Wie verhindern Sie das Klonen von Mitarbeiter-Badges durch sichere RFID-Technologie?

Als Sicherheitsverantwortlicher in einem Schweizer Unternehmen beobachten Sie täglich Dutzende, vielleicht Hunderte von Mitarbeitenden, die ihre Badges an Lesegeräte halten. Ein alltäglicher, reibungsloser Vorgang. Doch hinter dieser Fassade der Normalität lauert eine kritische Frage: Wie sicher ist dieser Vorgang wirklich? Die Vorstellung, dass einer dieser Badges in wenigen Sekunden von einem Angreifer mit einem simplen Gerät aus der Hosentasche geklont werden könnte, ist alarmierend. Viele Unternehmen glauben, die Lösung liege im Austausch der physischen Karten. Doch das ist nur ein kleiner Teil der Wahrheit und greift zu kurz.

Das eigentliche Problem ist tiefer und systemischer Natur. Es liegt nicht nur in der veralteten Technologie, sondern auch in den Prozessen, die den gesamten Lebenszyklus eines Zutrittsmediums umgeben – von seiner Ausgabe über die Verwaltung bis zu seiner Deaktivierung. Die wahre Sicherheit eines RFID-Systems bemisst sich nicht an der Komplexität des Badges allein, sondern an der Robustheit des gesamten Sicherheits-Ökosystems. Veraltete Standards wie 125 kHz sind dabei nur die Spitze des Eisbergs; unsaubere Offboarding-Prozesse und ein nachlässiges Management kryptografischer Schlüssel stellen mindestens ebenso grosse Angriffsvektoren dar.

Dieser Artikel bricht mit der oberflächlichen Diskussion über „sichere Badges“. Stattdessen führen wir Sie durch den gesamten Credential-Lebenszyklus. Wir nehmen eine detaillierte, sicherheitskritische Perspektive ein, die speziell auf die Herausforderungen von Schweizer Unternehmen zugeschnitten ist, die veraltete Systeme wie Legic prime ersetzen müssen. Wir analysieren technische Schwachstellen, beleuchten prozessuale Versäumnisse und zeigen strategische Lösungswege auf, um eine wirklich zukunftssichere und resiliente Zutrittskontrolle aufzubauen.

Der folgende Leitfaden bietet Ihnen eine strukturierte Übersicht über die kritischsten Aspekte der RFID-Sicherheit. Er ist als strategische Entscheidungshilfe konzipiert, die Ihnen hilft, die richtigen Fragen zu stellen und die notwendigen Massnahmen für Ihr Unternehmen zu ergreifen.

Warum alte 125kHz-Badges so unsicher sind wie ein Schlüssel unter der Fussmatte?

Die grösste Schwachstelle vieler noch im Einsatz befindlicher Zutrittssysteme liegt in ihrer Frequenz und der damit verbundenen Technologie. Systeme, die im Niederfrequenzbereich (LF) bei 125 kHz arbeiten, sind aus technischer Sicht historisch. Ihre Funktionsweise ist oft erschreckend simpel: Der Transponder im Badge sendet bei Annäherung an ein Lesegerät eine feste, unverschlüsselte Seriennummer (Unique ID). Diese Nummer ist mit einem Nutzer in der Datenbank verknüpft. Ein Angreifer muss also lediglich diese Seriennummer kopieren, um einen funktionierenden Klon zu erstellen. Geräte dafür sind frei im Internet erhältlich und erfordern kein tiefes Fachwissen.

Systeme wie der frühe Legic prime Standard oder ältere Kaba-Varianten basieren auf proprietären Sicherheitsmechanismen, die über die Jahre analysiert und gebrochen wurden. Sie bieten keine adäquate Sicherheit mehr gegen die heutigen, leicht zugänglichen Klon-Werkzeuge. Der Vergleich mit einem Schlüssel unter der Fussmatte ist treffend: Die „Sicherheitsmassnahme“ ist bekannt, leicht zu umgehen und bietet nur eine trügerische Sicherheit. Jeder, der weiss, wo er suchen muss, kann sich Zutritt verschaffen. Für einen Sicherheitsverantwortlichen bedeutet der Weiterbetrieb solcher Systeme die bewusste Akzeptanz eines unkalkulierbaren Risikos.

