Wie verhindern Sie, dass Ihre Firmenausweise im nächsten Copyshop geklont werden?

Viele Schweizer Sicherheitsverantwortliche wiegen sich in falscher Sicherheit. Das Zutrittssystem funktioniert seit Jahren tadellos, die Badges öffnen die Türen, und es gab nie einen nennenswerten Vorfall. Diese trügerische Ruhe basiert jedoch auf einer Technologie, die hoffnungslos veraltet ist. Die Annahme, dass ein Firmenausweis per se sicher ist, ist ein gefährlicher Trugschluss, vergleichbar mit dem Glauben, ein einfacher Bartschlüssel könne ein modernes Hochsicherheitsschloss ersetzen. In der Vergangenheit waren für das Klonen von RFID-Karten teure Spezialausrüstung und tiefgreifendes technisches Wissen erforderlich. Diese Zeiten sind vorbei.

Das eigentliche Problem liegt nicht mehr in der potenziellen, theoretischen Gefahr, sondern in der Kommodifizierung des Klonens. Werkzeuge, die früher nur Geheimdiensten oder spezialisierten Hackern zur Verfügung standen, sind heute für jedermann als günstige Gadgets online erhältlich. Diese Entwicklung verändert die Risikobewertung fundamental. Es geht nicht mehr darum, *ob* Ihre veralteten Karten geklont werden können, sondern *wann* und mit welch geringem Aufwand. Die Debatte darf sich daher nicht länger um die reine Funktionalität drehen – „der Badge sperrt ja die Tür“ – sondern muss die massiven betriebswirtschaftlichen und rechtlichen Konsequenzen in den Fokus rücken.

Doch wenn die technologische Notwendigkeit so offensichtlich ist, warum zögern dann so viele Unternehmen beim Upgrade? Die Antwort liegt oft in der Angst vor hohen Kosten, komplexen Migrationsprojekten und Betriebsunterbrüchen. Dieser Artikel durchbricht diese Denkblockade. Statt die bekannte Gefahr zu wiederholen, zeigen wir Ihnen den pragmatischen Weg auf. Wir beweisen, dass die Migration von alten Legic- oder Mifare-Systemen keine unüberwindbare Hürde, sondern eine kalkulierbare, strategische Investition in die operative Resilienz und Compliance Ihres Unternehmens ist. Wir analysieren die spezifischen Risiken im Schweizer Kontext, vergleichen die führenden Technologien und bieten einen konkreten Fahrplan für eine erfolgreiche Umstellung.

Dieser Leitfaden bietet Ihnen eine umfassende Übersicht über die Risiken und Lösungen im Bereich der Zutrittskontrolle. Er ist so strukturiert, dass Sie von der Problemanalyse bis zur praktischen Umsetzung alle relevanten Aspekte nachvollziehen können.

Warum Ihre alten 125kHz-Badges so unsicher sind wie ein Schlüssel unter der Fussmatte

Die grösste Schwachstelle vieler noch im Einsatz befindlicher Zutrittssysteme ist ihre Basistechnologie: 125-kHz-RFID. Diese Technologie, oft in älteren Legic Prime oder Mifare Classic Installationen zu finden, überträgt eine feste, unverschlüsselte Identifikationsnummer. Ein Lesegerät fragt die Karte an, und die Karte antwortet immer mit derselben ID. Dies ist technologisch äquivalent zu jemandem, der seinen Hausschlüssel laut in die Menge ruft, damit die Tür ihn erkennt. Es bietet keinerlei Schutz gegen einfaches Abhören und Kopieren.

Was dieses theoretische Risiko heute so brandgefährlich macht, ist die Demokratisierung der Angriffswerkzeuge. Ein Gerät wie der Flipper Zero, der aussieht wie ein Kinderspielzeug, ist in der Lage, die ID eines 125-kHz-Badges in Sekundenschnelle aus wenigen Zentimetern Entfernung zu lesen und auf einen leeren Badge zu schreiben. Ein solcher Vorgang dauert nicht länger als das Warten auf einen Kaffee. Erschreckenderweise ist dieses Gerät völlig legal und in der Schweiz für unter CHF 200 erhältlich. Die Eintrittsbarriere für einen physischen Angriff auf Ihr Unternehmen ist damit praktisch auf null gesunken.

