Begehcard auf dem Prüfstand

Wien (pts001/03.01.2014/08:30) - In Österreich werden immer mehr Postschlösser in den Sprechanlagen der Mehrfamilienhäuser durch RFID-Lösungen ersetzt, die ein berührungsloses Öffnen der Haustüren ermöglichen. Zahlreiche Hauseigentümer und Hausverwaltungen setzen dabei auf die kostengünstige Lösung der Begeh Schließsysteme GmbH, die ihnen eine Möglichkeit gibt, gewünschte Dienstleister für den Zugang in ihre Häuser zu berechtigen und "ungebetene Gäste" auszuschließen. Kontrolle, wer ins Stiegenhaus kommt, ist wieder möglich. Auf Wunsch kann der Zugang sogar soweit eingeschränkt werden, dass verschiedene Gruppen wie zum Beispiel Reinigungsfirmen nur einmal pro Woche ins Haus dürfen.

Dieses System ist jetzt von dem Wiener TU-Absolventen Adrian Dabrowski genau unter die Lupe genommen worden. Er hat das System auf eventuelle Sicherheitslücken geprüft und festgestellt, dass er mit spezieller Hardware Daten auslesen, Karten kopieren und Türen öffnen kann.

Hier die offizielle Stellungnahme der Firma Begeh Schließsysteme zu den Vorwürfen des "Sicherheitsexperten" Adrian Dabrowski, der in seinen Recherchen verabsäumt hat, Hintergründe, Ziele und verschiedenen Ausbaustufen des Systems zu hinterfragen:

1. Die Schlagzeile "Forscher knackt Wiener Haustüren mit Skipass" ist falsch

"Mit einem herkömmlichen Skipass funktioniert das Öffnen der Haustüren natürlich nicht", so der Geschäftsführer der Begeh-Schließsysteme GmbH Gerhard Hennrich. "Der TU-Absolvent hat dazu eine sogenannte Baucard verwendet." Die Baucard ist eine spezielle Kartengruppe, die nur für die Zeit einer umfangreichen Bautätigkeit gedacht ist und im Normalbetrieb nicht berechtigt werden soll. Sie wird von Eigentümern und Hausverwaltungen für besondere Bautätigkeit vergeben. Darauf wird auch auf der Begeh-Homepage (www.begeh.at) ausdrücklich hingewiesen. Die Sperrung dieser Gruppe obliegt den Hauseigentümern bzw. Hausverwaltungen und kann jederzeit gesperrt werden. Die Firma Begeh versteht sich als Dienstleister und agiert so, wie der Kunde es wünscht. Es ist nur möglich, die auf der Baucard gespeicherten Daten auszulesen und auf einen Skipass zu kopieren, wenn eine spezielle Elektonik verwendet wird - dazu sind glücklicherweise nur Experten in der Lage.

Prinzipiell macht das Kopieren der Baucard-Informationen auf einen Skipass auch gar keinen Sinn, da die Baucard im Handel frei erwerbbar ist. Die Firma Begeh empfiehlt den Eigentümern diese Gruppe im Normalbetrieb zu sperren und nur bei Bautätigkeit für einen begrenzten Zeitraum zu öffnen. Das kann der Kunde selber tun, mittels Baucard Plus und Baucard Minus.

2. RFID-Systeme weisen Sicherheitslücke auf

Richtig: Die Problematik der Kartensimulatoren bei RFID-Systemen ist bekannt und betrifft nicht nur das Begeh-System, sondern auch Zahlungssysteme, personalisierte Zugangsberechtigungen (z.B. zum Hotelzimmer) uvm. An der Sicherheit dieser Systeme wird weltweit gearbeitet.

Für Experten wird es immer möglich sein, Schwächen eines Systems zu nutzen. Hennrich: "Weltweit beweisen Hacker, dass sie Sicherheitssysteme manipulieren können. Das Auslesen einer Bankomatkarte zum Beispiel ist für Leute wie Dabrowski geradezu ein Kinderspiel."

