Áú»¢¶·ÔÚÏß

Produkte

Umgang mit OSDP-Sicherheitsl¨¹cken bei der Zutrittskontrolle

Haben Sie von den OSDP-Sicherheitsl¨¹cken geh?rt und fragen sich, wie Sie Risiken mindern k?nnen? In diesem Blog erfahren Sie, wie Sie Ihr Zutrittskontrollsystem h?rten k?nnen.

In letzter Zeit wurde viel ¨¹ber gesprochen.

Diese Schwachstellen bei der Zutrittskontrolle wurden zuerst dieses Jahr vom Sicherheitsunternehmen vorgestellt. Kurz darauf ging noch genauer auf die f¨¹nf ausnutzbaren OSDP-Risiken ein, die auf der Konferenz angesprochen wurden.

Seitdem sind unz?hlige Fragen und Bedenken hinsichtlich des OSDP-Protokolls in der physischen Sicherheitsbranche aufgekommen. Da Angreifer Systemschwachstellen schnell ausnutzen, m¨¹ssen Organisationen die Auswirkungen der OSDP-Sicherheitsl¨¹cken kennen und wissen, wie sie sich von OSDP-Bedrohungen sch¨¹tzen k?nnen.

In diesem Artikel erfahren Sie, wie Sie Ihr Security Center-System gegen die OSDP-Schwachstellen sch¨¹tzen k?nnen.

 
 

Was ist das OSDP-Protokoll?

OSDP steht f¨¹r Open Supervised Device Protocol (offenes ¨¹berwachtes Ger?teprotokoll). Dieses Kommunikationsprotokoll f¨¹r die Zutrittskontrolle ist heute weit verbreitet und bietet ein sicheres und flexibles Framework zum Verbinden verschiedener Komponenten eines Zutrittskontrollsystems.

Genauer gesagt verbindet OSDP Kartenleseger?te and andere Peripherieger?te der Zutrittskontrolle mit Controllern. So wird sichergestellt, dass die Bedienfelder Berechtigungsnachweise mit der Karteninhaberdatenbank abgleichen und den Zutritt zu T¨¹ren oder Bereichen gew?hren oder ablehnen k?nnen.

OSDP wurde von der Security Industry Association (SIA) als Zutrittskontrollprotokoll der n?chsten Generation entwickelt, um die Interoperabilit?t zwischen Zutrittskontrollprodukten zu verbessern. OSDP unterst¨¹tzt auch 128-Bit-AES-Verschl¨¹sselung, Smartcard-Technologie und . Daher wurde OSDP im Hinblick auf die Sicherheit als bessere Option f¨¹r Zutrittskontrollinstallationen als betrachtet. 2020 wurde .

Was ist der OSDP-Hack? Und wie k?nnen Sie sich vor OSDP-Risiken sch¨¹tzen?

Der OSDP-Hack wurde bei der diesj?hrigen Black Hat-Konferenz von Dan Petro und David Vargas von Bishop Fox vorgestellt. Die beiden Sicherheitsexperten pr?sentierten dort, wie sie ein Zutrittskontrollsystem ¨¹ber Schwachstellen des OSDP-Protokolls hacken konnten. Sie haben ihre Erkenntnisse und Empfehlungen auch im Blogpost ?¡° im Einzelnen erl?utert.

Im Folgenden werden die f¨¹nf wesentlichen OSDP-Sicherheitsl¨¹cken und die besten Methoden, diese Risiken aktuell zu mindern, kurz zusammengefasst.

Die 5 wichtigsten OSDP-Sicherheitsl¨¹cken

 

  Optionale Verschl¨¹sselung f¨¹r OSDP

OSDP unterst¨¹tzt Verschl¨¹sselung, Sie m¨¹ssen die Funktion aber in jedem Ger?t aktivieren. Wenn Sie die Secure Channel-Verschl¨¹sselung bei der Ger?teinstallation nicht aktivieren oder wenn Sie Ger?te implementieren, die nicht alle im OSDP-Protokoll verf¨¹gbaren Sicherheitsfunktionen (wie die Verschl¨¹sselung) unterst¨¹tzen, sind Sie m?glicherweise f¨¹r Angriffe von Cyberkriminellen anf?llig.

Wie k?nnen Sie dieses Risiko mindern?