Studien und Sicherheitstests belegen diese Schwäche seit Jahren. Eine Analyse zeigt, dass 125kHz RFID-Karten für Tür-Zutrittssysteme systematisch einfach auslesbar und schnell zu kopieren sind. Sie stellen ein erhebliches Sicherheitsrisiko dar, vergleichbar mit einem ungesicherten mechanischen Schlüssel. Ein geklonter Badge hinterlässt keine Einbruchsspuren und untergräbt die gesamte Protokollierung Ihres Systems. Wenn Sie nicht wissen, wer Ihr Gebäude wirklich betreten hat, ist die gesamte Investition in die Zutrittskontrolle wertlos.

Wie organisieren Sie die Rückgabe von Badges bei Austritten lückenlos?

Ein oft unterschätztes Sicherheitsrisiko ist nicht die ausgeklügelte Cyber-Attacke, sondern der schlampige Offboarding-Prozess. Ein nicht zurückgegebener oder zu spät deaktivierter Badge eines ehemaligen Mitarbeiters ist eine offene Einladung für unautorisierten Zutritt. Ein lückenloser Prozess ist daher keine bürokratische Übung, sondern ein entscheidender Baustein der physischen Sicherheit. Die Verantwortung darf nicht allein bei der HR-Abteilung liegen; es bedarf eines technisch und organisatorisch wasserdichten Systems, das menschliche Fehler minimiert.

Die grösste Herausforderung besteht darin, den Informationsfluss zwischen Personalwesen und Sicherheitssystem zu automatisieren. Manuelle Prozesse, bei denen eine E-Mail vom HR an die IT gesendet wird, sind fehleranfällig und langsam. Der Schlüssel liegt in der direkten Systemintegration. Moderne Zutrittskontrollsysteme bieten APIs (Programmierschnittstellen), die eine nahtlose Anbindung an Schweizer HR-Softwarelösungen wie Abacus oder Soreco ermöglichen. Sobald im HR-System ein Austrittsdatum erfasst wird, kann der zugehörige Badge automatisch zum exakten Zeitpunkt des Vertragsendes, beispielsweise um Mitternacht, deaktiviert werden.

Besondere Aufmerksamkeit erfordern flexible Arbeitsverhältnisse wie Temporärmitarbeiter, Freelancer oder Grenzgänger. Hier müssen die Verantwortlichkeiten klar definiert und die Prozesse entsprechend angepasst werden. Wer ist für die Rückgabe des Badges eines Agenturmitarbeiters verantwortlich? Wie wird der Zutritt für einen externen Berater nach Projektende sofort widerrufen? Ohne klare, im Voraus definierte Regeln entstehen gefährliche Sicherheitslücken. Ein solides System ermöglicht es zudem, flexibel und schnell auf neue Bedürfnisse zu reagieren. Die Erstellung einer nahezu unbegrenzten Anzahl zusätzlicher Badges für kurzfristige Projekte ist unproblematisch, solange deren Deaktivierung ebenso rigoros gehandhabt wird.

Legic Advant vs. Mifare DESFire: Welcher Standard hat in der Schweiz die Nase vorn?

Wenn Sie sich für ein Upgrade entscheiden, stehen Sie vor der Wahl des richtigen Technologiestandards. Die gute Nachricht: Die Zeit der unsicheren 125-kHz-Systeme ist vorbei. Moderne Systeme setzen auf die Frequenz 13,56 MHz und integrieren fortschrittliche Verschlüsselungsmechanismen. In der Schweiz haben sich zwei Standards als führend herauskristallisiert: Legic Advant und Mifare DESFire. Beide gelten als sicher und stellen einen Quantensprung gegenüber ihren Vorgängern dar.

Mifare DESFire, entwickelt von NXP Semiconductors, ist ein weltweit verbreiteter, offener Standard. Seine Stärke liegt in der hohen Sicherheit (AES-Verschlüsselung) und der Flexibilität. Viele verschiedene Hardware-Hersteller bieten DESFire-kompatible Leser und Karten an, was eine gewisse Unabhängigkeit vom Anbieter ermöglicht. Die aktuellen Versionen (EV2/EV3) bieten erweiterte Sicherheitsmerkmale und sind für komplexe Multi-Applikations-Szenarien geeignet, bei denen ein Badge nicht nur Türen öffnet, sondern auch für die Zeiterfassung oder das bargeldlose Bezahlen in der Kantine genutzt wird.

