In einer zunehmend vernetzten Welt, in der digitale Infrastrukturen nicht nur unser Kommunikationsverhalten, sondern auch unsere gebaute Umwelt formen, rücken Fragen der IT-Sicherheit in Smart Buildings immer wieder in den Mittelpunkt. Der technologische Fortschritt erlaubt es Gebäuden, nicht nur zu reagieren, sondern auch proaktiv zu agieren – etwa durch automatisiertes Besuchermanagement, zentrale Gebäudeleittechnik und intuitive Gebäude-Apps. Doch mit dieser digitalen Intelligenz geht eine erhebliche Verantwortung hinsichtlich der Absicherung sensibler Systeme einher. Selbst für fortgeschrittene Authentifizierungsmechanismen finden Hacker Angriffsvektoren. So wurden mittlerweile raffinierte Angriffsformen wie QR-Phishing und das Bypassing etablierter Sicherheitsstandards wie FIDO (Fast Identity Online) entwickelt. Um sich dieser Angriffsvektoren bewusst zu sein und Sicherheitsmaßnahmen weiter verbessern zu können, ist es notwendig, ein grundlegendes Verständnis für entsprechende Angriffs- und Sicherheitsmechanismen zu entwickeln.
Zu Beginn empfiehlt es sich, zentrale Begriffe zu klären, die im Kontext aktueller Angriffe auf digitale Authentifizierungssysteme relevant sind. Unter QR-Phishing – auch als „Quishing“ bezeichnet – versteht man eine Methode des Social Engineerings, bei der ein Benutzer durch das Scannen eines manipulierten QR-Codes auf eine täuschend echt gestaltete, aber betrügerische Webseite geleitet wird [1,2]. Ziel ist in der Regel die Preisgabe von Anmeldedaten oder anderen vertraulichen Informationen. Ein weiterer wichtiger Begriff im Kontext moderner Authentifizierungsverfahren ist das sogenannte „Cross-Device Sign-in“. Diese Funktion erlaubt es Nutzern, sich auf einem Endgerät anzumelden, indem die Authentifizierung auf einem zweiten Gerät – meist einem Smartphone – bestätigt wird. Dies ist insbesondere in Kombination mit FIDO-Technologien von Bedeutung. Der FIDO-Standard, entwickelt von der FIDO Alliance und dem W3C-Konsortium, ermöglicht eine passwortlose, kryptografisch gesicherte Authentifizierung durch den Einsatz von physischen Sicherheitsschlüsseln oder biometrischen Merkmalen. Er vereint die WebAuthn-API mit dem Client-to-Authenticator-Protokoll (CTAP) und bildet so die Grundlage für moderne Identitätsprüfung im digitalen Raum [5,6]. Ein Angriffsvektor auf solche Lösungen kann eine Adversary-in-the-Middle-Attacke (AitM) sein, bei der ein Angreifer in Echtzeit zwischen zwei Kommunikationspartnern vermittelt, um übertragene Informationen wie Login-Daten abzugreifen oder zu manipulieren – oftmals, ohne dass die Betroffenen dies unmittelbar bemerken.
Ein neuer Angriffsvektor: PoisonSeed und der FIDO-Bypass
Ein aktueller Fall zeigt exemplarisch, wie raffinierte Angriffsstrategien legitime Sicherheitsmechanismen unterwandern können. Laut einem Bericht des Sicherheitsportals The Hacker News vom Juli 2025 wurde eine Hackergruppe – in Fachkreisen unter dem Namen „PoisonSeed“ bekannt – identifiziert, die eine Schwachstelle im Cross-Device-Flow von FIDO-basierten Authentifizierungsprozessen ausnutzte [3,4]. Bemerkenswert ist hierbei, dass kein technisches Leck im Protokoll selbst bestand. Vielmehr wurde das Nutzerverhalten in Verbindung mit QR-Codes ausgenutzt, um sich Zugang zu sensiblen Systemen zu verschaffen.
Das Angriffsszenario verlief wie folgt: Ein Nutzer erhielt eine täuschend echt wirkende Phishing-Mail mit dem Hinweis, sein Konto müsse erneut verifiziert werden. Nach Eingabe seiner Anmeldedaten auf einer gefälschten Seite wurde durch den legitimen Dienst ein QR-Code zur Geräteverifikation generiert. Dieser wurde vom Angreifer abgefangen und dem Opfer erneut zur Bestätigung angezeigt. Durch das Scannen des manipulierten Codes auf dem echten Gerät wurde die Authentifizierung vom Opfer unwissentlich legitimiert – der Angreifer erhielt somit Zugriff auf das Zielsystem. In einigen Fällen registrierten die Angreifer anschließend sogar eigene FIDO-Schlüssel, um persistenten Zugriff zu ermöglichen.
