Find:

LOCKBASE at the SECURITY in Essen 2018

Security 2018 Banner

Visit us at the SECURITY trade fair in Essen, Germany (Hall 2, Stand 2D31) from 25 to 28 September 2018.

We would be pleased to present our masterkeying software LOCKBASE which supports you in planning, ordering, calculating and managing master key suites.

With the LOCKBASE B2B / B2B peer-to-peer we offer an interesting and affordable system that meets the legal requirements of your master key system files' data security (GDPR) and greatly simplifies data exchange between manufacturer and locksmiths. This distinguishes LOCKBASE from all master key system programs known to us.

We would also like to present our solution for the integration of mechatronic and electronic elements of a master key suite.

Finally you can gain an impression of our future, newly developed LOCKBASE C2B program which can be used to order keys and cylinders for master key systems online. In contrast to a conventional web shop, you (or your customers) will be able to use the LOCKBASE C2B to view the current status of the master key system and send (re)orders on this basis. The platform independent C2B software provides you with service without neglecting security aspects of the sensitive data.

We look forward to hearing from you!

VirtualStore - bug or feature?

Starting with Windows Vista, Microsoft invented a new security concept, which, among other things, sets the standard folders for application programs (C:\Program Files\) 'read-only' for regular users. However, in order to keep older software running without problems, a new compatibility feature was included, which lets still occurring write attempts succeed by redirecting them to virtual copies of the respective files, completely transparent for the running application software.

These virtual files are user specific and can be found in the respective user folder under 'AppData\Local\VirtualStore', for example in 'C:\Users\Stan\AppData\Local\VirtualStore\Program Files\Lockbase' for the files written by user 'Stan' of a LOCKBASE installation in 'C:\Program Files\Lockbase'.

This 'feature' is a big problem for application software, which requires common files to be modified by all users, as for example the LOCKBASE system database 'Lbw.sdb'. By this 'VirtualStore' mechanism now each user get his/her own copy of the common file, which leads to the creation of several different versions of the respective file. Every copy of the common file contains a certain part, but not all of the current data.

The old LOCKBASE versions before Windows Vista did not distinguish program and data folder. There was only a single installation folder, which was used for both, program and data files. If a computer with an installation like that was updated to Windows Vista or a following version (Win7, Win8, Win10, ...) or the old installation was ported to a newer computer, the VirtualStore 'feature' may start working and undiscovered created virtual copies of LOCKBASE data files.

To repair an installation like that, write access (write and create credentials) to the LOCKBASE data folder must be granted to all LOCKBASE users. Moreover, all the respective virtual folders in all user spaces must be removed. However, because these folders most likely contain current data, first the respective files must be restored to the 'real' LOCKBASE data folder. This can be a problem if there are multiple different current data states for the same files at different user spaces. Because the files can not be merged again, in this case it must be decided, which copy is 'the best', i. E. which contains the most comprehensive version of the important data.

The following files may be affected: 'Lbw.sdb', 'Lbw.lbf', 'LbwB2B.vc', 'LbwCTDB.dat', '*.fab', '*.lbt', '*.lbf'. If you find copies of the same file in the virtual folders of several users, you can use the following decision criteria:

  • 'Lbw.sdb' is the system database, this file should be found in all virtual folders as it was modified by all users. If you have a calculation module with code group adminstration, it will contain the code group data, which is the only data component that cannot be recovered from another source. Therefore, select the copy of the person responsible for managing the code groups in your company. All other data contained in the system database can be re-entered if necessary.
  • 'Lbw.lbf' can only be found at the LOCKBASE Manager lite. Select the copy of the person responsible for key issuing or managing the master key system.
  • 'LbwB2B.vc' can be found in installations with B2B module. Select the copy of the person responsible for ordering/sending locking systems via B2B. If in doubt, choose the most recent version of the file.
  • 'LbwCTDB.dat' can be found in installations with cylinder type database. Select the copy of the person responsible for maintaining the LOCKBASE cylinder type database. If in doubt, choose the most recent version of the file.
  • '*.fab' are the brand definition files, they are only found in installations with calculation module. Select the most recent version of the file.
  • '*.lbt' are file format templates. If there are several copies with the same name, select the copy of the person responsible for creating new system plans. If in doubt, choose the most recent version of the file.
  • '*.lbf' are master key system files. They are not normally stored in the LOCKBASE data directory. If you though find several copies with the same name, select the copy of the person responsible for the calculation of master key systems in your company. If you do not calculate yourself, choose the copy of the person responsible for creating/editing master key system files in your company. If in doubt, select the most recent file or open the files in question and determine the 'best' copy by comparison.

