Einbruchschutz: Das sind die Anforderungen der neuen prEN 1627
Türen sind die Visitenkarte eines Hauses und das lassen sich Bauherren schon mal was kosten. Angesichts der Vielfalt an Materialien, Konstruktionen, Funktionen und Anforderungen war dies bisher schon keine leichte Aufgabe. Wirklich anspruchsvoll wird es durch den Einsatz elektronischer Komponenten, insbesondere wenn diese noch einbruchhemmend sein soll. Genau der richtige Zeitpunkt für Haustürexperten, sich mit den Anforderungen der neuen prEN 1627 auseinanderzusetzen.
Die letzte Kölner Studie zeigt, dass Einbruchhemmung wirkt: Fast jeder zweite Einbruch wurde im Versuchsstadium abgebrochen. Deshalb rät die Kriminalpolizei zum Kauf und Einbau von geprüften und zertifizierten Bauelementen mindestens der Widerstandsklasse RC2. Einbrüche durch gezielte Manipulation mechatronischer Beschlagskomponenten sind zwar statistisch (noch) nicht erkennbar. Das ist aber kein Grund für Sorglosigkeit, denn gleichzeitig nimmt die digitale Kriminalität stetig zu.
Welche Methode ein Täter bei der Ausführung seiner Tat anwendet, hängt von den Tatumständen, der erwarteten Beutehöhe und der Motivation zur Tathandlung ab.
Täter bevorzugen generell ein schnelles Eindringen und ein geringes Entdeckungsrisiko – dazu gehört eindeutig auch der Zutritt mit einer gefälschten Zutrittskarte oder einem vorab ermittelten Berechtigungscode. Denn das ist viel unauffälliger als das Bohren, Picken oder Ziehen des Profilzylinders, was deshalb auch nicht zum favorisierten Modus Operandi eines Täters gehört.
Deshalb wurde bereits 2011 mit der Überarbeitung von EN 1627 begonnen, um künftig bei einer Einbruchprüfung an Haustüren mit mechatronischen Beschlägen oder elektronischen Schlüsseln prüfen zu können.
Am grundsätzlichen Prüfablauf einer Einbruchprüfung nach prEN 1627 ff. wird es keine Veränderungen geben. Auch künftig wird am bewährten 3-stufigen Prüfablauf mit statischer Prüfung, dynamischer Prüfung und manueller Vor- und Hauptprüfung festgehalten. Alle drei Teilprüfungen müssen die definierten Anforderungen bestehen, um anschließend nach prEN 1627 „neu“ klassifiziert werden zu können.
Ganz neu ist hingegen die Prüfung und Klassifizierung von Fenstern und Türen mit mechatronischen Baubeschlägen. Hierzu wurde ein neuer Anhang E „Mechatronische und elektronische Sicherheitssysteme“ erarbeitet, der die Begrifflichkeiten und Anforderungen detailliert beschreibt und die umfassenden Aspekte dieses Bereichs aufzeigt.
Viele Schreiner rüsten heute schon einbruchhemmende Haustüren mit biometrischen Zutrittskontrollsystemen aus, ohne dabei an die Auswirkungen an die Einbruchhemmung zu denken. Durch den Einsatz elektromechanischer Verriegelungskomponenten und Berechtigungsmitteln (Zutrittskontrollen, Schlüsselschalter etc.) entstehen neue Einbruchsmöglichkeiten.
Manipulation verhindern
Beispiele aus der Autoindustrie zeigen, dass Keyless-Systeme („schlüssel-los = auto-los?“) ohne Sicherheitssysteme einfach manipulierbar sind. Deshalb stellt sich die Frage, wie sich die elektronische Manipulation von Bauelementen verhindern lässt und sich elektronische Komponenten gegen eine mechanische Manipulation und eine Dekodierung der Funksignale oder Chip-Systeme schützen lassen.
Die elektronische Verarbeitung der Signale muss deshalb innerhalb des Hauses erfolgen und ausreichend gesichert sein. Alle elektronischen Komponenten (Lesegerät inkl. Auswerteeinheit, Berechtigungsmittel (Tag als Chip mit Antenne) müssen sowohl gegen eine mechanische Manipulation als auch gegen eine Dekodierung von Funksignalen oder Chip-Systemen geschützt werden.
Einbruchnorm mit Anforderungen an mechatronische Bauteile
Die „Normer“ beschreiben und definieren im normativ gültigen Anhang E „Mechatronische und elektronische Sicherheitssysteme“ der prEN 1627 erstmalig Anforderungen zu „Verschlusssicherheit und Angriffswiderstand“ sowie Begriffe für „elektronische Sicherheitssysteme“. Zu den elektromechanischen Systemkomponenten zählen
- Schließzylinder,
- Türbeschläge,
- Schlösser,
- Schließbleche,
- Lesegeräte,
- Tastaturen,
- Smart Devices (Smartphones) sowie
- die Datenübertragung per Kabel, Funk oder Datenträger (Karte, Chip etc.).