Legic Advant, vom Schweizer Unternehmen Legic Identsystems AG entwickelt, geniesst im Heimmarkt eine besonders starke Stellung. Der Vorteil von Legic liegt in seinem umfassenden Ökosystem und der einfachen Verwaltung von Berechtigungen. Legic agiert als „Trusted Service“ und stellt die kryptografischen Schlüssel für die Kommunikation zwischen Karte und Leser bereit. Dies vereinfacht die Implementierung, schafft aber auch eine stärkere Bindung an das Legic-System. Insbesondere Schweizer Schliesstechnik-Hersteller wie Kaba (dormakaba) haben traditionell eine enge Partnerschaft mit Legic, weshalb viele bestehende Installationen auf dieser Technologie basieren.

RFID der dritten/aktuellen Generation gelten als sicher. Dazu gehören 13,56-MHz-Systeme, wie LEGIC advant ATC4096-MP311 und ATC-4096-MP313 sowie MIFARE DESFire (EV1/EV2/EV3).

– Interflex Schweiz, Sicherheit in der Zutrittskontrolle

Die Wahl zwischen Legic Advant und Mifare DESFire ist in der Schweiz oft weniger eine Frage der Sicherheit als vielmehr der Strategie und der bestehenden Infrastruktur. Beide bieten einen exzellenten Schutz. Wenn Sie bereits auf einen Hersteller wie Kaba setzen, ist der Weg zu Legic Advant oft naheliegend. Wenn Sie maximale Anbieterunabhängigkeit und einen globalen Standard bevorzugen, ist Mifare DESFire eine hervorragende Wahl. Entscheidend ist der Schritt weg von 125 kHz hin zu einer dieser modernen, verschlüsselten Technologien.

Das Risiko, wenn Mitarbeiter ihre Badges untereinander tauschen, „um schnell zu helfen“

Eine der trügerischsten Sicherheitslücken entsteht nicht durch böswillige Angreifer von aussen, sondern durch gut gemeinte, aber fatale Handlungen von innen: dem Tausch von Badges unter Kollegen. Ein Satz wie „Kannst du mir kurz deinen Badge geben, ich muss nur schnell etwas aus dem Serverraum holen“ kann für ein Unternehmen, insbesondere im regulierten Umfeld, katastrophale Folgen haben. Dieses Verhalten untergräbt das Fundament jedes Zutrittskontrollsystems: die eindeutige und nachvollziehbare Identifikation einer Person.

Das Kernproblem ist die Zerstörung der Audit-Integrität. Die Protokolldateien (Audit-Logs) des Systems sind ein zentrales Beweismittel für Compliance-Audits, interne Untersuchungen oder die Klärung von Vorfällen. Wenn ein Badge getauscht wird, zeichnet das System eine falsche Information auf. Es protokolliert, dass Mitarbeiter A den Serverraum betreten hat, obwohl es in Wirklichkeit Mitarbeiter B war, der dazu vielleicht gar keine Berechtigung hatte. Diese Falschinformation macht die gesamten Logs wertlos und kann bei einer Prüfung zu schwerwiegenden Beanstandungen führen.

Um diesem Risiko zu begegnen, ist ein mehrstufiger Ansatz nötig. An erster Stelle steht die Sensibilisierung. Mitarbeiter müssen verstehen, dass der Firmenbadge wie ein persönlicher, digitaler Schlüssel zu behandeln ist und dass sie für dessen Gebrauch haften – auch im Kontext des neuen Datenschutzgesetzes (nDSG). Diese Verantwortung muss in den Arbeitsverträgen und internen Richtlinien klar verankert sein. Technisch können Massnahmen wie Anti-Passback-Funktionen helfen, die verhindern, dass ein Badge zweimal für das Betreten einer Zone verwendet wird, ohne zwischendurch zum Verlassen genutzt worden zu sein. An besonders kritischen Zugängen (z.B. Rechenzentren, Archive) kann eine Zwei-Faktor-Authentifizierung mittels biometrischer Merkmale (Fingerabdruck, Gesichtserkennung) oder PIN-Code die alleinige Verwendung des Badges ergänzen und so den Tausch verunmöglichen.