  Secure Channel aktivieren 

Diesen Schritt sollten Sie beim Installieren und Konfigurieren Ihrer Zutrittskontrollger?te durchf¨¹hren. In unserem finden Sie Empfehlungen zur Nutzung des OSDPv2-Protokolls mit aktiviertem Secure Channel-Modus. Sie k?nnen auch Schritt-f¨¹r-Schritt-Anweisungen befolgen, um sichere Verbindungen mit Leseger?ten ¨¹ber das Config Tool in Security Center zu aktivieren.

  OSDP-bezogene Installationsanweisungen befolgen

Wenn Sie Synergis? Cloud Link verwenden, befolgen Sie alle OSDP-bezogenen Empfehlungen im und im . In den folgenden Abschnitten aus dem Administratorhandbuch werden die OSDP-Standards erl?utert. Au?erdem finden Sie dort Empfehlungen zur optimalen Implementierung Ihrer OSDP-Ger?te:

 

Wenn Sie nach Informationen zu OSDP-Ger?ten von bestimmten Zutrittskontrollanbietern suchen, die Verbindungen zu Synergis Cloud Link bereitstellen, k?nnen Sie .

OSDP-bezogene Informationen f¨¹r Synergis Cloud Link Roadrunner? finden Sie unter diesen Ressourcen:

 

  Security Score ¨¹berwachen

Das Security Score-Widget in Security Center ¨¹berwacht die Sicherheit Ihres Systems in Echtzeit und vergleicht diese mit einem Satz aus Best Practices. Dann erhalten Sie einen Score und Empfehlungen zum Verbessern Ihrer Cybersicherheit. Zu den Empfehlungen f¨¹r die Zutrittskontrolle geh?rt die Verwendung sicherer Verbindungen mit Leseger?ten. Wenn Sie Secure Channel noch nicht aktiviert haben, zeigt der Security Score eine Warnung zu diesem potenziellen Risiko an und empfiehlt, dass Sie die Ger?teverbindungen Ihrer Zutrittskontrolle sichern, um den Cybersicherheits-Score zu verbessern.

  Downgrade-Angriffe auf Hardware

Bei der ersten Online-Verbindung eines Leseger?ts ¨¹bertr?gt dieses eine Liste mit Funktionen an den Controller, darunter auch die Angabe, ob die Verschl¨¹sselung unterst¨¹tzt wird. Das Unterst¨¹tzen der Secure Channel-Verschl¨¹sselung ist aber nicht dasselbe wie ihre Durchsetzung.

Akzeptieren Ihre Ger?te also weiterhin nicht verschl¨¹sselte Daten, selbst wenn Ihre Zutrittskontroll-Leseger?te und Controller die Secure Channel-Verschl¨¹sselung unterst¨¹tzen und Sie die Funktion aktivieren?

Die Sicherheitsforscher stellten fest, dass sie die Kommunikation vom Leseger?t zum Controller abfangen konnten, indem sie ein Hacking-Ger?t mit einem bestimmten Leseger?t verdrahteten. Dann konnten sie dem Controller mitteilen, dass das Leseger?t keine verschl¨¹sselte Kommunikation unterst¨¹tzt. Dadurch wurde das Kommunikationsprotokoll herabgestuft, sodass sie Zugriff auf Berechtigungsinformationen erlangen konnten.

Wie k?nnen Sie dieses Risiko mindern?

  Sichere Ger?te ausw?hlen

Sie m¨¹ssen sich bewusst machen, dass diese Sicherheitsl¨¹cke Hardware-abh?ngig ist. Manche Hersteller von Zutrittskontrollger?ten bieten die Funktion an, Secure Channel zu erzwingen. Das bedeutet, dass das Ger?t jede nicht sichere Kommunikation ablehnt.

  OSDP-Konfigurationen pr¨¹fen

Sie k?nnen die OSDP-Konfiguration f¨¹r Ihren Controller ¨¹berpr¨¹fen. Jedes Ger?t ist anders. Erkundigen Sie sich daher bei den Anbietern Ihrer Zutrittskontroll-Hardware ¨¹ber diese Einstellung und stellen Sie sicher, dass Ihre Controller nicht verschl¨¹sselte Kommunikation ablehnen. Wenn Sie Hilfe zu Áú»¢¶·ÔÚÏß-spezifischen Ger?ten ben?tigen, wenden Sie sich an unser Support-Team.

