiten zitiert werden, wenn das Zitat maximal 5% des Gesamt-Textes ausmacht, als solches gekennzeichnet ist und die Quelle benannt und verlinkt wird.