Im Gegensatz dazu arbeiten moderne Systeme im Hochfrequenzbereich (HF) bei 13.56 MHz. Diese Frequenz allein ist kein Garant für Sicherheit, aber sie bildet die Basis für fortschrittliche Protokolle, die auf echter Kryptografie basieren. Anstatt nur eine statische ID zu senden, führen Badge und Lesegerät einen dynamischen, verschlüsselten „Handshake“ durch, der bei jeder Transaktion neu und einzigartig ist. Dies macht das simple Kopieren der Kommunikation nutzlos.

Wie organisieren Sie die Rückgabe von Badges bei Austritten lückenlos?

Ein Austritt eines Mitarbeitenden ist einer der kritischsten Momente im Lebenszyklus einer Zutrittsberechtigung. Hier manifestieren sich prozessuale Schwachstellen am deutlichsten. Ein physisch nicht zurückgegebener Badge ist ein offensichtliches Risiko, doch die eigentliche Gefahr liegt oft im Digitalen: ein nicht rechtzeitig oder unvollständig deaktiviertes Benutzerkonto. Die reine Rückgabe der Plastikkarte garantiert nichts, wenn die damit verknüpften digitalen Rechte im System aktiv bleiben. Ein Angreifer, der einen verlorenen oder gestohlenen Badge findet, könnte diesen weiterhin nutzen.

Ein lückenloser Offboarding-Prozess muss daher automatisiert, ereignisgesteuert und in das HR-System integriert sein. Sobald ein Austrittsdatum im HR-System erfasst wird, muss dies einen automatischen Workflow im Zutrittskontrollsystem auslösen. Dieser Prozess sollte die Berechtigungen des Badges zu einem exakt definierten Zeitpunkt (z.B. am letzten Arbeitstag um 18:00 Uhr) widerrufen – und zwar unwiderruflich. In der Schweiz, wo das Arbeitsrecht klare Regelungen zur Arbeitszeiterfassung und zum Datenschutz vorgibt, hilft ein solches System auch, rechtliche Konformität sicherzustellen, indem alle Zugriffsversuche manipulationssicher protokolliert werden.

Ein modernes System ermöglicht zudem eine flexible Verwaltung. Beispielsweise kann ein Mitarbeitender in seiner Kündigungsfrist automatisch auf einen eingeschränkten „Besucher“-Status zurückgestuft werden, der ihm nur noch Zugang zu allgemeinen Bereichen gewährt. Ein solch digitalisierter und automatisierter Prozess minimiert menschliches Versagen, schliesst Zeitfenster für Missbrauch und schafft eine nachvollziehbare Dokumentation, die im Ernstfall für forensische Analysen und die Einhaltung von Compliance-Vorgaben unerlässlich ist.

Welcher RFID-Standard bietet für Schweizer Unternehmen die beste Zukunftssicherheit?

Die Wahl des richtigen RFID-Standards ist eine strategische Entscheidung, die weit über die aktuelle Sicherheitslage hinausreicht. Es geht nicht darum, den heute „sichersten“ Standard zu finden, sondern einen, der kryptografische Agilität für die Zukunft verspricht. Die Halbwertszeit von Verschlüsselungsalgorithmen wird kürzer. Ein heute als sicher geltender Standard kann in fünf bis zehn Jahren kompromittiert sein. Zukunftssicherheit bedeutet also, auf offene, standardisierte und updatefähige Kryptografie zu setzen.

Proprietäre Systeme, auch wenn sie aktuell als sicher gelten, bergen das Risiko, dass ihre Sicherheitsmechanismen von einem einzigen Hersteller abhängen. Werden sie gebrochen, ist das gesamte System verwundbar, und man ist auf das Wohlwollen des Herstellers für ein Update angewiesen. Standards wie MIFARE DESFire EV2 oder EV3 sind hier klar im Vorteil. Sie basieren auf offenen, international anerkannten Verschlüsselungsalgorithmen wie dem Advanced Encryption Standard (AES). Dies ermöglicht nicht nur eine transparente Sicherheitsbewertung durch unabhängige Experten, sondern auch die Möglichkeit, die Schlüssellänge oder den Algorithmus in Zukunft anzupassen, sollte dies nötig werden.