  Angriff im Installationsmodus

Beim Einrichten neuer Leseger?te und Controller schalten einige Ger?te mit OSDP-Unterst¨¹tzung automatisch den ?Installationsmodus¡° ein. W?hrend dieser Einrichtung fragt das Leseger?t eine generischen Basisschl¨¹ssel beim Controller an. Wenn die Verbindung aufgebaut wurde und das Ger?t online ist, wird die verschl¨¹sselte Kommunikation wiederaufgenommen. Die Sicherheitsforscher haben aber festgestellt, dass Angreifer im Namen eines Ger?ts einen neuen Schl¨¹ssel anfordern k?nnen, wenn der Installationsmodus nicht deaktiviert wird. Dann k?nnten sie auf Ihr System und Ihre Daten zugreifen.

Wie k?nnen Sie dieses Risiko mindern?

  Erfahren, warum Áú»¢¶·ÔÚÏß-, Mercury- und Axis-Produkte sicher sind

Der Installationsmodus wird nicht bei allen OSDP-Ger?ten w?hrend der Einrichtung eingeschaltet. Bei Áú»¢¶·ÔÚÏß Produkten wie Synergis Cloud Link oder Roadrunner sowie den neuesten Mercury- und Axis-Ger?ten muss der Installationsmodus aktiv ¨¹ber eine Konfigurationskarte oder App vom Techniker eingeschaltet werden. Nachdem ein Leseger?t hinzugef¨¹gt wurde, verlassen diese Controller den Installationsmodus auch automatisch. Dadurch wird diese Sicherheitsl¨¹cke geschlossen und Ihre Systeme und Daten werden gesch¨¹tzt.

  • Es wird immer empfohlen, den Installationsmodus nur zu aktivieren, wenn Sie den ganzen Kanal kontrollieren k?nnen bzw. der ganze Kanal vertrauensw¨¹rdig ist.
  • Ein weiterer Tipp zur Risikominderung lautet, die Schl¨¹ssel separat auf Leseger?t und Controller bereitzustellen. Wenn das Leseger?t sich nicht im Installationsmodus befindet, sendet der Controller den Schl¨¹ssel nicht ¨¹ber OSDP. Nach der Aktivierung von Secure Channel versucht der Controller, eine sichere Verbindung mit dem Schl¨¹ssel herzustellen. Hinweis: Diese Funktion wird nicht von allen Ger?ten unterst¨¹tzt.
 

  Vorgehensweise, wenn Ihre Ger?te den Installationsmodus standardm??ig aktivieren

Auf Áú»¢¶·ÔÚÏß Synergis Cloud Link und Roadrunner sowie Mercury- und Axis-Ger?te trifft das wie bereits erw?hnt nicht zu. Bei all diesen Controllern muss der Installationsmodus manuell eingeschaltet werden. Nach der Einrichtung des Leseger?ts wird der Installationsmodus automatisch beendet. Wenn Sie aber andere Ger?te nutzen, bei denen der Installationsmodus standardm??ig aktiviert wird, sollten Sie diese Tipps ber¨¹cksichtigen:

  • Sorgen Sie f¨¹r eine sichere Implementierung. Achten Sie nach der Ger?teinstallation darauf, den Installationsmodus f¨¹r all Ihre OSDP-Ger?te wieder auszuschalten.
  • Bei einigen dieser Ger?te k?nnen Sie unter Umst?nden festlegen, dass der Installationsmodus nach einem bestimmten Zeitraum automatisch deaktiviert wird. Sie bieten m?glicherweise auch Berichtsfunktionen an, die melden, auf welchen Ger?ten der Installationsmodus noch eingeschaltet ist, damit Sie anf?llige Ger?te schnell identifizieren k?nnen.
  • Wenn der Installationsmodus bei Ihrem Ger?t automatisch aktiviert wird, fragen Sie den Zutrittskontrollanbieter nach anderen integrierten Schutzma?nahmen, die sicherstellen, dass der Installationsmodus nicht eingeschaltet bleibt.