After restoring the respective files from the virtual folders, you should update the installation with the current LOCKBASE release (from this web site). The setup program ensures that the access rights will be set correctly and checks for any possibly left virtual files. If the update was finished successful without errors, your installation is current and in good condition.

LOCKBASE Windows XP support ended

Due to a security update of our Internet service provider, current Lockbase versions (14.02 and newer) have been running no longer under Windows XP since mid-October 2016.

Older versions will still run unless they need Internet access (e.g., B2B), but we strongly recommend upgrading the operating system at least to Windows 7, respectively Windows Server 2008 for security reasons.

LOCKBASE at the SECURITY in Essen 2016

Security 2016 Banner

If you visit the SECURITY fair in Essen, Germany, we would love to meet you there. We exhibit from 27 - 30 September 2016.

We would like to present our masterkeying software LOCKBASE. It helps you with the planning, ordering, calculation and/or administration of master key systems.

With LOCKBASE B2B / Peer to Peer we offer an interesting software system that fits the legal requirements of your master key system files' data security. It simplifies data exchange between manufacturers and locksmiths a lot. This makes LOCKBASE unique in comparison to all other masterkeying programms known to us.

Additionally we will show you our software solution for the integration of mechatronic and electronic locks in master key systems.

You will find our exhibition stand in hall 12, stand 12-303. We look forward to meet you!

Maintenance announcement

Caused by maintenance work our internet services will be unavailable for some hours at Sunday, 11th of October 2015, starting at 6 am.

Server Downtime, 1st of September 2015

At Tuesday, 1st of September 2015, caused by a provider's maintenance fault our internet services were unavailable between 8.30h and 13.45h. Unfortunately we were able to completely solve the problem only by providing an update. For this reason all users experiencing problems during B2B data exchange ('B2B server unavailable') should update to the newest release.

LOCKBASE infected by virus?

From time to time LOCKBASE may be classified as possible 'trojan' by some anti-virus programs. Usually the file 'Lbw.exe' will be removed from the LOCKBASE program folder and moved to the virus scanner's quarantine area, so the program will not start any more.

These are false reports, so called 'false positive' recognitions. At this time (September 2015) the following anti-virus products return a 'false positive' on LOCKBASE (www.virustotal.com):

                Panda       Trj/Genetic.gen     20150830
                Symantec    Trojan.Gen.SMH      20150830
            

If this happens to you, proceed as follows:

  1. Copy the file 'Lbw.exe' from the quarantine area of the virus scanner back to the LOCKBASE program folder. If this is not possible (or seems to be), you can download an installation archive containing the latest release of your licence from our server (www.koertner-muth.de at 'Demos & Support') and install it as update to restore the 'stolen' program file of your installation.
  2. Verify the signature of 'Lbw.exe'. To do so, by right click open the context menu and under 'Properties' select the tab 'Digital Signatures'. The signature must be valid and issued by 'Körtner & Muth GmbH' (lockbase@koertner-muth.com). If this is the case, the file definitely is harmless.
  3. To prevent a new 'disinfection' at next start-up, add the program file 'Lbw.exe' to the virus scanner's 'white list' (if this is not possible, you should look for a better product).
  4. Check for an update of your anti-virus software. Some manufacturers may already have corrected this 'bug' in their current release. If no update is available, report the 'false positive' to the manufacturer of your virus scanner to allow them to correct this 'bug' in their next release.

LOCKBASE Online Licencing Service

Dear Madam/Sir,

According to our new licencing model valid since 1 January 2014 we now migrate successively the old LOCKBASE licences.

Since release 15.02 LOCKBASE has a new way of licence verification, which will replace the current unlocking of users by site keys. We call it 'Online Licencing Service'.

On program start up the Online Licencing Service connects to our license server to obtain a 'Session Licence'. If an unused license is available, it will be locked on the server and the program will continue working. Otherwise it will display a respective message and terminate. When the user ends the LOCKBASE session the Online Licence Service again will contact the licence server to return/release the licence in use. Thus the Online Licence Service allows a seamless usage of licences by multiple users and installations. As soon as a certain user closed his session, the licence will be available for other users.

