Zutrittskarten auf Baustellen: Warum MIFARE Classic unsicher ist und wie sichere Verschlüsselung funktioniert

Zutrittskarten gehören auf Baustellen zum Alltag. Doch die wenigsten wissen, dass sich die meisten Zutrittskarten in Sekunden kopieren lassen – mit Geräten für unter 50 Euro.

Ob für die digitale Zutrittskontrolle an Drehkreuzen, Türen oder Schranken – wer Baustellenausweise einsetzt, ohne auf die zugrunde liegende Verschlüsselungstechnologie zu achten, riskiert unbefugten Zutritt, Diebstahl und Manipulationen bei der Anwesenheitserfassung. UID-basierte Zutrittskarten und MIFARE Classic Karten lassen sich in Sekunden kopieren – mit frei erhältlichen Geräten für unter 50 Euro.

In diesem Beitrag erklären wir, warum UID-Auslesung und MIFARE Classic ein Sicherheitsrisiko darstellen und wie eine moderne, verschlüsselte Zutrittskontrolle für Baustellen auf Basis von MIFARE DESFire EV3 dieses Problem vollständig beseitigt.

Zutrittskarte kopieren: Warum UID-basierte RFID-Karten unsicher sind

Die meisten einfachen Zutrittssysteme lesen lediglich die UID (Unique Identifier) einer Karte aus – eine fest eingebrannte Seriennummer, die bei der Herstellung vergeben wird. Das Problem: Diese UID wird bei jedem Lesevorgang unverschlüsselt übertragen. Es findet keine Authentifizierung zwischen Karte und Leser statt.

Das bedeutet konkret:

• Jedes NFC-fähige Smartphone kann die UID einer Zutrittskarte in Sekundenschnelle auslesen.
• UID-Cloner sind ab ca. 30 Euro im Internet erhältlich und erstellen eine funktionsfähige Kopie auf eine leere Karte.
• Das Zutrittssystem kann nicht unterscheiden, ob es sich um die Originalkarte oder eine Kopie handelt.

Auf einer Baustelle bedeutet das: Jede Person, die auch nur kurz in die Nähe einer Zutrittskarte kommt, kann sich unbemerkt Zugang verschaffen. Unbefugte Personen, Diebstahl von Baumaterial und Manipulationen bei der Anwesenheitserfassung sind die Folge.

MIFARE Classic geknackt: Warum diese Zutrittskarten keine Sicherheit bieten

Viele Anbieter setzen auf MIFARE Classic Karten und bewerben diese als „sicher", weil sie im Gegensatz zur reinen UID-Auslesung eine Verschlüsselung bieten. Doch diese Sicherheit ist trügerisch.

MIFARE Classic verwendet den proprietären Crypto-1-Algorithmus, der bereits 2008 vollständig geknackt wurde. Seitdem sind mehrere Angriffsmethoden öffentlich dokumentiert:

• Darkside-Angriff: Ermöglicht das Auslesen der Schlüssel, selbst wenn kein einziger Sektor der Karte bekannt ist.
• Nested-Angriff: Ist ein Schlüssel bekannt (z. B. der Werksstandard), lassen sich alle weiteren Schlüssel in wenigen Minuten berechnen.
• Hardnested-Angriff: Funktioniert auch bei individuell gesetzten Schlüsseln und benötigt lediglich ein Proxmark- oder Flipper-Zero-Gerät.

Wichtig zu wissen:

Sämtliche Werkzeuge zum Klonen von MIFARE Classic Karten sind frei verfügbar und erfordern kein Expertenwissen. Ein Flipper Zero für ca. 200 Euro reicht aus, um MIFARE Classic Karten innerhalb weniger Minuten vollständig zu kopieren.

Das Ergebnis: MIFARE Classic bietet keine nennenswerte Sicherheit mehr und ist für den Einsatz in der Zutrittskontrolle auf Baustellen, auf denen hunderte Personen ein- und ausgehen, schlicht ungeeignet.

Fälschungssichere Zutrittskarten: So funktioniert MIFARE DESFire EV3 Verschlüsselung

Bausicht setzt auf MIFARE DESFire EV3 – den aktuellen Industriestandard für hochsichere kontaktlose Zutrittskarten. Im Gegensatz zu MIFARE Classic basiert DESFire EV3 auf dem AES-128-Verschlüsselungsstandard, der auch im Bankwesen und bei Regierungsbehörden eingesetzt wird.

