Wie Kritis-Betreiber ihre Sicherheitslücken schließen

Nicht zuletzt aufgrund der immer angespannteren Sicherheitslage, sondern auch im Hinblick auf die neue europäische NIS 2 Richtline (Richtlinie zur Netz- und Informationssicherheit 2) stellt sich speziell für Unternehmen, die in Deutschland Kritische Infrastruktur (Kritis) betreiben die Frage nach den richtigen Ansätzen und Konzepten, die eigene, bestehende Sicherheitsinfrastruktur der aktuellen Entwicklung anzupassen.

Kritis-Betreiber sind in Deutschland zum Beispiel Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das betrifft unter anderem Bedarfsträger wie Polizei und Feuerwehren aber auch Transport und Verkehr, Energienetzbetreiber, Wasserversorgung, Gesundheitswesen und viele weitere Sektoren.

Über die letzten Wochen sehen wir in den Medien eine sich für Kritis-Betreiber zunehmend verschärfte Sicherheitslage, etwa die Angriffe auf die Deutsche Bahn Anfang Oktober 2022, bei denen Unbekannte in Berlin und Nordrhein-Westfalen wichtige Kommunikationskabel zerstört hatten. Dies führte in Teilen Norddeutschlands zu einem teils Stunden andauernden Stillstand des Zugverkehrs, da eine Kommunikation zwischen den steuernden Leitstellen und den Zügen nicht mehr möglich war. Für das Jahr 2022 beläuft sich der verursachte Schaden in deutschen Unternehmen laut Tagesschau.de auf geschätzt mehr als 200 Mrd. EUR.

Viele Betreiber, die den gleichen Stressfaktoren ausgesetzt sind, sehen sich nun mit den Anforderungen für teils über Jahrzehnte gewachsene Sicherheitsinfrastruktur konfrontiert, zum Beispiel mit einem Mix aus verschiedenen Sicherheitskameras und Videosicherheitssystemen, unterschiedlichen Zutrittslösungen sowie Einbruchmelde- und Sprechanlagen in teilweise unterschiedlichen Liegenschaften. Dabei gilt es, einen gesamtheitlichen Ansatz zu finden, diese teilweise in die Jahre gekommenen Inselanlagen wenn möglich zu modernisieren oder gegen adäquate ganzheitliche Lösungen zu ersetzen. Neben dem vordergründigen Sicherheitsaspekt steht dabei aber auch die betriebswirtschaftliche Seite im Fokus da die staatlichen und gewerblichen Haushalte im Moment ohnehin finanziell stark unter Druck stehen.

Weiterhin sind die Kritis-Betreiber im Sinne des BSI-Gesetzes (BSIG), § 8a Absatz 3, verpflichtet, alle zwei Jahre die Umsetzung angemessener organisatorischer und technischer Vorkehrungen gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) durch ein Zertifikat nachzuweisen. Mögliche Nachweise sind etwa der Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß der Norm ISO 27001, der ISO 27019 für Energieversorger, der ISO 27799 für medizinische Informatik, der ISO 27011 für Telekommunikationsunternehmen oder branchenspezifischer Sicherheitsstandards.

Mit der nun am 27. Dezember 2022 in Kraft getretenen NIS 2 Direktive der EU müssen die EU-Mitgliedsländer diese innerhalb von 21 Monaten nach Ihrem Inkrafttreten in nationales Recht umsetzen.

Die EU NIS2-Direktive reguliert achtzehn Sektoren von Betreibern (Entities) in der EU, die im Wesentlichen deutschen Kritis--Betreibern entsprechen. In diesem Zusammenhang sollten sich die wesentlichen und wichtigen Einrichtungen im Rahmen ihrer Risikomanagementmaßnahmen im Bereich der Cybersicherheit auch mit der Sicherheit des Personals befassen und über angemessene Konzepte für die Zugangskontrolle verfügen. Diese Maßnahmen sollten mit der Richtlinie (EU) 2022/2557 im Einklang stehen. Dies betrifft auch Videosicherheitslösungen und weitere Sicherheitstechnologien wie Interkomlösungen und Einbruchmeldeanlagen.