  Schwache Verschl¨¹sselungsschl¨¹ssel

Es kann (wenn auch selten) vorkommen, dass einige Ger?tehersteller schwache Verschl¨¹sselungsschl¨¹ssel f¨¹r Kommunikationssitzungen verwenden. Zu dieser Vermutung kamen die Sicherheitsforscher, nachdem sie einen generischen fest codierten Schl¨¹ssel in einer Open-Source-OSDP-Bibliothek fanden. Da diese Schl¨¹ssel in der Regel bekannte und einfache Kompilierungen umfassen, konnten sie 768 m?gliche fest codierte Schl¨¹ssel generieren. Was ist hierbei die Bedrohung? Cyberkriminelle k?nnten dasselbe tun und ¨¹ber diese schwachen Schl¨¹ssel Brute-Force-Angriffe einleiten und Zugriff auf Ihr System erlangen.

Wie k?nnen Sie dieses Risiko mindern?

  Fest codierte Schl¨¹ssel bei der Installation austauschen

Auch bei dieser Sicherheitsl¨¹cke geht es um eine effektive Ger?teimplementierung. Wenn Sie Ger?te einsetzen, die generische, fest codierte Schl¨¹ssel verwenden, m¨¹ssen Sie diese durch eindeutige und nach Zufallsprinzip generierte Schl¨¹ssel ersetzen.

  OSDP-verifizierte Ger?te ausw?hlen

Diese Produkte wurden von SIA getestet und erf¨¹llen nachweislich die OSDP-Standards. Sie sind mit zahlreichen Sicherheitsfunktionen ausgestattet, wie die Unterst¨¹tzung eindeutiger und nach Zufallsprinzip generierter AES-128-Schl¨¹ssel f¨¹r Ihr OSDP-Ger?t. Fragen Sie bei Ihrem Anbieter nach, ob diese Funktion standardm??ig aktiviert ist oder manuell eingerichtet werden muss.

  Informationen zu Áú»¢¶·ÔÚÏß Ger?ten

Unsere L?sungen verwenden nie fest codierte Schl¨¹ssel. Sowohl mit Synergis Cloud Link als auch mit Synergis Cloud Link Roadrunner erhalten Sie nach dem Zufallsprinzip generierte AES-128-Schl¨¹ssel f¨¹r jedes Ger?t oder k?nnen Ihre eigenen sicheren Schl¨¹ssel konfigurieren.

  Installationsmodus erzwingen

Bei der letzten Sicherheitsl¨¹cke kann ein Ger?t nachtr?glich wieder in den Installationsmodus versetzt werden. Die Sicherheitsforscher erkl?rten, wie Hacker ein geheimes Abh?rger?t an der RS485-Verkabelung eines bestehenden Zutrittskontroll-Leseger?ts anbringen und das Ger?t manipulieren k?nnten, bis es ersetzt werden muss. Wenn das neue Leseger?t verbunden wird, kann das Abh?rger?t dann den Verschl¨¹sselungsschl¨¹ssel im Installationsmodus erfassen. Daraufhin k?nnten Hacker das Leseger?t nachahmen, um kritische Informationen zu stehlen. 

Wie k?nnen Sie dieses Risiko mindern?

  Ger?tealarme ernst nehmen

Sollte ein Ger?t offline gehen oder fortlaufend Probleme verursachen, pr¨¹fen Sie es ganz genau und ziehen Sie immer die M?glichkeit einer Bedrohung in Erw?gung. Sie k?nnen auch in Berichten zum Ger?testatus in Security Center nach Alarmen eines bestimmten Ger?ts suchen. So k?nnen Sie verd?chtige Ereignisse oder Muster erkennen und m?glicherweise einen versuchten Versto? offenlegen.

  Tempor?res Kabel bei der Installation verwenden

Wenn ein Abh?rger?t an Ihrer RS485-Verkabelung angebracht wurde, mindern Sie dieses Risiko, indem Sie ein tempor?res Kabel vom neuen Leseger?t zum Controller bei der Ger?tekoppelung verwenden. Dadurch k?nnen Sie die Ger?teverbindung sicher einleiten und die Installation ¨¹ber verschl¨¹sselte Kommunikation abschlie?en.

Checkliste f¨¹r OSDP-H?rtung und zuk¨¹nftige Innovationen von Áú»¢¶·ÔÚÏß

Cybersicherheitsbedrohungen entwickeln sich stets weiter. Diese OSDP-Sicherheitsl¨¹cken beweisen, wie wichtig es ist, nicht nur die Ger?te mit der gr??ten Cybersicherheit einzusetzen, sondern auch empfohlenen Best Practices zu folgen, um Bedrohungen abzuwehren.