The Online Licence Service requires the computer to have Internet access.

In case Internet access is not available for a certain time (e.g. when travelling), a second form of licence is available, the 'Offline Licence'. An 'Offline Licence' will be obtained in advance for a certain amount of time and a certain user and computer. The 'Offline Licence' will be locked on the server for its whole lifetime, however, during this time it allows the program to be run by its dedicated user and computer without having Internet access.

Please don't hesitate to contact us for further information.

Creditreform Magazin – Wie sich Kriminelle Zugang zum Betrieb verschaffen

Mittelständler, die ihre Betriebsgeheimnisse schützen wollen oder sensible Kundendaten gut sichern müssen, sollten bei der Planung von Schließanlagen besondere Sorgfalt walten lassen. Denn auch die modernste Schließanlagen ist nur dann sicher, wenn auch ihre Planungsdaten im Vorfeld sicher gehandhabt wurden. Das ist ganz klar nicht der Fall, wenn Hersteller, Fachhändler und Endkunden diese Daten innerhalb des Unternehmens oder untereinander unverschlüsselt per E-Mail austauschen. Unverschlüsselte Online-Mitteilungen lassen sich lesen wie eine Postkarte. Jeder, der auf einen Server zugreifen kann, den die E-Mail passiert, kann mitlesen ... mehr auf www.creditreform-magazin.de

PROTECTOR online – Schließanlagendaten in der E-Mail: ein unterschätztes Risiko

Was den Austausch von Schießanlagendaten per E-Mail angeht, legen viele Hersteller von Schließanlagen ein unerwartet sorgloses Verhalten an den Tag. Der Versand von unverschlüsselten Schließanlagendaten per E-Mail stellt dabei ein völlig unterschätztes Risiko dar. mehr auf www.sicherheit.info

Der Behördenspiegel berichtet: Sicherheitsleck durch neue Schließanlagen

(BS) Bei der Planung von Schließanlagen werden sensible Daten oft unverschlüsselt per E-Mail ausgetauscht. Kriminelle könnten somit leicht mitlesen und sich so auch unbemerkt Zutritt zu Gebäuden verschaffen.

Unternehmen, die ihre Betriebsgeheimnisse schützen wollen oder sensible Kundendaten gut sichern müssen, sollten bei der Planung von Schließanlagen besondere Sorgfalt walten lassen. Ob bei mittelständischen Unternehmen, Großkonzernen, Versicherungen, Krankenkassen, Forschungsinstituten oder Ministerien: Hochmoderne Schließanlagen sind nur dann sicher, wenn auch die Planungsdaten der Anlagen sicher gehandhabt werden.

Die Sicherheit wird jedoch unterlaufen, wenn Hersteller, Fachhändler und Endkunden diese Daten innerhalb des Unternehmens oder untereinander unverschlüsselt per E-Mail austauschen. Denn unverschlüsselte Online-Mitteilungen lassen sich lesen wie eine Postkarte.

Jochen Körtner, Geschäftsführer des Softwareunternehmens Körtner & Muth GmbH, weist darauf hin, dass genau dieser Umgang mit hochsensiblen Daten in der Schließanlagenbranche üblich sei: „In mehr als zehn Jahren haben wir noch nie eine verschlüsselte E-Mail erhalten. Immer wieder senden uns Händler oder Hersteller umfangreiche, sensible Daten über komplette Schließanlagen als Datei im Anhang.”

Zahlreiche sicherheitsrelevante Informationen
Die E-Mails enthalten in vielen Fällen detaillierte Schneid- und Bestiftungsinformationen – quasi die Bedienungsanleitung für den Nachbau von Schlüsseln. Damit können sich Kriminelle ohne großen Aufwand Zutritt zu Gebäuden verschaffen, ohne dabei Spuren zu hinterlassen.

Aber auch aus Dateien ohne Schneid- und Bestiftungswerte können Angreifer wichtige sicherheitskritische Rückschlüsse ziehen. So seien in den Dateien zumindest immer Angaben über Typ, Ausstattung und Einbauort von Zylindern sowie Bezeichnung, Funktion und Anzahl von Schlüsseln enthalten. Einbrecher mit grundlegenden Kenntnissen über Schließanlagen könnten daraus aus leicht potenzielle Angriffsziele ableiten. Oft fänden sich auch Name, Abteilung, Anschrift und andere persönliche Daten der Schlüsselträger im Mailverkehr.