Wann ist der beste Zeitpunkt für den Austausch von 1000 Lesern und Karten?

Die Entscheidung für ein Upgrade ist gefallen, doch nun stellt sich die operative Kernfrage: Wie und wann führt man ein solch grosses Projekt durch, ohne den Betriebsablauf empfindlich zu stören? Die Migration von hunderten oder gar tausenden Lesern und Karten erfordert eine sorgfältige Planung. Der richtige Zeitpunkt ist entscheidend für den Erfolg und die Akzeptanz des Projekts. Glücklicherweise bietet der Schweizer Arbeitskalender dafür natürliche, ideale Zeitfenster.

Für die meisten Unternehmen in der Schweiz eignen sich insbesondere zwei Perioden für eine solch grundlegende Umstellung. Erstens, die Betriebsferien im Sommer, die vor allem in der Bau- und Industriebranche üblich sind. Während dieser Zeit ist die Belegschaft stark reduziert, was den Austausch von Hardware in Büros und Produktionsstätten massiv erleichtert. Das zweite ideale Fenster ist die Zeit zwischen Weihnachten und Neujahr. Auch hier ist die Anwesenheit in den meisten Betrieben auf ein Minimum reduziert, was Technikern einen störungsfreien Zugang zu allen relevanten Türen und Infrastrukturen ermöglicht. Die komplette technische Migration von 1000 Lesern und Karten dauert je nach Komplexität typischerweise 2-4 Wochen, was gut in diese ruhigeren Phasen passt.

Die finanzielle Planung ist ebenso entscheidend. Ein Projekt dieser Grössenordnung muss budgetiert werden. Idealerweise beantragen Sie das Projekt im dritten Quartal (Q3) für das Budget des Folgejahres. Um die Geschäftsleitung zu überzeugen, ist eine reine Sicherheitsargumentation oft nicht ausreichend. Erstellen Sie eine fundierte ROI-Rechnung (Return on Investment). Diese sollte nicht nur die Sicherheitsgewinne qualitativ beschreiben, sondern auch die potenziellen Kosteneinsparungen und Effizienzsteigerungen in Franken und Rappen beziffern. Dazu gehören die Vermeidung von Kosten bei Schlüsselverlusten, die Reduktion des administrativen Aufwands durch Automatisierung und die möglichen Synergien durch Multi-Applikations-Karten (z.B. Zeiterfassung, Kantine, E-Ladestationen).

Ein weiterer, spezifisch schweizerischer Aspekt ist die Mehrsprachigkeit. Für Unternehmen mit Standorten in Zürich, Genf und Lugano muss die Umstellung sorgfältig koordiniert werden. Die Kommunikation an die Mitarbeiter sowie die Schulungen für die neuen Systeme müssen zwingend in allen drei Landessprachen (Deutsch, Französisch, Italienisch) professionell vorbereitet und durchgeführt werden, um Akzeptanz zu schaffen und Anwendungsfehler zu vermeiden.

SMS, App oder Hardware-Token: Was ist für Schweizer Banken-Standards wirklich sicher genug?

Die Diskussion um sichere Identifikation geht weit über physische Türen hinaus. Im digitalen Raum, insbesondere im hochregulierten Schweizer Finanzsektor, sind die Anforderungen an die Authentifizierung von Kunden und Mitarbeitern nochmals deutlich strenger. Die Frage, welche Methode „sicher genug“ ist, wird hier direkt von der Eidgenössischen Finanzmarktaufsicht (FINMA) beantwortet. Methoden, die in anderen Branchen als ausreichend gelten, können hier bereits als veraltet und unsicher eingestuft werden.

Die FINMA stellt in ihren Rundschreiben, insbesondere im Rundschreiben 2023/1 ‚Operationelle Risiken und Resilienz – Banken‘, hohe Anforderungen an die Kundenauthentifizierung. Eine einfache Zwei-Faktor-Authentifizierung mittels SMS-TAN (Transaktionsnummer), die per SMS versendet wird, gilt heute als nicht mehr ausreichend sicher. Der Grund dafür ist die zunehmende Gefahr des „SIM-Swapping“, bei dem Betrüger die Mobilfunkanbieter täuschen, um die Handynummer des Opfers auf eine neue SIM-Karte zu übertragen und so die SMS-Codes abzufangen. Diese Methode ist zu anfällig und erfüllt die strengen regulatorischen Anforderungen nicht mehr.