Für Schweizer Unternehmen bedeutet dies eine Investition in Langlebigkeit und Unabhängigkeit. Man ist nicht an einen einzigen Anbieter gebunden und kann sicher sein, dass die Technologie von einer globalen Gemeinschaft von Sicherheitsexperten kontinuierlich überprüft wird. Wie Experten betonen, ist Sicherheit ein fortlaufender Prozess:

Wir empfehlen Ihnen dringend, Ihre Ausweistechnologie in regelmässigen Abständen zu überprüfen

– Interflex Schweiz, Sicherheit in der Zutrittskontrolle

Diese Empfehlung unterstreicht die Notwendigkeit, Sicherheit nicht als statisches Ziel, sondern als dynamischen Prozess zu verstehen. Die Wahl eines auf AES basierenden Standards wie MIFARE DESFire ist der erste Schritt, um die technologische Grundlage für diese Agilität zu schaffen.

Die Gefahr in der Kantine: Wie Hacker Badges im Vorbeigehen kopieren

Die Vorstellung, ein Hacker müsse einen Badge physisch entwenden, um ihn zu klonen, ist veraltet. Moderne Angriffe finden unbemerkt und aus der Distanz statt. Ein typisches Szenario ist ein sogenannter Relay-Angriff oder Skimming in einer belebten Umgebung wie einer Kantine, einem Aufzug oder einem Eingangsbereich. Der Angreifer nutzt ein unauffälliges Lesegerät, das in einer Tasche oder einem Rucksack versteckt sein kann. Dieses Gerät liest die Daten eines Badges aus der Nähe aus (Skimming) und leitet sie in Echtzeit an einen Komplizen weiter, der mit einem zweiten Gerät direkt vor der gesicherten Tür steht. Das System des Komplizen „spielt“ die empfangenen Signale ab, die Tür öffnet sich. Der Badge-Inhaber bemerkt von all dem nichts.

Diese Art von Angriff ist besonders perfide, da sie selbst bei einigen verschlüsselten Systemen funktionieren kann, wenn diese keine Schutzmechanismen gegen Relay-Angriffe (wie z.B. eine Distanzmessung) implementiert haben. Bei alten 125-kHz-Systemen ist es noch einfacher: Hier genügt es, die statische ID im Vorbeigehen zu kopieren und auf eine leere Karte zu schreiben. Der gesamte Vorgang dauert nur wenige Sekunden. Die wachsende Bedrohung durch solche Angriffe wird durch die allgemeine Kriminalitätsentwicklung untermauert. Gemäss aktueller Schweizer Kriminalstatistik gab es einen Anstieg der Straftaten von +8% im Jahr 2024, wobei insbesondere digitale Delikte stark zunahmen. Badge-Klonen ist die Brücke zwischen digitalem und physischem Einbruch.

Die einzige wirksame Gegenmassnahme ist der Einsatz von RFID-Technologien, die auf einem sicheren, dynamischen Challenge-Response-Verfahren mit moderner Verschlüsselung basieren. Hierbei tauschen Karte und Lesegerät bei jeder Kommunikation einzigartige, zeitlich begrenzte Informationen aus. Selbst wenn ein Angreifer diese Kommunikation aufzeichnet, kann er sie nicht zu einem späteren Zeitpunkt wiederverwenden („Replay-Angriff“), da sie bereits abgelaufen ist. Die Gefahr, dass jemand potenziell ohne physischen Kontakt auf sensible Informationen zugreifen kann, wird so massiv reduziert.

Wie integrieren Sie Zutritt, „Follow-Me-Printing“ und Kantinenbezahlung auf einem Chip?

Die Konsolidierung mehrerer Anwendungen auf einem einzigen Mitarbeiterausweis ist mehr als nur eine Frage der Bequemlichkeit. Es ist die Schaffung eines integrierten Sicherheits-Ökosystems. Ein Badge, der Türen öffnet, sicheres Drucken („Follow-Me-Printing“) autorisiert und als Zahlungsmittel in der Kantine dient, schafft Effizienz und verbessert die Nutzererfahrung. Doch diese Integration birgt auch neue Komplexitäten und Risiken. Eine unsicher implementierte Kantinen-Applikation könnte potenziell als Einfallstor dienen, um die Zutrittskontroll-Anwendung auf demselben Chip zu kompromittieren.

