Comelit begleitet Kritis-Betreiber zusammen mit Ingenieurbüros, Planern, Sicherheitserrichtern, Partnerunternehmen und anderen Herstellern ganzheitlich.
Foto: Comelit
Comelit begleitet Kritis-Betreiber zusammen mit Ingenieurbüros, Planern, Sicherheitserrichtern, Partnerunternehmen und anderen Herstellern ganzheitlich.

Zutrittskontrolle

Wie Kritis-Betreiber ihre Sicherheitslücken schließen

Betreiber Kritischer Infrastrukturen (Kritis) müssen mit neuen gesetzlichen Maßnahmen rechnen. Ein einheitliches Sicherheitssystem vermindert Angriffsrisiken.

Nicht zuletzt aufgrund der immer angespannteren Sicherheitslage, sondern auch im Hinblick auf die neue europäische NIS 2 Richtline (Richtlinie zur Netz- und Informationssicherheit 2) stellt sich speziell für Unternehmen, die in Deutschland Kritische Infrastruktur (Kritis) betreiben die Frage nach den richtigen Ansätzen und Konzepten, die eigene, bestehende Sicherheitsinfrastruktur der aktuellen Entwicklung anzupassen.

Kritis-Betreiber sind in Deutschland zum Beispiel Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das betrifft unter anderem Bedarfsträger wie Polizei und Feuerwehren aber auch Transport und Verkehr, Energienetzbetreiber, Wasserversorgung, Gesundheitswesen und viele weitere Sektoren.

Über die letzten Wochen sehen wir in den Medien eine sich für Kritis-Betreiber zunehmend verschärfte Sicherheitslage, etwa die Angriffe auf die Deutsche Bahn Anfang Oktober 2022, bei denen Unbekannte in Berlin und Nordrhein-Westfalen wichtige Kommunikationskabel zerstört hatten. Dies führte in Teilen Norddeutschlands zu einem teils Stunden andauernden Stillstand des Zugverkehrs, da eine Kommunikation zwischen den steuernden Leitstellen und den Zügen nicht mehr möglich war. Für das Jahr 2022 beläuft sich der verursachte Schaden in deutschen Unternehmen laut Tagesschau.de auf geschätzt mehr als 200 Mrd. EUR.

Insellösungen in ganzheitliche Systeme überführen

Viele Betreiber, die den gleichen Stressfaktoren ausgesetzt sind, sehen sich nun mit den Anforderungen für teils über Jahrzehnte gewachsene Sicherheitsinfrastruktur konfrontiert, zum Beispiel mit einem Mix aus verschiedenen Sicherheitskameras und Videosicherheitssystemen, unterschiedlichen Zutrittslösungen sowie Einbruchmelde- und Sprechanlagen in teilweise unterschiedlichen Liegenschaften. Dabei gilt es, einen gesamtheitlichen Ansatz zu finden, diese teilweise in die Jahre gekommenen Inselanlagen wenn möglich zu modernisieren oder gegen adäquate ganzheitliche Lösungen zu ersetzen. Neben dem vordergründigen Sicherheitsaspekt steht dabei aber auch die betriebswirtschaftliche Seite im Fokus da die staatlichen und gewerblichen Haushalte im Moment ohnehin finanziell stark unter Druck stehen.

Weiterhin sind die Kritis-Betreiber im Sinne des BSI-Gesetzes (BSIG), § 8a Absatz 3, verpflichtet, alle zwei Jahre die Umsetzung angemessener organisatorischer und technischer Vorkehrungen gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) durch ein Zertifikat nachzuweisen. Mögliche Nachweise sind etwa der Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß der Norm ISO 27001, der ISO 27019 für Energieversorger, der ISO 27799 für medizinische Informatik, der ISO 27011 für Telekommunikationsunternehmen oder branchenspezifischer Sicherheitsstandards.

Mit der nun am 27. Dezember 2022 in Kraft getretenen NIS 2 Direktive der EU müssen die EU-Mitgliedsländer diese innerhalb von 21 Monaten nach Ihrem Inkrafttreten in nationales Recht umsetzen.

Die EU NIS2-Direktive reguliert achtzehn Sektoren von Betreibern (Entities) in der EU, die im Wesentlichen deutschen Kritis--Betreibern entsprechen. In diesem Zusammenhang sollten sich die wesentlichen und wichtigen Einrichtungen im Rahmen ihrer Risikomanagementmaßnahmen im Bereich der Cybersicherheit auch mit der Sicherheit des Personals befassen und über angemessene Konzepte für die Zugangskontrolle verfügen. Diese Maßnahmen sollten mit der Richtlinie (EU) 2022/2557 im Einklang stehen. Dies betrifft auch Videosicherheitslösungen und weitere Sicherheitstechnologien wie Interkomlösungen und Einbruchmeldeanlagen.