Hinzu kommen Themen wie Berechtigungsnachweise, Programmiergeräte, Falschakzeptanzrate (zulässige Anzahl ungültiger Eingaben) oder die Benutzerkennung. Das elektronische Sicherheitssystem kann dabei auch Teil einer intelligenten Haustechniklösung sein.
Die Klassifizierung der Systemsicherheit muss für jede elektronische Systemkomponente festgelegt werden und folgt der bestehenden Klassifizierung RC 1 N bis RC 5. Die Widerstandsklassen (Tabelle E.1) ergeben sich aus dem erwarteten Täterverhalten und -profil, das vom Gelegenheitstäter mit geringen IT-Kenntnissen bis zum professionellen Täter reicht, der mit elektronischen Sicherheitssystemen vertraut ist und über ein umfassendes Sortiment an Elektronikgeräten verfügt (RC 4-6). Auch hier folgt die Klassifizierung dem Grundprinzip der mechanischen Einbruchhemmung.
Je länger der Täter für die Entschlüsselung braucht, desto höher ist die Klassifizierung. Die Klassifizierung wird grundsätzlich erhöht, wenn unterschiedliche Technologien zur elektronischen Absicherung kombiniert werden.
Was wird gefordert?
Die Anforderungen für die Berechtigungsnachweise werden in Tabelle E.2 definiert. Beispielsweise sind in RC 1 für den PIN-Code 1000 verschiedene Varianten und keine Totzeit nach Fehlversuchen ausreichend. Für RC 3 sind dies 10 000 und es ist eine Totzeit von 24h gefordert. Das heißt, dass es bei einem vierstelligen PIN-Code und max. 10 Benutzern 1000 effektive Varianten des Codes geben muss. Die Totzeit soll verhindern, dass in einem definierten Zeitraum die Codes ausprobiert werden können. Weitere Anforderungen bestehen bezüglich der Benutzerkennung, Datenverschlüsselung, Kopierschutz (Klonschutz) von Karten und Verschlüsselungen, Biometrienutzung, Virenschutz und Firewall von Smart-Devices (inkl. Mechanismen zur Durchführung von Updates) sowie die Absicherung während der Online- oder Offline-Übertragung der Signale. Damit einher geht eine software-basierte Informationspflicht zum Aktualisierungsmanagement, da ja der Nutzer die Updates und die Änderung der Keywords vornehmen muss.
Zu beachten ist auch die Verkabelung und das Verhalten bei Stromausfall. Alle Leitungen sollten ohne Farbcodierung sein und, wie die Steckerleisten und die Steuereinheit (die die Zugangsberechtigung aktiviert), auf der Nichtangriffsseite eingebaut werden, oder sie müssen entsprechend geschützt werden, beispielsweise durch geschützte Kabelschächte.
Mechatronische Schlosskästen und Schließbleche sowie Schließzylinder oder sonstige Komponenten müssen sich im abgeschlossenen Modus im stromlosen Zustand befinden. Das heißt bei einem Stromausfall oder einer Störung dürfen die Komponenten von der Angriffsseite her nicht in einen zugänglichen Zustand versetzt werden bzw. „stromlos offen“ sein.
Auf den ersten Blick scheint es, als wenn der Schreiner nun zum IT-Experten werden müsste. Aber das Prozedere ist mit der Nutzung gängiger IT-Sicherungssysteme vergleichbar, beispielsweise dem Onlinebanking oder Geldautomaten. Das Expertenwissen müssen daher die Hersteller der Sicherheitskomponenten und die Prüfstellen haben, die die Klassifizierungen der Haustür vergeben.
Anwendungsgrenzen beachten
Allerdings muss der Schreiner die Prüfzeugnisse von Systemgebern und Beschlagherstellern genau lesen und verstehen. Nicht nur für die bekannten mechanischen Bauteile müssen die Anwendungsgrenzen bezüglich Öffnungsarten und -richtung, Außenabmessungen sowie die verwendeten Profile, Ausfachungen, Verglasungen und Beschläge beachtet werden, sondern auch die Regeln für die mechatronischen Komponenten. Ansonsten gelten die Prüfnachweise nicht mehr, schlimmer noch – die Einbruchhemmung funktioniert nicht.
Dieser Beitrag von Christian Kehrer und Jürgen Benitz-Wildenburg ist zuerst erschienen in Glaswelt 02/2020. Christian Kehrer ist seit 1998 beim ift Rosenheim tätig. Er leitet die ift-Zertifizierungsstelle und ist Lehrbeauftragter an der Hochschule Rosenheim. Jürgen Benitz-Wildenburg leitet im ift Rosenheim den Bereich PR & Kommunikation.