Die technische Voraussetzung für eine sichere Multi-Applikations-Lösung ist ein Chip mit einem sogenannten Secure Element. Dies ist ein geschützter Bereich auf dem Chip, der es ermöglicht, verschiedene Anwendungen in voneinander getrennten, verschlüsselten „Containern“ zu speichern. Jede Anwendung hat ihre eigenen kryptografischen Schlüssel und kann nicht auf die Daten der anderen zugreifen. Das Zutrittssystem kommuniziert also nur mit dem Zutritts-Container, das Drucksystem nur mit dem Druck-Container. Dies stellt sicher, dass eine Schwachstelle in einer Anwendung nicht das gesamte System gefährdet.

Die Implementierung eines solchen Ökosystems erfordert eine sorgfältige Planung und die Auswahl einer Technologieplattform, die diese logische Trennung unterstützt. MIFARE DESFire ist hier erneut ein führender Standard, da seine Dateisystem-Architektur explizit für solche Multi-Applikations-Szenarien entwickelt wurde. Für den Sicherheitsverantwortlichen bedeutet dies, bei der Evaluation nicht nur die einzelnen Funktionen zu betrachten, sondern die Gesamtarchitektur und die Fähigkeit der Plattform, eine sichere und skalierbare Integration zu gewährleisten.

Die Gefahr verwaister Benutzerkonten ehemaliger Mitarbeiter, die noch Zugriff haben

Die vielleicht subtilste, aber gefährlichste Schwachstelle im Credential-Lebenszyklus ist das „verwaiste Benutzerkonto“. Dies ist ein aktives Konto im Zutrittskontrollsystem, das einem ehemaligen Mitarbeiter gehört, dessen Badge als verloren oder nicht zurückgegeben gemeldet wurde. Das Konto selbst wurde jedoch nie aus dem System entfernt. Es ist ein digitaler Geist, der darauf wartet, reaktiviert zu werden. Findet ein Angreifer den „verlorenen“ Badge oder gelingt es ihm, einen Klon mit der korrekten ID zu erstellen, kann er sich sofort und unbemerkt Zutritt verschaffen, da das System das Konto als gültig erkennt.

Dieses Risiko ist keine theoretische Hypothese. Es ist eine direkte Folge unzureichender Audit-Prozesse. In einem dynamischen Unternehmen mit hoher Fluktuation können sich über die Jahre Dutzende solcher verwaisten Konten ansammeln. Sie sind tickende Zeitbomben im Sicherheitssystem. Die physische Bedrohung, die daraus resultiert, ist real: Aktuelle Polizeistatistiken für die Schweiz zeigen, dass es eine kontinuierlich hohe Zahl an Einbruchsdelikten gibt. Jede ungesicherte Tür ist eine Einladung. Ein verwaistes Konto schafft eine solche ungesicherte Tür auf digitalem Weg.

Die einzige Gegenmassnahme ist ein rigoroser und regelmässiger Audit-Prozess. Das Zutrittskontrollsystem muss regelmässig mit den aktuellen Daten des HR-Systems abgeglichen werden. Jedes Konto im Zutrittssystem, das keinem aktiven Mitarbeiter mehr zugeordnet werden kann, muss sofort deaktiviert oder gelöscht werden. Dieser Prozess sollte nicht manuell, sondern so weit wie möglich automatisiert erfolgen, um menschliche Fehler auszuschliessen.

Der Verlust des Private Keys: Wenn Sicherheit zum totalen Datenverlust führt

Moderne, verschlüsselte RFID-Systeme haben eine Achillesferse: das Management der kryptografischen Schlüssel. Ein Private Key ist das digitale Herzstück, das die gesamte Sicherheit des Systems garantiert. Mit ihm werden Badges signiert, Daten ver- und entschlüsselt und die Authentizität von Lesegeräten und Karten überprüft. Der Verlust dieses Schlüssels hat katastrophale Folgen, die in zwei Extreme fallen können: Entweder verliert das gesamte System seine Sicherheit, oder es verliert seine Funktionsfähigkeit.