Der Schließplan eines Gebäudes sei wie ein Spiegel der Hierarchie und der Orga-nisation der Gebäudenutzung: Komplette Bewegungsprofile einzelner Personen oder Nutzungsprofile einzelner Türen könnten Angreifer damit im Handumdrehen erstellen.

Risiko nicht bewusst
„Der Branche selbst ist dieses Sicherheitsleck oft nicht bewusst. So lange sich niemand beschwert, wird sich jedoch kaum etwas ändern”, sagt Jochen Körtner.

Die betroffenen Kunden hätten zu wenig Einblick in die Arbeitsweise ihrer Lieferanten. Einzelnen Händlern fehle nach Einschätzung von Körtner das Bewusstsein dafür, wie schnell eine E-Mail abgefangen und gehackt werden könne. Und wie leicht es heute sei, einen Experten aus der Szene des organisierten Verbrechens für diese kriminelle Aufgabe zu finden. Schäden fallen nicht unmittelbar auf Häufig bleibe ein Schaden lange unerkannt, weil der Zugang mit Schlüsseln keine Spuren hinterlässt. Besonders problematisch werde dies, wenn Unternehmen die Absicherung von Daten gegenüber ihren Kunden garantieren müssen – wie zum Beispiel Krankenversicherungen oder Behörden.

„In diesen Fällen müsste der Druck eigentlich von den Unternehmen kommen, die für den verantwortungsvollen Umgang mit den Daten anderer Menschen haften”, sagt Körtner. Werde ein Schaden doch entdeckt, falle der Verdacht schnell auf die eigenen Mitarbeiter, da ein Einbruch kaum nachweisbar ist.

Schutz von Dateien nicht ausreichend
In der Regel werden die Dateien in gängigen offenen Formaten verschickt, zum Beispiel als CSV, Excel oder XML. Die Technologie zur Verschlüsselung von Dateien und zum Schutz von E-Mails existiert zwar seit Langem, aber niemand setze sie im Alltag ein. Sie erscheine zu umständlich oder zu schwierig. Angesichts des Risikos wäre aber eine starke Verschlüsselung notwendig. Einige Hersteller bieten ihren Kunden die Möglichkeit eines verschlüsselten Dateitransfers (https) zu ihrem Webserver. Doch auch hier seien die Daten nur während des Transports gesichert. Auf dem Server selbst lägen sie unverschlüsselt. Stehe der Server wie bei den meisten Herstellern extern bei einem IT-Dienstleister, seien die Daten zumindest für dessen Mitarbeiter problemlos einsehbar. Zudem sind Webserver normalerweise erheblich leichter zu hacken als E-Mail-Server.

Quelle: Behördenspiegel; Newsletter Netzwerk Sicherheit Nr. 447

Sicherheitsrisiko: Versand von Schließanlagendaten per E-Mail

Der Versand von unverschlüsselten Schließanlagendaten per E-Mail stellt ein unterschätztes Risiko dar.

Was den Austausch von Schließanlagendaten per E-Mail angeht, legen sogar viele Hersteller von Schließanlagen ein unerwartet (und unangemessen) sorgloses Verhalten an den Tag.

Dabei ist der Versand unverschlüsselter Daten per E-Mail unter Sicherheitsaspekten mit dem Versand einer Postkarte vergleichbar. Jede Person, welche Zugang zu einem der passierten Server hat, kann mitlesen. Mit einfachen technischen Vorrichtungen auf dem Versandweg (sog. Sniffer) kann der E-Mail-Verkehr z.B. eines Unternehmens mitgeschnitten und vollautomatisch ausgewertet werden. Dies kann ein einträgliches Geschäft sein, und diese Art der „Informationsbeschaffung” ist inzwischen ein etablierter Zweig des organisierten Verbrechens sowie Tätigkeitsfeld einer Reihe von ausländischen „Diensten”. Darüber, mit welchen Mitteln solche Industriespionage betrieben wird, wer betroffen ist und wie man sich schützen kann, informiert z.B. der Verfassungsschutz (vgl. Landesamt für Verfassungsschutz Hamburg).