Neben der Modernisierung oder Neuanschaffung von Sicherheitslösungen unter Berücksichtigung ökonomischer Grundsätze sind auch die Einhaltung der Datenschutzgrundverordnung (DSGVO) und etwaige Compliance Anforderungen im Rahmen der anzuschaffenden Produkte und Lösungen eine wichtige Herausforderung für Kritis- und Nicht-Kritis-Unternehmen. So könnten auch deutsche oder europäische Betreiber direkt oder indirekt von der Frage betroffen sein, woher die Sicherheitstechnik kommt und wie sicher und vertrauensvoll diese in Deutschland eingesetzt werden kann ohne die Infrastruktur etwaigen Risiken wie zum Beispiel durch Spionage oder Attacken auszusetzen. So hat etwa die USA den sogenannten National Defense Autorisation Act (NDAA) verabschiedet Dieser betrifft auch Sicherheitserrichter, die Sicherheitskameras in Regierungsgebäuden wie Polizeistationen installieren oder mit einer staatlich finanzierten Einrichtung oder gemeinnützigen Organisationen zusammenarbeiten, die Regierungsaufträge annehmen. Hier kann die Einhaltung des NDAA eine Voraussetzung für Ihre Projekte sein. Dabei hat die USA eine Whitelist mit erlaubten Lösungen speziell im Videosicherheitssystembereich erstellt aber genauso auch eine Blacklist mit nicht mehr erlaubten Lösungen, was bedeutet, dass diese nicht in Regierungsgebäuden oder an Standorten verwendet werden dürfen, die Regierungsaufträge abwickeln.

Ein ähnliches Vorgehen sehen wir bei Aufsichtsbehörden in Großbritannien und Australien und auch hier in Deutschland beginnt im Rahmen des weiteren Netzausbaus eine Diskussion, welche Technologie (zum Beispiel Router aus China oder diesbezügliche Kerntechnologie) aus welchem Umfeld man in die kritische Infrastruktur unseres Landes einbauen möchte. Selbst über einen etwaigen Bann wird im Moment auf verschiedenen Ebenen diskutiert. Die Bedenken reichen hier von eingebauten Hintertüren, so genannten „Backdoors“, die für Spionagezwecke genutzt werden könnten, über noch unveröffentlichte Angriffsvektoren auch fremder staatlicher Institutionen, die einen kritischen Infrastrukturbetreiber lahmlegen und sogar einen Blackout verursachen könnten, bis hin zu der immer performanteren, in Kameras installierten Künstlicher Intelligenz, die selbst Menschen in anderen Ländern per Gesichtserkennung aufspüren und verfolgen könnte.

Kritis-Unternehmen und deren Entscheider sehen sich also aktuell neben vielen technischen, ökonomischen und sozialen Herausforderungen einer Vielzahl von neuen gesetzlichen Verordnungen und Normen ausgesetzt. Was also tun, um allen Anforderungen gleichermaßen gerecht zu werden?

Nach unserer Erfahrung wäre es vorab erst einmal sinnvoll, sich in einer Expertenrunde, die aus Herstellern, aber auch aus Sicherheitserrichtern und Rechtsexperten bestehen sollte, über die aktuell gültige Gesetzeslage zu informieren. Es sollte weiterhin eine umfassende Schutzbedarfsfeststellung des Kritis oder Nicht-Kritis-Unternehmens gemacht werden, mit genauer Definition der Schutzziele sowie einer Bestandsaufnahme der bestehenden Technologie. Darüber hinaus sollten alle möglichen Angriffsszenarien, deren potenzielle Akteure und deren mögliche Interessen dahinter evaluiert und mit entsprechenden Spezialisten diskutiert werden. Die Schutzbedarfsfeststellung ist hierbei ein iterativer Prozess der nach einer ersten groben Bedarfsfeststellung auch nach der Durchführung von Risikoanalysen immer wieder erneut dahingehend geprüft werden sollte.

Daraus lassen sich dann unter anderem die richtigen technischen Sicherheitskonzepte entwickeln. Ein wichtiges Element einer solch ganzheitlichen Planung, ist das richtige Managementwerkzeug, das heißt die „taktische Managementoberfläche“ des Kritis-Betreibers. Dies kann sowohl eine integrale Gebäudemanagementlösung oder Videomanagementlösung sein, aber auch – je nach Risikoanalyse und Schutzbedarfskonzept – ein  geeignetes Zutrittsmanagementsystem, in das Subsysteme mittels geeigneter hochsicherer Schnittstellen integriert werden können.

