Die 125-kHz-RFID-Technologie ist veraltet und lässt sich von Bösewichten leicht auslesen. Es gibt keine Verschlüsselung, keinen Handschlag, keine Sicherheitsabfrage. Angreifer können mit günstigen Gadgets wie dem „Flipper Zero“ das Signal im Vorbeigehen abgreifen und duplizieren.
Es klingt wie ein Plot aus einem Cyber-Thriller: Jemand kopiert Ihren digitalen Hausschlüssel im Vorbeigehen – ganz ohne Körperkontakt, in weniger als einer Sekunde. Was wild klingt, ist in vielen deutschen Büros leider bittere Realität. In einer Welt, in der wir über „Smart Offices“ und KI-gesteuertes Personalmanagement philosophieren, schleppen viele Unternehmen ein gefährliches Erbe mit sich herum: veraltete RFID-Systeme. Wer hier spart, baut sein hochmodernes Kartenhaus auf einem Fundament aus Sand.
Das digitale Scheunentor
Das Kernproblem vieler Betriebe ist so unscheinbar wie eine Plastikkarte. Viele Bestandsanlagen funken noch immer auf der 125-kHz-Technologie. Das Problem dabei? Diese Systeme kommunizieren im „Klartext“. Es gibt keine Verschlüsselung, keinen Handschlag, keine Sicherheitsabfrage. Angreifer können mit günstigen Gadgets wie dem „Flipper Zero“ das Signal im Vorbeigehen abgreifen und duplizieren.
Das Ergebnis ist fatal: Ein Angreifer spaziert durch den Haupteingang, ohne Spuren zu hinterlassen. Für die Versicherung ist das oft ein Albtraum. Da kein gewaltsames Eindringen vorliegt, verweigern viele Versicherer die Schadensregulierung. Man könnte sagen: Wer heute noch auf 125 kHz setzt, lässt die Haustür nicht nur unverschlossen, sondern hängt auch noch ein Schild mit der Aufschrift „Bitte bedienen“ daneben.
Sniffing, Cloning und die Mär von der Alufolie
Die Tricks der Langfinger sind vielfältig. Beim „Cloning“ wird die Identität eins-zu-eins kopiert, beim „Sniffing“ wird der Funkverkehr belauscht. Besonders perfide sind „Replay-Attacks“: Hier wird das Signal aufgezeichnet und später einfach erneut abgespielt, um das Schloss zu überlisten. Moderne Systeme verhindern das durch das sogenannte „Challenge-Response“-Verfahren – eine Art ständig wechselndes Passwort zwischen Karte und Leser.
Oft hört man den Rat, die Ausweise in Alufolie zu wickeln. Doch Vorsicht: Das ist ein Mythos aus der Bastelkiste. Haushaltsfolie bietet keinen zuverlässigen Schutz gegen professionelle Auslesegeräte. Wer seine Mitarbeiter wirklich schützen will, sollte auf TÜV-geprüfte Schutzhüllen mit speziellen Metalllegierungen setzen. Das ist ein kleiner Aufwand mit großer Wirkung für die physische Sicherheit der Belegschaft.
Regulatorik als Weckruf: Die RED-Richtlinie
Falls Sicherheitsbedenken allein nicht ausreichen, hilft oft ein Blick ins Gesetzblatt. Die europäische „Radio Equipment Directive“ (RED) hat die Daumenschrauben angezogen. Artikel 3.3 verpflichtet Betreiber dazu, die Cybersicherheit von Funkanlagen nachweislich zu garantieren. Das macht die Modernisierung von veralteten Lesern von einer „Kür“ zur regulatorischen „Pflicht“. Wer bei einem Audit mit vorsätzlich veralteter Technik erwischt wird, riskiert nicht nur saftige Bußgelder, sondern steht im Schadensfall auch haftungsrechtlich mit dem Rücken zur Wand.
