Kritische Infrastrukturen KRITIS: Kriterien für ganzheitliche Sicherheit
Betreiber Kritischer Infrakstrukturen (KRITIS) sollten ein ganzheitliches Sicherheitskonzept verfolgen, das neben der IT-Sicherheit und dem Datenschutz auch die physische Sicherheit berücksichtigt. Assa Abloy Sicherheitstechnik stellt im folgenden Beitrag für GIT SICHERHEIT eine Planungsgrundlage für elektronische Schließanlagen vor und erläutert, worauf KRITIS-Institutionen bei der Auswahl eines geeigneten Systems achten sollten.
Auf 205,7 Milliarden Euro beläuft sich aktuellen Schätzungen zufolge der Gesamtschaden, der deutschen Unternehmen allein durch digitale Angriffe oder andere IT-Sicherheitsprobleme in den Jahren 2018 und 2019 entstanden ist. Und die meisten Unternehmen rechnen sogar fest mit einer weiteren Zunahme von Security-Vorfällen in den nächsten Jahren. Betreiber Kritischer Infrastrukturen (KRITIS) sind mindestens genauso lukrative Angriffsziele für Cyber-Attacken oder Vandalismus, besitzen jedoch ein besonders hohes Schadenspotenzial in Bezug auf ihre hohe Relevanz für die Gesellschaft.
Technische Leiter Kritischer Infrastrukturen (KRITIS) sehen sich heute mit stark veränderten Sicherheitsanforderungen konfrontiert. Die verpflichtende Umsetzung definierter Mindeststandards für IT-Sicherheit ist nur ein Beispiel dafür. Zum Schutz gegen Cyberattacken oder Vandalismus müssen die Sicherheitsverantwortlichen diese Veränderungen und immer neue gesetzliche Vorschriften berücksichtigen und jederzeit adäquat darauf reagieren. Keine einfache Aufgabe, wenn man bedenkt, dass die Institutionen allein personell kaum mit der rasanten Entwicklung und den zunehmenden Verantwortlichkeiten Schritt halten können.
Hinzu kommt, dass auch die bestehende Sicherheitstechnik an sich laufend auf dem neuesten Stand gehalten werden muss. Im Bereich von Schließanlagen bieten elektronische und vernetzte Schließsystemlösungen für Rettungswege und Brandschutz inzwischen deutliche Vorteile gegenüber rein mechanischen Systemen. Sie ermöglichen darüber hinaus eine einfache und ressourcenschonende Schließanlagenverwaltung für das Facilitymanagement.
Spezialanbieter für Schließlösungen
Aufgrund der steigenden Nachfrage nach modernen Schließanlagen mit möglichst komfortabler Schließanlagenverwaltung ist auch die Anzahl der Anbieter und Systeme in den letzten Jahren deutlich gewachsen. Der deutsche Markt fokussiert sich aber auf fünf nennenswerte Unternehmen, die mehr als Dreiviertel der begehrten Marktanteile halten.
Die Frage, welcher Anbieter und welche Systeme die passendsten für die individuellen Anforderungen von KRITIS-Betreibern sind, ist dennoch nicht spontan zu beantworten. Auch wenn erfahrungsgemäß das Budget nicht immer die wichtigste Rolle spielt, so berichten doch viele Sicherheitsverantwortliche von nicht nachvollziehbaren Kostenexplosionen und teilweise ärgerlichen Terminverzögerungen in der Zusammenarbeit mit verschiedenen Dienstleistern. Das ist einer der Gründe dafür, weshalb der Bedarf nach objektiven und fundierten Entscheidungshilfen für die Auswahl des passenden Schließsystems und Anbieters größer wird.
Mechanische und elektronische Schließanlagen im Vergleich
Tatsächlich gibt es die „beste“ Schließanlage nicht. Allerdings sind mechatronische und elektronische Schließsysteme heute wesentlich flexibler als rein mechanische Systeme. Das gilt sowohl für ihre vielseitigen Einsatzmöglichkeiten als auch die zeitgemäße Bedienbarkeit und komfortable Verwaltung. Da bei elektronischen Systemen die mechanische Freigabe des Schließzylinders durch eine elektronische Variante ergänzt oder ersetzt wird, kommen heute Chipkarten (Badges), Transponder, elektronische Schlüssel oder auch das Smartphone als Ersatz für mechanische Schlüssel in Betracht. Erst diese digitale Ebene erlaubt die außergewöhnlich leichte und einfache Vergabe und Änderungen von individuellen Zutrittsberechtigungen, die auch zeitlich oder räumlich in einem Gebäude begrenzt werden können.
Kriterien für die Planung
Allen KRITIS ist ihre elementare Bedeutung für die Gesellschaft gemein, dennoch ist die Auswahl eines geeigneten Schließsystems für eine Institution zunächst von ganz individuellen Anforderungen abhängig, die sich in den Bereichen Energie, Gesundheit, Wasser oder Ernährung durchaus unterscheiden können. Die zusätzlichen Herausforderungen durch sich ändernde gesetzliche Bestimmungen machen die Planung insgesamt sehr komplex. Vereinfachend lassen sich aber ein paar allgemeine Kriterien definieren, an denen sich die erste Bedarfsabfrage und danach die detaillierte Planung orientieren kann.
Eines dieser Kriterien sind beispielsweise die Schließzylinder und die Frage, welche Eigenschaften sie haben sollen und müssen. Es geht weiter mit Software und Vernetzung und der Frage ob eher eine kabelgebundene oder funkvernetzte Online-, bzw. Offline-Schließanlage geeignet sein könnte. Abschließend sind auch die erforderlichen Spezifikationen der Beschlagsysteme ein wichtiges Kriterium der Bedarfsanalyse.