Hierbei können ältere, aber noch sichere Insellösungen mittels der richtigen vorhandenen Schnittstellen in eine zentrale Managementlösung integriert werden. So kann zum Beispiel ein Videosicherheitssystem von Hersteller 1 in Liegenschaft 1 mit einem zweiten Videosicherheitssystem von Hersteller 2 in Liegenschaft 2 zusammen mit einer Zutrittslösung von Hersteller 3 und weiteren technischen „Subsystemen“ in ein unternehmensweites Sicherheits-Managementsystem integriert werden. Somit haben der Kritis-Betreiber und seine Sicherheitsverantwortlichen eine zentrale taktische Oberfläche, um alle integrierten Subsysteme zu monitoren und auch je nach Schnittstellentiefe mit den Subsystemen zu interagieren.

Durch diese taktische Oberfläche kann der Kritis-Betreiber selbstverständlich seinen Schutzbedarf mit weiteren Herstellerlösungen ergänzen und damit sukzessive seinen „Altbestand“ sanft migrieren oder an neuralgischen Punkten „Altbestand“ gegen hochmoderne und hochsichere neue Lösungen ergänzen und austauschen.

Die Auswahl eines modernen und hochsicheren Videosicherheitssystem ist selbstverständlich in jedem Kritis-Betreiberumfeld sinnvoll und oft notwendig. Videoanalyse war früher oft nur in zentralen, sehr hochpreisigen Serverlösungen zu finden. Dank der technischen Weiterentwicklung ist sie heute jedoch bereits in vielen Kameras direkt integriert und kann im Kritis-Umfeld einen wesentlichen Beitrag zur Erhöhung der Sicherheit leisten.

Im Hinblick auf datenschutzrechtliche Bestimmungen ist dabei zu beachten, dass das Bedürfnis nach mehr Sicherheit nicht zur Vernachlässigung des Schutzes der Privatsphäre führen darf. Bei der Installation von Videokameras im öffentlichen Raum sind deshalb strenge Maßstäbe an die Verhältnismäßigkeit zu stellen. Daher ist lediglich der Einsatz von Videoschutzanlagen im öffentlichen Raum zulässig. Private Bereiche müssen ausgeblendet werden.

Ebenfalls sinnvoll und notwendig ist der Einsatz eines hochsicheren und modernen Zutrittsmanagementsystems. Hierbei sollte man sowohl als Kritis als auch Nicht-Kritis-Betreiber unter anderem sein Augenmerk auf die stringente Verschlüsselung der Komponenten richten ebenso wie auf nicht klonbare RFID/ID Technik. Vielen Kritis-Betreibern ist leider nicht bewusst, dass eine bestehende Zutrittskarte – sofern diese keine moderne Technik wie Mifare Desfire EV2/EV3 nutzt – oft einfach geklont werden kann und sich somit potenzielle Angreifer mit der Kopie einer Mitarbeiterkarte Zutritt verschaffen können.

Hierbei helfen Konzepte wie die Einführung einer sicheren Kartentechnik ebenso wie der Einsatz einer Mehrfaktorauthentifizierung vor allem an neuralgischen Sicherheitsbereichen, das heißt die Kombinationsabfrage von mindestens zwei Merkmalen, etwa Karte +plus PIN-Nummer oder Karte plus biometrisches Merkmal. Viele Kunden, die wir betreuen, haben in deren neuralgischen Hochsicherheitsbereichen mittlerweile sogar eine Dreifaktor-Authentifizierung eingeführt. Auch Konzepte wie die konsequente Nutzung der sogenannten globalen Antipassback-Logik hilft etwaige Angreifer einzuschränken. Hierbei kann eine Karte, die schon einmal einen Bereich betreten hat, diesen erst wieder verlassen, um ihn erneut betreten zu können. Sollte also eine Klonkarte einen Zutritt versuchen, während der eigentliche Mitarbeiter schon im Gebäude ist, würde der Zutritt verweigert und im Optimalfall ein Alarm an die Managementsoftware ausgelöst. Vor allem aber kann eine bereits „eingetretene“ Karte nicht unter der Tür durchgeschoben werden und ein Angreifer mit der gleichen Identität nun den gleichen Bereich betreten. Türzustandsinformationen werden hierbei in der Praxis online in der taktischen Managementoberfläche angezeigt und Sicherheitspersonal kann Türen auch remote steuern.