Stattdessen haben sich in der Schweizer Bankenlandschaft App-basierte Verfahren als De-facto-Standard durchgesetzt. Bei Grossbanken wie der UBS, der fusionierten Credit Suisse und den meisten Kantonalbanken sind Methoden wie PhotoTAN oder CrontoSign etabliert. Bei diesen Verfahren wird ein farbiger, kryptografischer Mosaik-Code vom Bildschirm abfotografiert. Die dazugehörige, gesicherte App auf dem Smartphone des Nutzers entschlüsselt diesen Code und generiert daraus eine einmalige, an die spezifische Transaktion gebundene Bestätigungsnummer. Dieses Verfahren ist deutlich resistenter gegen Phishing und Man-in-the-Middle-Angriffe, da die Transaktionsdaten in den Mosaik-Code eingebettet sind und vom Nutzer auf dem Smartphone nochmals verifiziert werden können.

Für höchste Sicherheitsanforderungen kommen nach wie vor dedizierte Hardware-Tokens zum Einsatz. Diese kleinen Geräte sind nicht mit dem Internet verbunden und somit immun gegen Online-Angriffe. Sie generieren auf Knopfdruck einen Code oder arbeiten, ähnlich wie die App-Lösungen, mit optischen Signalen. Während App-Lösungen für die meisten Anwendungsfälle einen exzellenten Kompromiss aus Sicherheit und Benutzerfreundlichkeit bieten, bleiben Hardware-Tokens der Goldstandard für den Schutz besonders kritischer Zugänge. Die Wahl der richtigen Methode hängt vom Schutzbedarf ab, aber die SMS hat im Hochsicherheitsumfeld ausgedient.

Zertifikate oder Billig-Import: Worauf müssen Sie beim Kauf von Sensoren achten?

Die Sicherheit einer Kette ist durch ihr schwächstes Glied bestimmt. Im Kontext eines Zutrittskontrollsystems kann dieses schwächste Glied der RFID-Leser oder sogar der Badge selbst sein, wenn bei der Beschaffung nur auf den Preis und nicht auf die zertifizierte Qualität geachtet wird. Der Markt ist überschwemmt mit günstigen RFID-Komponenten aus nicht verifizierbaren Quellen, die zwar als „kompatibel“ beworben werden, aber keinerlei Garantie für echte Sicherheit bieten.

Der entscheidende Unterschied zwischen einem hochwertigen Markenprodukt und einem Billig-Import liegt in der nachweisbaren Vertrauenswürdigkeit. Ein als „DESFire-kompatibel“ beworbener Badge aus einem nicht verifizierten China-Import mag auf den ersten Blick funktionieren, doch Sie haben keine Gewissheit, dass die implementierten Sicherheitsmerkmale echt sind. Es besteht das Risiko, dass die Verschlüsselung fehlerhaft ist oder – noch schlimmer – dass die Hardware versteckte Hintertüren („Backdoors“) enthält, die dem Hersteller oder Dritten einen unbemerkten Zugang ermöglichen. Die Lieferkette ist hier ein kritischer Faktor. Beziehen Sie Hardware ausschliesslich von verifizierten Schweizer Distributoren, die eine lückenlose und dokumentierte Supply-Chain vorweisen können.

Ein als ‚DESFire-kompatibel‘ beworbener Badge aus einem nicht verifizierten China-Import ist wie ein gefälschter Sensor: Er mag funktionieren, aber Sie haben keine Garantie, dass die Sicherheitsmerkmale echt sind oder keine Backdoors enthalten.