Wer wird jetzt Kritis – und wer nicht?

CER-Richtlinie, Kritis light und bald ein Kritis-Dachgesetz. Gleich mehrere bestehende und geplante Gesetze sollen den Schutz Kritischer Infrastrukturen verbessern. Kann das gelingen? Ein Überblick.
Artikel lesen

Einhaltung der DSGVO beachten

Neben der Modernisierung oder Neuanschaffung von Sicherheitslösungen unter Berücksichtigung ökonomischer Grundsätze sind auch die Einhaltung der Datenschutzgrundverordnung (DSGVO) und etwaige Compliance Anforderungen im Rahmen der anzuschaffenden Produkte und Lösungen eine wichtige Herausforderung für Kritis- und Nicht-Kritis-Unternehmen. So könnten auch deutsche oder europäische Betreiber direkt oder indirekt von der Frage betroffen sein, woher die Sicherheitstechnik kommt und wie sicher und vertrauensvoll diese in Deutschland eingesetzt werden kann ohne die Infrastruktur etwaigen Risiken wie zum Beispiel durch Spionage oder Attacken auszusetzen. So hat etwa die USA den sogenannten National Defense Autorisation Act (NDAA) verabschiedet Dieser betrifft auch Sicherheitserrichter, die Sicherheitskameras in Regierungsgebäuden wie Polizeistationen installieren oder mit einer staatlich finanzierten Einrichtung oder gemeinnützigen Organisationen zusammenarbeiten, die Regierungsaufträge annehmen. Hier kann die Einhaltung des NDAA eine Voraussetzung für Ihre Projekte sein. Dabei hat die USA eine Whitelist mit erlaubten Lösungen speziell im Videosicherheitssystembereich erstellt aber genauso auch eine Blacklist mit nicht mehr erlaubten Lösungen, was bedeutet, dass diese nicht in Regierungsgebäuden oder an Standorten verwendet werden dürfen, die Regierungsaufträge abwickeln.

Ein ähnliches Vorgehen sehen wir bei Aufsichtsbehörden in Großbritannien und Australien und auch hier in Deutschland beginnt im Rahmen des weiteren Netzausbaus eine Diskussion, welche Technologie (zum Beispiel Router aus China oder diesbezügliche Kerntechnologie) aus welchem Umfeld man in die kritische Infrastruktur unseres Landes einbauen möchte. Selbst über einen etwaigen Bann wird im Moment auf verschiedenen Ebenen diskutiert. Die Bedenken reichen hier von eingebauten Hintertüren, so genannten „Backdoors“, die für Spionagezwecke genutzt werden könnten, über noch unveröffentlichte Angriffsvektoren auch fremder staatlicher Institutionen, die einen kritischen Infrastrukturbetreiber lahmlegen und sogar einen Blackout verursachen könnten, bis hin zu der immer performanteren, in Kameras installierten Künstlicher Intelligenz, die selbst Menschen in anderen Ländern per Gesichtserkennung aufspüren und verfolgen könnte.

Image
Bedenken beim Schutz Kritischer Infrastruktur, betrifft unter anderem auch in Kameras installierte Künstlicher Intelligenz, die selbst Menschen in anderen Ländern per Gesichtserkennung aufspüren und verfolgen könnte.
Foto: Comelit
Bedenken beim Schutz Kritischer Infrastruktur, betrifft unter anderem auch in Kameras installierte Künstlicher Intelligenz, die selbst Menschen in anderen Ländern per Gesichtserkennung aufspüren und verfolgen könnte.

Aufgaben für Kritis-Betreiber

Kritis-Unternehmen und deren Entscheider sehen sich also aktuell neben vielen technischen, ökonomischen und sozialen Herausforderungen einer Vielzahl von neuen gesetzlichen Verordnungen und Normen ausgesetzt. Was also tun, um allen Anforderungen gleichermaßen gerecht zu werden?