Diese Checkliste enth?lt die besten Schutzvorkehrungen im Hinblick auf aktuelle OSDP-Bedrohungen:

  1. OSDP-verifizierte Ger?te ausw?hlen
  2. Secure Channel-Modus f¨¹r alle Ger?te aktivieren
  3. OSDP-Empfehlungen in H?rtungsleitf?den und Installationshandb¨¹chern befolgen
  4. Sichere Verschl¨¹sselungsschl¨¹ssel f¨¹r Ger?te konfigurieren
  5. Installationsmodus nur aktivieren, wenn der ganze Kanal vertrauensw¨¹rdig ist
  6. Wenn der Installationsmodus auf Ihrem Ger?t standardm??ig aktiviert wird, den Modus nach der Ger?teinstallation beenden (ger?tespezifische Empfehlung)
  7. Neue Leseger?te ¨¹ber eine direkte Verbindung zum Controller installieren
  8. Security Score pr¨¹fen und Best Practices befolgen
  9. Ger?tealarme pr¨¹fen und gr??ere Probleme anhand von Berichten identifizieren
  10.  Weitere Support-Hilfe und Informationen von vertrauensw¨¹rdigen Anbietern einholen
 

Diese Tipps sind nur der Anfang. Wir bei Áú»¢¶·ÔÚÏß arbeiten auch proaktiv mit unseren Partnern f¨¹r Zutrittskontrolltechnologie zusammen, um OSDP-bezogene Ger?tefunktionen zu identifizieren und aufzulisten.

Zudem untersuchen wir neue M?glichkeiten zur Minderung dieser OSDP-Risiken in unserer Security Center-Plattform. Wir informieren Sie dar¨¹ber, sobald es etwas zu berichten gibt. Sollten Sie in der Zwischenzeit Fragen haben oder Hilfe ben?tigen, .

 
Download des Whitepapers
Freigeben
Zur¨¹ck zu Blog

Verwandte Inhalte

Security Center Synergis? zur St?rkung des Zutrittskontrollsystems und zum Schutz vor Cyberbedrohungen
Risiken veralteter Zutrittskontrollsysteme

Stellt Ihr Zutrittskontrollsystem ein Risiko f¨¹r Ihre Sicherheitsinfrastruktur dar? Erfahren Sie, welche Auswirkungen veraltete Zutrittskontrollsysteme haben k?nnen und wie Sie Ihr Unternehmen sch¨¹tzen.

Weitere Informationen
Wie unterscheiden sich nicht-propriet?re und propriet?re Zutrittskontrollsysteme voneinander?
Propriet?re vs. nicht-propriet?re Zutrittskontrollsysteme

Sie fragen sich, wo der Unterschied zwischen nicht-propriet?ren und propriet?ren Zutrittskontrollsystemen ist? Erfahren Sie, welche Vor- und Nachteile diese zwei Systeme haben.

Weitere Informationen
Neuigkeiten in der n?chsten Generation von Synergis Cloud Link

Die neue Gerenation vom PoE-f?higen IoT-Gateway f¨¹r die Zutrittskontrolle Synergis? Cloud Link ist jetzt verf¨¹gbar. Mit neuen Features erm?glicht Synergis Cloud Link eine bessere Vorbereitung auf k¨¹nftige Investitionen und bieten eine erweiterte Sicherheit, wobei es seine bekannte, praktische Form beh?lt. Aufbau auf neuer innovativer Hardware-Plattform f¨¹r besseren Support von On-Premises, Hybrid- oder Full-Cloud-Architekturen.

Weitere Informationen
Weitere Inhalte
Produkte
Partner
Unternehmen
Mit uns vernetzen
? 1997-2025 Áú»¢¶·ÔÚÏß Alle Rechte vorbehalten.
Datenschutz | Nutzungsbedingungen | Rechtliche Hinweise | Sichere Kommunikation | Gesellschaftliche Unternehmensverantwortung | Voreinstellungen f¨¹r Cookies und E-Mails | Voreinstellungen f¨¹r Cookies
²Ñ´Ç°ù±ð¡­