Dass letztere sich ebenfalls in moderne Schließanlagen integrieren lassen, ist zwar bekannt und gerade in der Hotelbranche wegen des schlüssellosen Nutzerkomforts weit verbreitet. Sie erfordern aber auch einen etwas höheren Planungs- und Montageaufwand, da sie auf eventuell bereits vorhandene Türen angepasst werden müssen und die entsprechenden Zulassungen benötigen. Allerdings spielen mechatronische und elektronische Beschlagsysteme inzwischen auch im Sicherheitskonzept von KRITIS in Deutschland eine immer größere Rolle.
Die Qual der (Aus)Wahl
Ist die Bedarfsabfrage Schritt für Schritt klar geworden, stehen vor der endgültigen Auswahl eines passenden mechatronischen oder elektronischen Schließsystems noch verschiedene weitere Einflussfaktoren, die ebenfalls berücksichtigt werden müssen. Dazu gehören grundlegende Überlegungen zu den anfallenden Investitionskosten genauso wie ein klarer Überblick über die unzähligen Anbieter und verschiedenen Systeme – inklusive ihrer jeweiligen Vor- und Nachteile.
Die umfassende Bedarfsanalyse und systematische Auflistung der individuellen Anforderungen hilft bei der Entscheidung und kann wertvolle Hinweise liefern, mit denen sich eine unternehmerisch tragfähige Investitionsrechnung aufstellen lässt. Vor der Entscheidung für eine konkrete Schließanlage sollte es dann beispielsweise eindeutige Antworten auf folgende Fragen geben:
- Wie hoch sind die Investitionskosten (CAPEX) sowie die geschätzten Folgekosten, Betriebs- und Verwaltungskosten (OPEX)?
- Wie lang ist die voraussichtliche Nutzungsdauer?
- Wie hoch ist die Investitionssicherheit?
- Werden die unternehmensspezifisch zwingenden Muss-Anforderungen erfüllt?
- In welcher Güte werden die unternehmenseigenen Soll-Anforderungen erfüllt?
IT-Sicherheit mit etabliertem Schwachstellenmanagement
Bei allem Bestreben nach Kosteneffizienz sollte der Hersteller dennoch so ausgewählt werden, dass die Anlage inklusive der Software auch nach vielen Jahren noch auf dem Stand der Technik und der IT-Sicherheit ist. Dann rentiert sich auch eine hohe Investition, sowohl für die Betreiber als auch für die Nutzer des Systems. Dem liegt die Tatsache zugrunde, dass sich im Laufe des Lebenszyklus einer Anlage die Software mehrfach technisch überholen wird.
Seriöse Hersteller stellen deren Nachhaltigkeit sicher, in dem sie bereits bei der Software-Entwicklung auf einen ISO-27001-konformen Prozess setzen. Dieser beinhaltet unter anderem bestimmte Informations- und Zugangssteuerungsrichtlinien oder auch Maßnahmen zur Personalsicherheit sowie umfangreiche Dokumentationsmöglichkeiten.
Der Hersteller sollte zudem ein Schwachstellenmanagement in der Software implementiert haben, das Penetrationstests erlaubt, um Schwachstellen des Systems vorausschauend zu identifizieren, zu eskalieren, zu beheben und zu verteilen. Software-Updates und -Upgrades sollten darüber hinaus über ein Supportverfahren geregelt sein, bei dem ein fachlicher Ansprechpartner zeitnah helfen kann.
Entscheidungshilfe für die passende Schließsystemlösung
Mit dem Whitepaper „Entscheidungsgrundlagen für elektronische Schließanlagen“ bietet Assa Abloy eine Planungshilfe an, die die wichtigsten Fragen gleichzeitig mit einer Bewertungsmatrix mit gewichtetem Punkteverwertungsverfahren und definierten Muss- und Sollanforderungen verknüpft.
Des Weiteren beinhaltet die Planungsgrundlage viele nützliche Checklisten für die oben bereits erwähnte Bedarfsermittlung zur Auswahl und Planung der geeigneten Schließanlage. Enthalten sind außerdem Informationen über die wichtigsten Hersteller und Spezialanbieter sowie ausführliche Portraits und Erklärungen zu den unterschiedlichen Mechaniken, Sicherheitsniveaus und Komponenten elektronischer Schließanlagen.
Spezielle Infos zum Thema Sicherheitstechnik für KRITIS hier
Meist gelesen
Die neue EU-Maschinenverordnung: Ein Wendepunkt für die Maschinenbranche
Der Sensorhersteller Sick bietet einen praxisnahen Überblick über die Auswirkungen und wichtigsten Punkte der Maschinenverordnung (EU) 2023/1230.
Interkey activ bei Erwin Renz Metallwarenfabrik
Ein erneutes Interkey activ Treffen fand bei der Firma Erwin Renz in Kirchberg statt.
Kötter Security übernimmt 120 Jahre alte Wako Gruppe
Die bundesweit tätige Kötter Security Gruppe hat die in Stade beheimatete Wako Gruppe mit all ihren Gesellschaften übernommen.
Die neuen PTRZ Kameras von Hikvision – Installation leicht gemacht
Die PTRZ-Kamera bietet ein revolutionäres Kuppeldesign, bei dem die Abdeckung nicht mehr entfernt werden muss.
D+H übernimmt Geschäftsbereich RWA von EHP Krüger
Die D+H Deutschland GmbH übernimmt den RWA-Bereich von EHP Krüger GmbH, Ennepetal.