– Nationales Zentrum für Cybersicherheit, Warnung vor unsicheren Import-Produkten

Achten Sie bei der Auswahl von Lesern und Karten auf anerkannte Zertifizierungen. In Europa ist die Zertifizierung nach BSI Common Criteria (EAL4 oder höher) ein wichtiger Indikator für geprüfte Sicherheit. Diese Zertifizierung bestätigt, dass das Produkt einer rigorosen, unabhängigen Sicherheitsüberprüfung durch das deutsche Bundesamt für Sicherheit in der Informationstechnik standgehalten hat. Für Betreiber kritischer Infrastrukturen in der Schweiz sind zudem die Empfehlungen des Nationalen Zentrums für Cybersicherheit (NCSC) zu beachten. Die Investition in zertifizierte Produkte von etablierten Herstellern ist keine Geldverschwendung, sondern eine essenzielle Massnahme zur Sicherstellung der digitalen Souveränität und zur Vermeidung von unkalkulierbaren Risiken durch manipulierte Hardware.

Wie senken Sie die Kosten für Schlüsselverluste um 90% durch digitale Schliesszylinder?

Einer der grössten versteckten Kostenfaktoren bei mechanischen Schliessanlagen sind die Folgekosten eines einzigen Schlüsselverlusts. Geht ein mechanischer Master-Schlüssel oder ein Generalschlüssel für ein grösseres Gebäude verloren, sind die Konsequenzen dramatisch. Um die Sicherheit wiederherzustellen, müssen im schlimmsten Fall Dutzende oder gar Hunderte von Zylindern ausgetauscht und neue Schlüssel an alle Mitarbeiter verteilt werden. Dies ist nicht nur ein logistischer Albtraum, sondern auch ein enormer Kostenpunkt.

Der finanzielle Unterschied zwischen der analogen und der digitalen Welt ist hier gewaltig. Während der Verlust eines Master-Schlüssels für ein Kaba-System in Zürich über 10’000 CHF kosten kann, belaufen sich die Kosten für das Sperren eines verlorenen digitalen Schlüssels (also eines Badges) auf exakt null Franken. Der verlorene Badge wird mit wenigen Klicks in der Verwaltungssoftware gesperrt und ist sofort wertlos. Ein neuer Badge wird programmiert und dem Mitarbeiter übergeben – der Vorgang dauert wenige Minuten und kostet nur den Materialwert der neuen Karte.

Die wahre Stärke moderner Systeme liegt in der nahtlosen Integration von Online-Zutrittslesern (an den Haupttüren) und Offline-Komponenten wie digitalen Schliesszylindern oder Türbeschlägen. Hersteller wie SEA, SimonsVoss oder Kaba bieten digitale Zylinder an, die sich perfekt in bestehende Schweizer Schliesssysteme integrieren lassen. Diese batteriebetriebenen Zylinder benötigen keine Verkabelung und können einfach anstelle der alten mechanischen Zylinder montiert werden. Der Clou: Der gleiche Legic- oder Mifare-Badge, der die Haupteingangstür öffnet, kann auch für das Öffnen des eigenen Büros, des Serverschranks oder des persönlichen Schliessfachs verwendet werden. Alle Berechtigungen werden zentral über eine einzige Software verwaltet, die idealerweise in der Schweiz gehostet wird, um die volle Datensouveränität zu gewährleisten.

Diese Integration schafft nicht nur enorme Kostenvorteile bei Schlüsselverlust, sondern steigert auch die Flexibilität und die Sicherheit. Berechtigungen können in Echtzeit geändert werden. Ein Mitarbeiter verlässt das Unternehmen? Sein Zutritt zu allen Türen, inklusive seines Spinds, wird gleichzeitig gesperrt. Ein Projektteam benötigt temporären Zugang zu einem bestimmten Raum? Die Berechtigung wird für den definierten Zeitraum freigeschaltet und erlischt danach automatisch. Diese Umstellung ist die effektivste Einzelmassnahme, um die laufenden Kosten der Zutrittsverwaltung drastisch zu senken.

Die Zeit der passiven Duldung veralteter Sicherheitssysteme ist vorbei. Die dargestellten Risiken – von der einfachen Klonbarkeit bis hin zu Compliance-Verstössen – stellen eine unmittelbare Gefahr dar. Der nächste logische Schritt ist nicht, weiter zu warten, sondern aktiv zu werden. Beginnen Sie noch heute mit einer fundierten Bewertung Ihres aktuellen Zutrittskontrollsystems, um Schwachstellen zu identifizieren und den Weg für eine sichere und wirtschaftliche Zukunft zu ebnen.