Neben den klassischen und typischen Sicherheitslösungen wie Video, Zutritt, Interkom und Einbruchmeldetechnik gibt es gerade im Kritis-Umfeld weitere wichtige technische Bereiche, die bei einem ganzheitlichen Sicherheitskonzept berücksichtigt werden müssen. Vor allem der IT kommt hierbei eine sehr wichtige Bedeutung zu, die mit sogenannten „Advanced Networks“ ihre Netzwerke immer häufiger gegen etwaige Attacken härtet. Hierbei setzt sich im Markt mehr und mehr eine Sicherheitstopologie durch bei der jedes Subsystem hardwareseitig in einem VLAN separiert ist und über intelligente hochsichere Switche mit anderen Subsystemen je nach Sicherheitskonzept teils mehr oder weniger eingeschränkt hochsicher kommunizieren kann. Die Softwarelösungen inklusive des integralen Managementsystems laufen hierbei in virtualisieren Instanzen ebenfalls in einem eigenen hochsicheren, separierten Netzbereich. Dies stellt viele Anbieter klassischer Sicherheitslösungen aber auch Errichter und Kunden vor die neue Herausforderung, neben der klassischen Sicherheitstechnik, diese nun auch an die neuen hochsicheren Netzwerke anzupassen.

Zusätzlich zu der Sicherheit „on premise“, das heißt in den Liegenschaften des Kunden selbst, gibt es im Sinne eines ganzheitlichen Ansatzes aber noch weitere Gewerke zu planen und zu berücksichtigen. So sollte zum Beispiel ein Besucher nicht ohne weiteres eine Liegenschaft oder zumindest neuralgische Bereiche eines Kritis-Betreibers besuchen können ohne vorher definierte Rahmenbedingen und ohne vorhergehende Aufklärung und den dazu gehörenden Workflow im Sinne eines Besuchermanagements.

Hierbei könnten bereits im Vorfeld die notwendigen Abgleiche mit entsprechenden Datenbanken unternommen werden im Falle, dass es sich um eine hochsichere Einrichtung handelt dies selbstverständlich immer im Einklang mit der DSGVO. So zum Beispiel für eine Zuverlässigkeitsprüfung eines neuen Mitarbeiters. Ebenfalls können generell Besucher vorab informiert werden, eine Sicherheitsunterweisung erhalten und bereits Zutrittsausweise vorab erstellt werden um den Besuch so sicher wie notwendig, aber auch so angenehm wie möglich zu gestalten.

Bei allen technischen Sicherheitslösungen darf auch die Einbeziehung der eigenen Mitarbeiter eines Kritis-Betreibers nicht vergessen werden. Haben Angreifer einmal trotz aller technischen Hürden die „Außenhaut“ überwunden und bewegen sich im „Inneren“ der Liegenschaft, ist ein weiterer wichtiger Aspekt in einem Schutzkonzept eine informierte Belegschaft. Viele Menschen in einem Gebäude, die sich nicht kennen, helfen hierbei Angreifern in der „Masse“ zu verschwinden. Sind die Mitarbeiter in das Sicherheitskonzept aber vorab einbezogen, lassen sich auch hier wirksame Konzepte umsetzen. Eine einfache, aber hilfreiche Maßnahme sind sichtbar getragene Besucherausweise in den Sicherheitsbereichen, die beispielsweise mit grün oder rot markiert sind. Eine vorher definierte Legende besagt, dass grüne Ausweise überall erlaubt sind, rote Ausweise aber nicht in Sicherheitsbereichen. Sieht ein Mitarbeiter nun eine unbekannte Person in einem sicherheitsrelevanten Bereich mit einer „roten“ Karte kann der Wachdienst zur Aufklärung still hinzugerufen werden.

Sicherheit ist seit jeher nie eine einzelne technische Lösung, sondern muss immer einen ganzheitlichen Ansatz verfolgen, um dem definierten Schutzziel gerecht zu werden. Sicherheit erfordert aber vor allem im Vorfeld die Auswahl der richtigen Partner, die über die notwendigen Kenntnisse und Erfahrung verfügen.

Wir bei Comelit begleiten Kritis-Betreiber zusammen mit Ingenieurbüros, Planern, Sicherheitserrichtern, Partnerunternehmen und anderen Herstellern seit Jahren ganzheitlich. Als Hersteller von NDAA und GDPR konformen Videosicherheitssystemen, integralen Zutrittsmanagementlösungen und hochsicherer Interkomtechnik verfolgt Comelit hierbei den ganzheitlichen Ansatz bei Kunden ein Sammelsurium von vielen verschiedenen Inseltechnologien möglichst in wenige hochsichere integrale Lösungen zusammenzuführen, die dem Schutzziel des Kunden gerecht werden. Dies nun auch seit Ende letzten Jahres aktiv als Mitglied im Bundesverband Sicherheitstechnik BHE und im Verband für Sicherheitstechnik VfS.

Rainer Sander, Leiter Integrale Zutrittsmanagementlösungen bei der Comelit Group S.p.A.