Hingegen können Mitarbeiter von Dienstleistern wie der Post, Müllabfuhr, sozialen Einrichtungen usw. nur die Haustür des Stiegenhauses und keine weiteren Türen öffnen. "Praktisch finden Dienstleister die Barriere Haustür mittels Begehsystem sicher nicht. Sie müssen sich mit Sicherheitskriterien auseinander setzen. Bei Verlust wird die Begehcard zwar durch eine neue ersetzt, allerdings entstehen dem Anwender dadurch Aufwand und Kosten. Verloren gegangene Karten kommen auf eine schwarze Liste. Bei einem Security-Update werden diese Karten gesperrt.", so Gerhard Hennrich.

3. Datentransfer mittels RFID-Laser

Nach eigenen Angaben hat sich Sicherheitsexperte Dabrowski selbst per Post ein Kartenlesegerät geschickt. Dieser Kartenleser hat die Daten der Karte des Postboten bei der Zustellung ausgelesen. Diese Daten hat er auf einen sogenannten Kartensimulator gespielt, die Daten kopiert und in weiterer Folge die Türen geöffnet.

Schwierig! Die Daten einer Begehcard für die Postgruppe sind mit der karteneigenen ID-Nummer verschlüsselt. Da auch eine Liftkarte eine eigene unlöschbare ID-Nummer besitzt, kann diese nicht einfach durch eine andere ID-Nummer ersetzt werden. Es funktioniert also nur mit einem selbstgebauten Kartensimulator und nicht wie in vielen Medien dargestellt durch Kopieren der Daten auf einen Skipass.

Tatsache ist, dass die Möglichkeit der Herstellung eines Kartensimulators durch einen Experten das Gesamtsystem nicht infrage stellt.
Es handelt sich um den üblichen Wettlauf bei Sicherheitssystemen. Und die Firma Begeh entwickelt laufend neue Möglichkeiten, um das System weiter zu sichern.

4. Vorwurf

Hausbewohner dürfen zu recht beunruhigt sein

Das Begeh-System schafft erhöhte Sicherheit, da die Karten nur an Anwender, welche Partner der Begeh Schließsysteme GmbH sind, ausgegeben werden. Diese haben sich verpflichtet, die vorgegebenen Sicherheitskriterien zu erfüllen. Weiters sind alle Anwenderkarten mit einem Ablaufdatum versehen, wodurch "verlorene" Karten ihre Berechtigung bei Begeh-Security verlieren. "Die besondere Herausforderung bei der Sicherung von Hauseingängen besteht darin, auf der einen Seite den Zugang für erwünschte Personen wie Dienstleister zu ermöglichen und auf der anderen Seite das individuelle Bedürfnis nach Sicherheit der Hausbewohner zu befriedigen. Und das so kostengünstig wie möglich", sagt Gerhard Hennrich abschließend. So kostet das Begeh-Schoß in der Basic-Variante 120 Euro pro Haustür, die Security-Variante 280 Euro.

Weitere Infos: www.begeh.at und auf Facebook unter www.facebook.com/Begehcard

Hintergrund

In ganz Wien können alle mit einer Sprechanlage ausgestatteten Wohnhäuser mit einem einzigen Schlüssel aufgesperrt werden: dem sogenannten Postschlüssel. Er wurde vor mehr als 40 Jahren entwickelt, um zu gewährleisten, dass erwünschte Gruppen wie Postbeamte, Mitarbeiter der MA 48, Polizei, Feuerwehr, Rettung etc. in die Häuser kommen, auch wenn ihnen kein Bewohner öffnet. Da im Laufe der Jahre auch Diebesbanden und Obdachlose den Schlüssel erworben haben - erst nur auf dem Schwarzmarkt, mittlerweile bei jedem Schlüsseldienst offiziell zu kaufen -, um das Stiegenhaus fremd zu nutzen, hat die Firma BEGEH Schließsysteme eine neue Lösung entwickelt, um mehr Sicherheit zu bieten und den Zutritt in die Stiegenhäuser zu erschweren.

Begeh Schließsysteme GMBH, Linzerstrasse 57, 3004 Purkersdorf

Aussender: Begeh Schließsysteme GMBH
Ansprechpartner: Gerhard Hennrich
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel.: +43 664 9179655
Website: www.begeh.at

Quelle: www.pressetext.com/news/20140103001