Die entscheidenden Sicherheitsmerkmale:

• Gegenseitige Authentifizierung: Karte und Leser authentifizieren sich gegenseitig, bevor Daten ausgetauscht werden. Ein einfaches Auslesen oder Mitschneiden ist damit ausgeschlossen.
• Verschlüsselte Kommunikation: Alle Daten zwischen Karte und Leser werden AES-verschlüsselt übertragen. Ein Abhören der Funkstrecke liefert nur unbrauchbare Daten.
• Diversifizierte Schlüssel: Jede einzelne Karte erhält einen einzigartigen, kartenindividuellen Schlüssel. Selbst wenn es einem Angreifer gelingen würde, den Schlüssel einer einzelnen Karte zu extrahieren, wäre damit keine andere Karte kompromittiert.

Was bedeutet Key Diversification?

Bei der Key Diversification wird aus einem geheimen Master-Key und einer kartenindividuellen Information (z. B. der UID) ein einmaliger Kartenschlüssel nach NIST-konformen Algorithmen abgeleitet. Der Master-Key verlässt dabei niemals das Secure Access Module.

Das Verfahren stellt sicher, dass:

• Kein Kartenschlüssel dem anderen gleicht – selbst bei tausenden Karten im System.
• Der Master-Key nie exponiert wird – weder auf der Karte noch im Leser.
• Eine Kopie einer Zutrittskarte ausgeschlossen ist, da der Kartenschlüssel nicht aus der Karte extrahiert werden kann.

Secure Access Module (SAM) – Manipulationssicherer Schlüsselspeicher für Ihre Zutrittskontrolle

Ein zentrales Element unserer Sicherheitsarchitektur ist das Secure Access Module (SAM AV3) – ein manipulationssicherer Kryptochip mit EAL5+ Zertifizierung. Dieses Modul wird sowohl im USB-Kartenleser am PC als auch in den Zutrittscontrollern an der Baustelle eingesetzt.

Das SAM übernimmt folgende Aufgaben:

• Sichere Schlüsselspeicherung: Die Master-Keys werden ausschließlich im SAM gespeichert und verlassen dieses niemals – auch nicht bei einem physischen Angriff auf den Leser.
• Kryptographische Operationen: Alle Ver- und Entschlüsselungsvorgänge finden direkt im SAM statt. Der Schlüssel wird zu keinem Zeitpunkt im Arbeitsspeicher des Controllers oder PCs abgelegt.
• Manipulationsschutz: Die EAL5+ Zertifizierung bestätigt, dass der Chip gegen physische Angriffe (Seitenkanal-Angriffe, Probing, Fault Injection) geschützt ist.

Selbst wenn ein Angreifer einen Zutrittsleser von der Wand demontiert und das Gerät vollständig zerlegt, kann er die gespeicherten Schlüssel nicht auslesen.

Verschlüsselte Zutrittskontrolle auf der Baustelle: Von der Karte bis zum Server

Sicherheit endet nicht an der Zutrittskarte. Bausicht gewährleistet eine durchgehend verschlüsselte Kommunikationskette vom Moment des Kartenlesens bis zur Verarbeitung auf dem Server:

1. Karte → Leser (kontaktlos)

Die Kommunikation zwischen MIFARE DESFire EV3 Karte und Leser erfolgt über eine AES-128 verschlüsselte Sitzung mit gegenseitiger Authentifizierung. Ein Abhören oder Replay-Angriff ist ausgeschlossen.

2. Leser → Controller (OSDPv2 Secure Channel)

Der Leser kommuniziert mit dem Zutrittscontroller über das OSDPv2-Protokoll mit Secure Channel. OSDPv2 ist der Nachfolger des veralteten Wiegand-Protokolls und bietet:

• AES-128 verschlüsselten Datenkanal zwischen Leser und Controller
• Gegenseitige Authentifizierung von Leser und Controller
• Schutz gegen Manipulation, Replay-Angriffe und Man-in-the-Middle-Attacken

Gut zu wissen:

Das veraltete Wiegand-Protokoll, das noch in vielen Zutrittssystemen eingesetzt wird, überträgt Daten unverschlüsselt. Mit einem einfachen Wiegand-Sniffer für ca. 20 Euro lassen sich Kartendaten direkt am Kabel abgreifen – ganz ohne Zugang zur Karte selbst.