Nach unserer Erfahrung wäre es vorab erst einmal sinnvoll, sich in einer Expertenrunde, die aus Herstellern, aber auch aus Sicherheitserrichtern und Rechtsexperten bestehen sollte, über die aktuell gültige Gesetzeslage zu informieren. Es sollte weiterhin eine umfassende Schutzbedarfsfeststellung des Kritis oder Nicht-Kritis-Unternehmens gemacht werden, mit genauer Definition der Schutzziele sowie einer Bestandsaufnahme der bestehenden Technologie. Darüber hinaus sollten alle möglichen Angriffsszenarien, deren potenzielle Akteure und deren mögliche Interessen dahinter evaluiert und mit entsprechenden Spezialisten diskutiert werden. Die Schutzbedarfsfeststellung ist hierbei ein iterativer Prozess der nach einer ersten groben Bedarfsfeststellung auch nach der Durchführung von Risikoanalysen immer wieder erneut dahingehend geprüft werden sollte.

Daraus lassen sich dann unter anderem die richtigen technischen Sicherheitskonzepte entwickeln. Ein wichtiges Element einer solch ganzheitlichen Planung, ist das richtige Managementwerkzeug, das heißt die „taktische Managementoberfläche“ des Kritis-Betreibers. Dies kann sowohl eine integrale Gebäudemanagementlösung oder Videomanagementlösung sein, aber auch – je nach Risikoanalyse und Schutzbedarfskonzept – ein  geeignetes Zutrittsmanagementsystem, in das Subsysteme mittels geeigneter hochsicherer Schnittstellen integriert werden können.

Hierbei können ältere, aber noch sichere Insellösungen mittels der richtigen vorhandenen Schnittstellen in eine zentrale Managementlösung integriert werden. So kann zum Beispiel ein Videosicherheitssystem von Hersteller 1 in Liegenschaft 1 mit einem zweiten Videosicherheitssystem von Hersteller 2 in Liegenschaft 2 zusammen mit einer Zutrittslösung von Hersteller 3 und weiteren technischen „Subsystemen“ in ein unternehmensweites Sicherheits-Managementsystem integriert werden. Somit haben der Kritis-Betreiber und seine Sicherheitsverantwortlichen eine zentrale taktische Oberfläche, um alle integrierten Subsysteme zu monitoren und auch je nach Schnittstellentiefe mit den Subsystemen zu interagieren.

Durch diese taktische Oberfläche kann der Kritis-Betreiber selbstverständlich seinen Schutzbedarf mit weiteren Herstellerlösungen ergänzen und damit sukzessive seinen „Altbestand“ sanft migrieren oder an neuralgischen Punkten „Altbestand“ gegen hochmoderne und hochsichere neue Lösungen ergänzen und austauschen.

Orientierung im Kritis-Dschungel

Kritis, Kritis light, CER-Richtlinie und ein geplantes Kritis-Dachgesetz. Es ist aktuell nicht leicht bei der Gesetzgebung Kritischer Infrastrukturen den Überblick zu behalten.
Artikel lesen

Videosicherheit und Zutrittskontrolle im Kritis-Umfeld

Die Auswahl eines modernen und hochsicheren Videosicherheitssystem ist selbstverständlich in jedem Kritis-Betreiberumfeld sinnvoll und oft notwendig. Videoanalyse war früher oft nur in zentralen, sehr hochpreisigen Serverlösungen zu finden. Dank der technischen Weiterentwicklung ist sie heute jedoch bereits in vielen Kameras direkt integriert und kann im Kritis-Umfeld einen wesentlichen Beitrag zur Erhöhung der Sicherheit leisten.

Im Hinblick auf datenschutzrechtliche Bestimmungen ist dabei zu beachten, dass das Bedürfnis nach mehr Sicherheit nicht zur Vernachlässigung des Schutzes der Privatsphäre führen darf. Bei der Installation von Videokameras im öffentlichen Raum sind deshalb strenge Maßstäbe an die Verhältnismäßigkeit zu stellen. Daher ist lediglich der Einsatz von Videoschutzanlagen im öffentlichen Raum zulässig. Private Bereiche müssen ausgeblendet werden.

Ebenfalls sinnvoll und notwendig ist der Einsatz eines hochsicheren und modernen Zutrittsmanagementsystems. Hierbei sollte man sowohl als Kritis als auch Nicht-Kritis-Betreiber unter anderem sein Augenmerk auf die stringente Verschlüsselung der Komponenten richten ebenso wie auf nicht klonbare RFID/ID Technik. Vielen Kritis-Betreibern ist leider nicht bewusst, dass eine bestehende Zutrittskarte – sofern diese keine moderne Technik wie Mifare Desfire EV2/EV3 nutzt – oft einfach geklont werden kann und sich somit potenzielle Angreifer mit der Kopie einer Mitarbeiterkarte Zutritt verschaffen können.