Das größte Problem stellen natürlich Dateien dar, welche Schneid- und/oder Bestiftungsinformationen enthalten (sog. Berechnungen). Ein potentieller Angreifer, sofern er über ausreichende technische Kenntnisse verfügt, kann sich auf Basis dieser Informationen jeden beliebigen Schlüssel machen und damit zu jeder beliebigen Tür des Objekts Zutritt verschaffen, ohne irgendwelche Spuren zu hinterlassen.

Aber auch aus Dateien ohne Schneid- und Bestiftungswerte lassen sich wichtige sicherheitskritische Rückschlüsse ziehen. So sind zumindest immer Angaben über Typ, Ausstattung und Einbauort von Zylindern sowie Bezeichnung, Funktion und Anzahl von Schlüsseln enthalten. Für einen Angreifer mit grundlegenden Kenntnissen über Schließanlagen und die Technologie der verwendeten Zylinder lassen sich aus diesen Daten leicht potentielle Angriffsziele ableiten. So kann z.B. allein aus der Anzahl verschiedener, in einem Zylinder öffnender Schließungen auf den zu erwartenden Widerstandswert gegen einen Picking-Angriff geschlossen werden. Zusätzliche wichtige Informationen liefern Angaben zur technischen Ausstattung der Zylinder (Bohrschutz, Ziehschutz, Gefahrenkupplung, o.ä.). Oft finden sich auch Name, Abteilung, Anschrift und andere persönlich Daten der Schlüsselträger, aus denen Rückschlüsse auf das Organigramm oder die Stellung einzelner Personen im Unternehmen bzw. der Organisation des Kunden möglich sind. Enthält die Datei zusätzlich noch Ereignisdaten ggf. vorhandener mechatronischer oder elektronischer Komponenten, lassen sich sogar komplette Bewegungsprofile einzelner Personen oder Nutzungsprofile einzelner Türen erstellen.

Nun handelt es sich dabei ja nicht um Daten der am Datenaustausch unmittelbar Beteiligten, die u.U. das damit verbundenen Risiko zu tragen bereit sein könnten. Sondern es werden Daten Dritter, nämlich die Daten von Kunden ausgetauscht, und zwar i.d.R. ohne Wissen und Zustimmung der Betroffenen. Hier liegt u.U. sogar ein datenschutzrechtliches oder auch (im Schadensfall) ein haftungsrechtliches Problem vor (in Deutschland haften Geschäftsführer bei Verletzung der Sorgfaltspflicht persönlich).

Betroffen sind natürlich in erster Linie Dateien, die in einem direkt lesbaren oder öffentlich zugänglichen Format vorliegen (z.B. CSV, Excel, XML und ähnliche, dies trifft auf praktisch alle in der Schlossindustrie verwendete Formate für Schließanlagendaten zu). Aber auch LOCKBASE-Dateien bieten ohne zusätzliche „starke” Verschlüsselung keinen ausreichenden Schutz. Zwar sind die Dateien chiffriert und es kann ein Dokumentenkennwort eingegeben werden. Dieser Schutz ist jedoch eher für die „hausinterne” Sicherheit gedacht und stellt für einen professionellen Angreifer, welcher über eine Kopie der Datei und ausreichend Zeit verfügt, kein wirkliches Hindernis dar.

Einige Hersteller bieten Ihren Kunden die Möglichkeit eines verschlüsselten Dateitransfers (https) zu einem Web-Server des Herstellers. Aber auch dieses Verfahren ist nicht wirklich sicher. Denn die Daten sind nur während des Transports gesichert. Auf dem Server selbst liegen sie unverschlüsselt. Damit ist das Verfahren nur so sicher, wie der Server, auf dem die Daten zwischengespeichert werden. Steht der Server bei einem Internet-Dienstleister, was bei den meisten Schlossfabriken der Fall ist, dann sind die Daten zumindest für dessen Mitarbeiter problemlos einsehbar. Und da Web-Server normalerweise nicht besonders gesichert sind, ist dieses Verfahren im Grunde nicht vertrauenswürdiger, als der Versand unverschlüsselter E-Mails.

Nur ein Verfahren wie LOCKBASE B2B, das eine hoch­sichere Verschlüsselung der Daten „von Desktop zu Desktop” garantiert, d.h. vom „Schreibtisch” des Kunden bis zur zuständigen, mit der Schließanlagenberechnung betrauten Abteilung des Herstellers, ist wirklich sicher.