Im ersten Szenario, dem Diebstahl des Private Keys, kann ein Angreifer beliebig viele gültige Badges erstellen, sich als jedes Lesegerät ausgeben und die gesamte Kommunikation abhören und manipulieren. Das Sicherheitssystem ist wertlos. Im zweiten, oft übersehenen Szenario, dem unwiederbringlichen Verlust des Schlüssels (z.B. durch Hardware-Defekt, menschliches Versagen, Ransomware), kann das Unternehmen keine neuen Badges mehr ausstellen oder sogar bestehende verwalten. Im schlimmsten Fall können Türen nicht mehr geöffnet werden, was zu einem totalen Betriebsstillstand führt. Die Sicherheit hat sich quasi selbst ausgeschaltet. Moderne RFID-Tags enthalten oft einen dedizierten Security Memory, der zwei 32-Bit-Passwörter speichert, um die Daten zu schützen, aber die Verwaltung der übergeordneten Systemschlüssel bleibt die zentrale Herausforderung.

Die einzig professionelle Lösung für dieses Problem ist die Verwendung eines Hardware Security Modules (HSM). Ein HSM ist ein spezialisierter, manipulationssicherer Computer, dessen einzige Aufgabe die Erzeugung, Speicherung und Verwaltung von kryptografischen Schlüsseln ist. Der Private Key verlässt das HSM niemals im Klartext. Alle kryptografischen Operationen finden innerhalb des geschützten Moduls statt. Selbst bei einem physischen Diebstahl des HSM ist es einem Angreifer nicht möglich, den Schlüssel zu extrahieren. Gepaart mit einer soliden Backup- und Disaster-Recovery-Strategie für die im HSM gespeicherten Schlüssel, ist dies der Goldstandard für ein robustes Restrisiko-Management.

Wie rüsten Sie Bestandsbauten kostengünstig auf elektronische Schliesssysteme um?

Die Umrüstung eines bestehenden Gebäudes, insbesondere eines Altbaus oder denkmalgeschützten Objekts, auf eine moderne, verkabelte Zutrittskontrolle kann schnell zu einem Kostenfaktor werden. Das Verlegen von Kabeln zu jeder einzelnen Tür ist aufwendig, störend und oft architektonisch nicht umsetzbar. Glücklicherweise bieten moderne RFID-Technologien heute flexible und kostengünstige Alternativen zur Vollverkabelung, die eine schrittweise und bedarfsgerechte Migration ermöglichen.

Kabellose Online-Lösungen und batteriebetriebene Systeme sind hier die Schlüsseltechnologien. Elektronische Zylinder oder Türbeschläge mit integriertem RFID-Leser können ohne bauliche Veränderungen an bestehenden Türen montiert werden. Sie kommunizieren drahtlos über ein Gateway mit dem zentralen Zutrittskontrollsystem. Dies ermöglicht eine Echtzeit-Verwaltung von Berechtigungen und die Protokollierung von Ereignissen, genau wie bei einer verkabelten Tür, aber ohne den Installationsaufwand. Diese Lösungen eignen sich perfekt für Bürotüren, Archive oder auch abgelegene Zugänge, bei denen eine Verkabelung unwirtschaftlich wäre. Die folgende Übersicht, wie eine Vergleichsanalyse von Interflex zeigt, fasst die Optionen zusammen.

Für einen Sicherheitsverantwortlichen bedeutet dies, dass eine Migration nicht mehr ein Alles-oder-Nichts-Projekt sein muss. Man kann strategisch vorgehen: Hochsicherheitsbereiche wie Serverräume oder Aussentüren werden vollverkabelt, während Innentüren im Bürobereich kosteneffizient mit kabellosen Systemen nachgerüstet werden. Dieser hybride Ansatz erlaubt es, das Sicherheitsniveau im gesamten Gebäude zu erhöhen und gleichzeitig das Budget und die betrieblichen Abläufe zu schonen.

Um die Sicherheit Ihrer Zutrittskontrolle nachhaltig zu gewährleisten, ist der nächste logische Schritt die Durchführung eines umfassenden Audits Ihrer aktuellen Infrastruktur. Beginnen Sie noch heute damit, die hier beschriebenen Schwachstellen in Ihrem eigenen System zu identifizieren und einen Migrationsplan zu entwickeln.