Hierbei helfen Konzepte wie die Einführung einer sicheren Kartentechnik ebenso wie der Einsatz einer Mehrfaktorauthentifizierung vor allem an neuralgischen Sicherheitsbereichen, das heißt die Kombinationsabfrage von mindestens zwei Merkmalen, etwa Karte +plus PIN-Nummer oder Karte plus biometrisches Merkmal. Viele Kunden, die wir betreuen, haben in deren neuralgischen Hochsicherheitsbereichen mittlerweile sogar eine Dreifaktor-Authentifizierung eingeführt. Auch Konzepte wie die konsequente Nutzung der sogenannten globalen Antipassback-Logik hilft etwaige Angreifer einzuschränken. Hierbei kann eine Karte, die schon einmal einen Bereich betreten hat, diesen erst wieder verlassen, um ihn erneut betreten zu können. Sollte also eine Klonkarte einen Zutritt versuchen, während der eigentliche Mitarbeiter schon im Gebäude ist, würde der Zutritt verweigert und im Optimalfall ein Alarm an die Managementsoftware ausgelöst. Vor allem aber kann eine bereits „eingetretene“ Karte nicht unter der Tür durchgeschoben werden und ein Angreifer mit der gleichen Identität nun den gleichen Bereich betreten. Türzustandsinformationen werden hierbei in der Praxis online in der taktischen Managementoberfläche angezeigt und Sicherheitspersonal kann Türen auch remote steuern.

Sind wir Kritis?

Viele Firmen wissen nicht, dass der Gesetzgeber sie sie zur kritischen Infrastruktur zählt und ihnen  erhebliche Verpflichtungen auferlegt. 
Artikel lesen

IT-Systeme von Kritis-Betreibern härten

Neben den klassischen und typischen Sicherheitslösungen wie Video, Zutritt, Interkom und Einbruchmeldetechnik gibt es gerade im Kritis-Umfeld weitere wichtige technische Bereiche, die bei einem ganzheitlichen Sicherheitskonzept berücksichtigt werden müssen. Vor allem der IT kommt hierbei eine sehr wichtige Bedeutung zu, die mit sogenannten „Advanced Networks“ ihre Netzwerke immer häufiger gegen etwaige Attacken härtet. Hierbei setzt sich im Markt mehr und mehr eine Sicherheitstopologie durch bei der jedes Subsystem hardwareseitig in einem VLAN separiert ist und über intelligente hochsichere Switche mit anderen Subsystemen je nach Sicherheitskonzept teils mehr oder weniger eingeschränkt hochsicher kommunizieren kann. Die Softwarelösungen inklusive des integralen Managementsystems laufen hierbei in virtualisieren Instanzen ebenfalls in einem eigenen hochsicheren, separierten Netzbereich. Dies stellt viele Anbieter klassischer Sicherheitslösungen aber auch Errichter und Kunden vor die neue Herausforderung, neben der klassischen Sicherheitstechnik, diese nun auch an die neuen hochsicheren Netzwerke anzupassen.

Zusätzlich zu der Sicherheit „on premise“, das heißt in den Liegenschaften des Kunden selbst, gibt es im Sinne eines ganzheitlichen Ansatzes aber noch weitere Gewerke zu planen und zu berücksichtigen. So sollte zum Beispiel ein Besucher nicht ohne weiteres eine Liegenschaft oder zumindest neuralgische Bereiche eines Kritis-Betreibers besuchen können ohne vorher definierte Rahmenbedingen und ohne vorhergehende Aufklärung und den dazu gehörenden Workflow im Sinne eines Besuchermanagements.

Hierbei könnten bereits im Vorfeld die notwendigen Abgleiche mit entsprechenden Datenbanken unternommen werden im Falle, dass es sich um eine hochsichere Einrichtung handelt dies selbstverständlich immer im Einklang mit der DSGVO. So zum Beispiel für eine Zuverlässigkeitsprüfung eines neuen Mitarbeiters. Ebenfalls können generell Besucher vorab informiert werden, eine Sicherheitsunterweisung erhalten und bereits Zutrittsausweise vorab erstellt werden um den Besuch so sicher wie notwendig, aber auch so angenehm wie möglich zu gestalten.

Image
Rainer Sander, Leiter Integrale Zutrittsmanagementlösungen bei der Comelit Group.
Foto: Comelit
Rainer Sander, Leiter Integrale Zutrittsmanagementlösungen bei der Comelit Group.