FIDO im Kontext moderner Gebäude
Smart Buildings sind längst mehr als architektonische Objekte. Sie sind komplexe, digitale Organismen, ausgestattet mit Sensorik, Automatisierung und datengetriebenen Steuerungssystemen. In diesem Kontext können auch FIDO-basierte Authentifizierungsverfahren Anwendung finden. Im Besuchermanagement etwa ermöglichen Tablet-Kiosksysteme eine sichere und passwortfreie Identifikation von Mitarbeitern oder Gästen. Im Bereich der Zutrittskontrolle kann ebenfalls die Kombination von Smartphone, biometrischer Authentifizierung und FIDO-Schlüssel genutzt werden. Ebenso setzen CAFM-Systeme (Computer-Aided Facility Management) auf FIDO, um Facility-Managern geschützten Zugang zu sensiblen Steuerungs- und Wartungsplattformen zu bieten. Auch Mieter- und Gebäude-Apps nutzen FIDO-Technologien zur Absicherung von Funktionen wie Raumreservierung, Gerätebuchung oder Serviceanfragen.
Sicherheitsimplikationen für Smart Buildings?
Bislang ist mir noch kein Fall einer erfolgreichen FIDO-Bypass-Nutzung in einem Smart-Building-System bekannt. Aber allein dadurch, dass die Möglichkeit besteht, sollte bedacht werden, wie dieses Angriffsszenario proaktiv vermieden werden kann. Denn es muss berücksichtigt werden, dass ein kompromittierter authentifizierter Zugang in einer OT- und Smart-Building-Umgebung – und überhaupt in Operational-Technology-Environments – nicht nur personelle Daten betrifft, sondern auch interne Netzwerke und Infrastrukturen gefährden kann. Gerade weil Smart Buildings zentrale Datenpunkte aggregieren und Entscheidungen automatisiert treffen, kann ein Angreifer durch einen initialen Zugang schrittweise Kontrolle über ganze Gebäudeteile oder sogar Sicherheitsfunktionen erlangen.
Die FIDO2-Technologie ist ein Fortschritt für sicherere Authentifizierungen [7]. Doch wie jedes System ist auch sie nur so sicher wie ihr Kontext. Fehlende Proximity-Prüfungen, mangelnde Benutzeraufklärung und unzureichende Überwachung der Geräteaktivitäten eröffnen Angriffsflächen. Empfehlenswert sind daher zusätzliche Schutzmaßnahmen wie kontextabhängige Zugriffskontrollen, Verhaltensanalytik und das Monitoring neuer FIDO-Registrierungen. Kontextuelle Faktoren können dabei der Gerätetyp, der Standort, die Tageszeit oder die Netzwerkverbindung sein. Findet die Authentifizierung außerhalb der normalen Arbeitszeiten und nicht im internen Netzwerk statt, oder in einem anderen Kontinent, sollte die Zugriffskontrolle nicht möglich sein.
Der vorliegende Beitrag soll mehr Aufklärung beinhalten und weniger Warnung sein. Denn wenn FIDO2-basierte Authentifizierung oder Multifaktorauthentifizierung (MFA) für alle Systeme genutzt wird, ist man IT-sicherheitstechnisch bereits sehr gut aufgestellt. Nur wenn Angriffsvektoren bekannt sind, können diese auch verhindert werden. Alles in allem sind die Verwendung von FIDO und MFA bereits fortschrittliche IT-Sicherheitsattribute, insbesondere angesichts der Realität in Bestandsgebäuden. Die Intention ist hier also eine kontinuierliche Verbesserung – nicht die Abkehr von diesen Authentifizierungsmethoden.
Verweise
[1] https://www.comconsult.com/qr-codes-als-betrugsmasche/
[2] https://www.comconsult.com/achtung-angriff-cyberkriminalitaet-aus-mehreren-richtungen/
[3] https://thehackernews.com/2025/07/poisonseed-hackers-bypass-fido-keys.html
[4] https://expel.com/blog/poisonseed-bypassing-fido-keys-to-fetch-user-accounts/
[5] https://fidoalliance.org/certification/W3C WebAuthn
[6] https://www.w3.org/TR/webauthn-2/
[7] https://www.comconsult.com/passkeys-die-passwort-alternative/
Kontakt
ComConsult GmbH
Pascalstraße 27
DE-52076 Aachen
Telefon: 02408/951-0
Fax: 02408/951-200
E-Mail: info@comconsult.com