3. Controller → Server (TLS)

Die Kommunikation vom Zutrittscontroller zum Bausicht-Server erfolgt über eine TLS-verschlüsselte Verbindung. Sämtliche Zutrittsdaten werden verschlüsselt übertragen und auf dem Server sicher verarbeitet.

Sichere Baustellenausweise erstellen: Plug & Play trotz KRITIS-Sicherheitsstandards

Trotz dieser umfangreichen Sicherheitsarchitektur ist die Einrichtung für Sie als Kunde denkbar einfach. Bausicht stellt eine Microsoft Windows App sowie ein Chrome Browser-Plugin bereit, mit denen Sie neue Zutrittskarten in wenigen Sekunden verschlüsselt zuordnen können:

• USB-Kartenleser mit integriertem SAM an den PC anschließen
• Bausicht App oder Chrome-Plugin öffnen
• Mitarbeitende auswählen und Karte auflegen – fertig

Die gesamte Schlüsselableitung, Verschlüsselung und Kartenbeschreibung läuft automatisch im Hintergrund. Sie benötigen keinerlei Fachwissen in Kryptographie oder IT-Sicherheit. Das System übernimmt sämtliche sicherheitsrelevanten Schritte vollautomatisch.

Zusammenfassung: Sichere Zutrittskontrolle für Baustellen im Überblick

Im Gegensatz zu UID-basierten oder MIFARE Classic Systemen bietet Bausicht eine lückenlos verschlüsselte Zutrittskontrolle für Baustellen, bei der das Kopieren einer Zutrittskarte ausgeschlossen ist. Gleichzeitig bleibt die Bedienung so einfach wie bei jedem anderen System – nur eben sicher.

Ideal für KRITIS-Projekte und Hochsicherheitsbereiche

Die durchgehend verschlüsselte Sicherheitsarchitektur von Bausicht eignet sich nicht nur für klassische Baustellen, sondern ist besonders für KRITIS-Projekte (Kritische Infrastrukturen) und Hochsicherheitsbereiche geeignet. Überall dort, wo höchste Anforderungen an die Zutrittskontrolle gestellt werden, bietet unser System die nötige Sicherheitsgrundlage:

• Rechenzentren: Betreiber kritischer IT-Infrastruktur unterliegen strengen Auflagen nach dem IT-Sicherheitsgesetz und der NIS-2-Richtlinie. Eine fälschungssichere Zutrittskontrolle mit AES-256-Verschlüsselung und manipulationssicheren SAM-Modulen erfüllt diese Anforderungen.
• Militärische Liegenschaften: Beim Bau und der Wartung militärischer Einrichtungen ist der Zugang streng reglementiert. Kartenindividuelle Schlüssel und EAL5+-zertifizierte Kryptochips gewährleisten, dass kein unbefugter Zutritt möglich ist.
• Banken und Finanzinstitute: Vom Neubau einer Bankfiliale bis zum Umbau eines Tresorraums – die Kombination aus DESFire EV3, OSDPv2 Secure Channel und TLS-Verschlüsselung entspricht den Sicherheitsstandards der Finanzbranche.
• Energieversorgung und Versorgungsinfrastruktur: Kraftwerke, Umspannwerke und Wasserwerke zählen zu den sensibelsten Bereichen der öffentlichen Daseinsvorsorge. Eine Zutrittskontrolle, bei der Kartenkopien ausgeschlossen sind, ist hier unverzichtbar.

Gut zu wissen:

Die Bausicht-Zutrittskontrolle erfüllt die Sicherheitsanforderungen nach BSI-Grundschutz und eignet sich für Projekte, die den Vorgaben des KRITIS-Dachgesetzes und der NIS-2-Richtlinie unterliegen.

Sichere Zutrittskontrolle für Ihre Baustelle mit Bausicht

Sie möchten Ihre Baustelle oder Ihr KRITIS-Projekt mit fälschungssicheren Zutrittskarten auf Basis von MIFARE DESFire EV3 absichern? Mit der digitalen Zutrittskontrolle von Bausicht erhalten Sie eine durchgehend verschlüsselte Lösung – von der Karte bis zum Server. Überzeugen Sie sich selbst und testen Sie es 14 Tage kostenfrei!