Wenn die KI ins Spiel kommt: RFID trifft HR-Intelligence
Warum ist das Thema gerade für die Personalabteilung so wichtig? Moderne HR-Systeme werden immer intelligenter. Wir sprechen von „Agentic HR“ und autonomen Systemen, die auf Basis von Präsenzdaten das Flächenmanagement optimieren oder Reinigungszyklen steuern. Diese Algorithmen sind hungrig nach Daten. Doch diese Daten sind nur so viel wert wie ihre Quelle.
Wenn die Zutrittskontrolle durch „Spoofing“ oder falsche Identitäten korrumpiert wird, liefern die KI-Modelle falsche Ergebnisse. Das führt zu ineffizienter Kapazitätsplanung und Fehlsteuerungen in der Gebäudetechnik. Eine robuste RFID-Security ist also der „physische Anker“ für die digitale Identität im Unternehmen. Nur wenn ich weiß, wer wirklich im Gebäude ist, kann ich das Smart Office sinnvoll steuern.
Der EU AI Act: Ein Balanceakt für die HR
Hier kommt eine weitere Hürde ins Spiel: Der EU AI Act. KI-Systeme im Personalbereich werden oft als Hochrisiko-Anwendungen eingestuft. Das bedeutet strenge Regeln für Transparenz und Governance. Wer RFID-Daten mit biometrischen Merkmalen kombiniert – etwa um „Tailgating“ (das Mitlaufen unbefugter Personen) zu verhindern –, bewegt sich auf dünnem Eis.
Die Herausforderung besteht darin, höchste Sicherheit zu garantieren, ohne in eine unzulässige Totalüberwachung der Mitarbeiter abzudriften. Eine kluge Strategie nutzt die RFID-Sicherheit zur Legitimierung, wertet für die Effizienzsteigerung aber nur aggregierte Muster aus, statt Einzelprofile zu durchleuchten.
Der Weg zur Festung: Migration auf DESFire EV3
Wie sieht die Lösung aus? Der Goldstandard heißt derzeit MIFARE DESFire EV3. Dieser 13,56-MHz-Standard arbeitet mit einer AES-128-Verschlüsselung (oder höher) und ist nach menschlichem Ermessen derzeit nicht zu knacken. Eine kluge Migration konsolidiert zudem verschiedene Insellösungen. Warum zwei Karten für Zeiterfassung und Türöffnung, wenn ein hochsicherer Transponder beides kann?
Wichtig ist auch der Blick auf die Schnittstellen. Alte Protokolle wie „Wiegand“ sind analoge Sicherheitslücken. Moderne verschlüsselte Protokolle wie OSDP stellen sicher, dass auch der Weg vom Leser zum Controller nicht abgehört werden kann. Sicherheit ist kein statischer Zustand, sondern ein Prozess. Deshalb müssen moderne Lesegeräte „patch-fähig“ sein, um auf künftige Bedrohungen reagieren zu können.
KRITIS und das CER-Dachgesetz
Besonders brisant ist das Thema für Betreiber kritischer Infrastrukturen (KRITIS). Energieversorger, Krankenhäuser oder Verkehrsbetriebe unterliegen dem KRITIS-Dachgesetz und der CER-Richtlinie. Hier ist RFID-Sicherheit kein IT-Thema mehr, sondern eine Frage der nationalen Resilienz. Die Meldepflichten sind streng, die Anforderungen an die Überwachung lückenlos.
Fazit: Machen Sie den Check!
Ist Ihr System noch sicher? Ein einfacher Test gibt oft den Ausschlag: Können Sie Ihren Firmenausweis mit einer handelsüblichen Smartphone-App auslesen? Wenn ja, haben Sie ein Problem. Moderne Sicherheit bedeutet die Verzahnung von physischem Schutz und digitaler Intelligenz.
Wer die Zeichen der Zeit erkennt und jetzt auf verschlüsselte Standards migriert, schützt nicht nur Sachwerte, sondern schafft die Basis für eine moderne, digitale Unternehmenskultur. Sicherheit ist kein Hindernis für die digitale Transformation, sondern ihr wichtigster Wegbegleiter.
Weitere Artikel zum Schwerpunkt „Human Capital Management“