Bedeutung des Faktors Mensch nicht aus den Augen verlieren

Bei allen technischen Sicherheitslösungen darf auch die Einbeziehung der eigenen Mitarbeiter eines Kritis-Betreibers nicht vergessen werden. Haben Angreifer einmal trotz aller technischen Hürden die „Außenhaut“ überwunden und bewegen sich im „Inneren“ der Liegenschaft, ist ein weiterer wichtiger Aspekt in einem Schutzkonzept eine informierte Belegschaft. Viele Menschen in einem Gebäude, die sich nicht kennen, helfen hierbei Angreifern in der „Masse“ zu verschwinden. Sind die Mitarbeiter in das Sicherheitskonzept aber vorab einbezogen, lassen sich auch hier wirksame Konzepte umsetzen. Eine einfache, aber hilfreiche Maßnahme sind sichtbar getragene Besucherausweise in den Sicherheitsbereichen, die beispielsweise mit grün oder rot markiert sind. Eine vorher definierte Legende besagt, dass grüne Ausweise überall erlaubt sind, rote Ausweise aber nicht in Sicherheitsbereichen. Sieht ein Mitarbeiter nun eine unbekannte Person in einem sicherheitsrelevanten Bereich mit einer „roten“ Karte kann der Wachdienst zur Aufklärung still hinzugerufen werden.

Aktuelle Herausforderungen für Kritis- und Nicht-Kritis-Betreiber

Sicherheit ist seit jeher nie eine einzelne technische Lösung, sondern muss immer einen ganzheitlichen Ansatz verfolgen, um dem definierten Schutzziel gerecht zu werden. Sicherheit erfordert aber vor allem im Vorfeld die Auswahl der richtigen Partner, die über die notwendigen Kenntnisse und Erfahrung verfügen.

Wir bei Comelit begleiten Kritis-Betreiber zusammen mit Ingenieurbüros, Planern, Sicherheitserrichtern, Partnerunternehmen und anderen Herstellern seit Jahren ganzheitlich. Als Hersteller von NDAA und GDPR konformen Videosicherheitssystemen, integralen Zutrittsmanagementlösungen und hochsicherer Interkomtechnik verfolgt Comelit hierbei den ganzheitlichen Ansatz bei Kunden ein Sammelsurium von vielen verschiedenen Inseltechnologien möglichst in wenige hochsichere integrale Lösungen zusammenzuführen, die dem Schutzziel des Kunden gerecht werden. Dies nun auch seit Ende letzten Jahres aktiv als Mitglied im Bundesverband Sicherheitstechnik BHE und im Verband für Sicherheitstechnik VfS.

Rainer Sander, Leiter Integrale Zutrittsmanagementlösungen bei der Comelit Group S.p.A.

Das IT-SIG 2.0 erweitert den Kreis der Kritis um den Sektor Abfallwirtschaft und um Unternehmen von besonderem öffentlichen Interesse.
Foto: Westend61 - stock.adobe.com

Hacker-Abwehr

ITSIG: Verschärfte Anforderungen an Kritis-Betreiber

Das neue IT-Sicherheitsgesetz 2.0 (ITSIG) erweitert den Kreis der Betreiber Kritischer Infrastrukturen (Kritis) und verschärft die Anforderungen an sie.

Ein Ausfall von Kritis durch Cyberangriffe, Stromausfälle oder extreme Wetterlagen kann erhebliche Störungen der öffentlichen Sicherheit und andere dramatische Folgen mit sich bringen.
Foto: chombosan - stock.adobe.com

IT-Sicherheit

Kritis effizient und nachhaltig mit ISMS-Tool betreiben

Die Komplexität des Risiko-Managements für Kritis-Betreiber steigt immens: Helfen kann ein softwarebasiertes Information Security Management System (ISMS).

Betriebe, die wie Rechenzentren zu den Kritischen Infrastrukturen (Kritis) zählen, müssen mit dem kommenden Kritis-Dachgesetz zukünftig auch physisch gesichert werden.
Foto: DisobeyArt - stock.adobe.com

Integrales Zutrittsmanagement für Kritis-Betreiber

Integrieren Betreiber Kritischer Infrastrukturen (Kritis) moderne Zutrittskontrolle, erhöhen sie ihre physische Resilienz essentiell. Ein wichtiges Kriterium im kommenden Kritis-Dachgesetz.

Foto: PWC

Hacker-Abwehr

Cyber Security Experience Center für Kritische Infrastrukturen

Das Cyber Security Experience Center der Pricewaterhousecoopers GmbH in Frankfurt spricht Experten aus dem Bereich Kritischer Infrastrukturen an.