Bosch InfoSec: Gebäudesicherheit in Kombination mit Cybersecurity

Moderne Unternehmen und ihre Gebäude müssen nicht nur vor klassischen Gefahren wie Brand oder Einbruch, sondern auch vor Cyberkriminalität geschützt werden. Bosch auf der it-sa 2019: Halle 10.1, Stand 10.1-506.

Je weiter die Digitalisierung der Wirtschaft voranschreitet, desto stärker wächst auch der Bedarf an Informationssicherheit. Um effizienter und flexibler zu produzieren, vernetzen Unternehmen zunehmend ihre Maschinen und Abläufe – Stichwort Industrie 4.0. Auch die Firmengebäude werden immer schlauer: Komponenten wie Heizung, Lüftung, Beleuchtung, Pforte, Türen, Fenster und Aufzüge sind oft in ein vernetztes Gesamtsystem eingebunden, um den Energieverbrauch und die Sicherheit zentral überwachen und steuern zu können. Alle Branchen produzieren über die verbauten Sensoren und gebäudetechnischen Systeme schon heute viele Daten, die es zu schützen gilt – vor allem vor Hackern.

Mehr zum Thema auf unserer Microsite GIT Cyber Security:

Immer mehr Cyber-Attacken

Laut einer Studie des Digitalverbands Bitkom hat die Zahl der Cyber-Attacken für gut acht von zehn Industrieunternehmen (84 Prozent) in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel (37 Prozent) sogar stark. Die Angriffe gehen von digitalen Kleinkriminellen, aber auch von organisierter Kriminalität oder gar Hackern im Staatsauftrag aus. Auch der Faktor Mensch ist eine Schwachstelle: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden zum Beispiel Mitarbeiter dazu verleitet, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln oder Schadsoftware zu installieren. Auf dieses Phänomen, das Fachleute „Social Engineering“ nennen, muss eine moderne IT-Security ebenso reagieren wie auf Schwachstellen in Computer-systemen und Netzwerken.

Neue gesetzliche Rahmenbedingungen

Schließlich trägt auch der Gesetzgeber dazu bei, dass IT-Security in den Fokus der Betriebe rückt. Das 2015 in Kraft getretenen IT-Sicherheitsgesetz setzt dort an, wo sich eine moderne Gesellschaft Ausfälle am wenigsten leisten kann: bei den Kritischen Infrastrukturen (KRITIS). Branchen wie Energie, IT und Telekom-munikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sind verpflichtet, ihre IT angemessen abzusichern und diesen Schutz mindestens alle zwei Jahre zu überprüfen. Noch in diesem Jahr soll dieses erste IT-Sicherheitsgesetz weiterentwickelt und verschärft werden. Die neue Version ITSiG 2.0 sieht unter anderem vor, die Rolle des BSI als zentraler Behörde zu stärken, die KRITIS-Sektoren zu erweitern, sogenannte KRITIS-Kernkomponenten zu definieren und die Strafen bei Verstößen drastisch zu erhöhen.

Sicherheit auch für KMUs

„Auch wenn KRITIS-Branchen besonders auf Informationssicherheit achten müssen, ist das Thema für jeden Betrieb relevant – auch für die vielen kleinen und mittelständischen Unternehmen“, betont André Heuer, Leiter des Bereichs Information Security (InfoSec) bei Bosch Building Technologies.

Für KMUS hat der VdS, Europas größte Institut für Schadensverhütung, die Leitlinie „VdS-zertifizierte Cyber-Security (VdS 3473) entwickelt. Eine zertifizierte Cyber-Security erzeugt Vertrauen bei Kunden und Lieferanten und führt zu Wettbewerbsvorteilen. Bei Bosch ist man überzeugt, dass Mittelständler nicht nur eigene Leitlinien, sondern auch eine speziell auf sie zugeschnittene Beratung und Services brauchen: „Im Gegensatz zu großen Konzernen haben KMU eher selten ausgewiesene Experten für Informationssicherheit im eigenen Haus und sind auf externes Know-how angewiesen“, sagt der Fachmann.

Ziel: Vertraulichkeit, Verfügbarkeit und Integrität

Heuer leitet alle Aktivitäten rund um Informationssicherheit in dem Bereich, der auf Gebäudesicherheit spezialisiert ist. Bosch bietet Betrieben zum Beispiel Brandmeldesysteme, Überfall- und Einbruchmeldesysteme, elektroakustische Anlagen, Videosysteme sowie Systeme zur Zeitwirtschaft und Zugangskontrolle. Das Information Security Team (InfoSec) kümmert sich um einen weiteren Sicherheitsaspekt: die Informationssicherheit.

„Als erfahrener Systemintegrator können wir die Gebäude nicht nur vor physischen Bedrohungen wie Feuer und Einbruch, sondern auch vor einer modernen Art von Einbrechern schützen, die auf IT-Systeme und Netzwerke zielen und vor verschlossenen Türen nicht Halt machen“, sagt Heuer.

Sein Team sorgt dafür, dass Informationen und IT-Systeme vertraulich, verfügbar und integer bleiben und hilft Kunden, die entsprechender Standards und Gesetze zu erfüllen. Das gilt für die komplette Sicherheitsinfrastruktur: In modernen Gebäuden stehen die einzelnen Sicherheitslösungen nicht mehr autark nebeneinander, sondern sind miteinander vernetzt. Dieses Gesamtsystem gilt es ebenso zu schützen wie die einzelnen Lösungen.

Gebäudesicherheit und Informationssicherheit – Hand in Hand

Wie ein typisches InfoSec-Projekt aussieht, zeigt ein aktuelles Kundenbeispiel: Ein KRITIS-Unternehmen, das eines der größten Fernleitungs-Gasnetze in Deutschland betreibt, hat sein Gesamtsystem, das sogenannte Building Integration System (BIS), auf eine neue IT-Landschaft migriert. Eine wichtige Voraussetzung: Das neue System musste sämtliche Vorgaben aus dem IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) erfüllen. „Das Beispiel zeigt, dass beide Kompetenzen – für Gebäudesicherheit und für Informationssicherheit – heutzutage Hand in Hand gehen. Bosch hat den Auftrag bekommen, weil wir beides gleichermaßen abdecken können“, sagt Heuer.

Von der Beratung zum Betrieb

Bei solchen Projekten geht das InfoSec-Team in drei Schritten vor. Das A und O ist die Beratung (Information Security Consulting). Hier nimmt Bosch die Anforderungen des Kunden auf, ermittelt und bewertet die Risiken und erstellt für den Kunden ein Informationssicherheitskonzept. Im zweiten Schritt (Security Operations Center) sichert Bosch die Kundenlösung im laufenden Betrieb ab. Dazu überprüfen die Experten in vorab definierten Intervallen, ob für die Kundenlösung neue Schwachstellen bekannt geworden sind (Vulnerability Management) und informieren den Kunden über IT-relevante Ereignisse wie zum Beispiel Hackerangriffe oder Rechnerausfälle (Incident Management). Ob Schwachstelle oder Ereignis: Bosch bewertet das jeweilige Risiko und schlägt Gegenmaßnahmen vor. Deren Bandbreite reicht von der Firewall-Einstellung über die Optimierung des Viren-schutzes bis hin zur Systemhärtung.

Mehr Informationen unter: https://www.boschbuildingsolutions.com/de/de/loesungen/gebaeudesicherheit/services/infosec/