Guter Rat! Zur Neuauflage des BHE-Praxis-Ratgebers Informationstechnik
Mit dem BHE-Praxisratgeber Informationstechnik (IT) bekommen Errichter, Planer und Betreiber von sicherheitstechnischen Anlagen einen kompakten Überblick zu den zentralen Themen der IT, wie Hardware, Software und Kabelanlage.
Behandelt werden außerdem rechtliche Fragen sowie Hinweise zu sicheren Passwörtern und zum Schutz vor Schadsoftware und zu den Themen Datenschutz und Datenintegrität. Über die Neuauflage 2021/22 befragten wir den Vorsitzenden des BHE-Fachausschusses IT Günther Mohr sowie den stellvertretenden Vorsitzenden dieses Ausschusses, Andreas Franz.
GIT SICHERHEIT: Herr Mohr, Herr Franz, der BHE-Praxis-Ratgeber Informationstechnik kommt als Nachschlagewerk in Sachen IT einschließlich Glossar von Zwei-Faktor-Authentifizierung bis VPN... An welche Lesergruppen richten Sie sich damit?
Andreas Franz: Durch die breite Autorenschaft aus dem BHE-Fachausschuss IT werden unterschiedliche Perspektiven für verschiedene Lesergruppen aufgegriffen und behandelt. Der Ratgeber bietet sowohl den Errichtern und Planern sicherheitstechnischer Anlagen, als auch den Betreibern einen verständlichen Überblick über die zentralen IT-Themen.
Gerade ist eine neue, zweite, Auflage herausgekommen. In welchen Kapiteln gab es die stärksten Veränderungen?
Günther Mohr: Die sich permanent verändernde IT-Welt macht es erforderlich, den BHE-Praxis-Ratgeber IT stets zu überprüfen und aktuell zu halten. Daher wurden alle Kapitel auf den Stand der Technik hin geprüft und entsprechend angepasst. Größere Änderungen gab es z.B. in den Themenbereichen Verkabelung, Verschlüsselung und LWL-Wissen.
Andreas Franz: Darüber hinaus ist Cyber-Security ein Thema, das innerhalb des BHE und im BHE-Fachausschuss IT intensiv betrachtet wird und somit eine zentrale Rolle einnimmt. Daher wurde das Thema „Schutz vor Schadsoftware“ weiter ausgebaut.
Stichwort Sicherheit: Beim Passwortmanagement gelten nach wie vor die bekannten Regeln – sie werden aber offenbar immer noch oft missachtet?
Andreas Franz: Ein Hinweis, der aktueller nicht sein könnte! Der Ratgeber behandelt dieses wichtige Thema in einem eigenen Kapitel. Die Leser werden durch praktische Tipps sensibilisiert und unterstützt, denn die IT-Sicherheit steht und fällt mit der Person, die ein System einrichtet.Aktuell beschäftigt sich der BHE-Fachausschuss IT insbesondere mit Cybersicherheit – hier sind spezielle Fortbildungsmaßnahmen in Planung.
Die Verteidigung gegen Schadsoftware, Hackerangriffe, etc. sind wohl ein ewiges Katz-und- Maus-Spiel. Was sind aus Ihrer Sicht die wichtigsten Schutzmaßnahmen gegen Cyberkriminelle, die ein Unternehmen ergreifen kann?
Günther Mohr: In unserem IT-Ratgeber beschreiben wir detailliert, welche Maßnahmen für eine sichere
IT-Umgebung notwendig sind, um das Firmennetzwerk sowohl der Fachfirmen als auch des Kunden bestmöglich und nach aktuellem Sachstand vor Angriffen zu schützen. Das Zusammenspiel von technischen und organisatorischen Mitteln, wie die Firewall, ein aktueller Virenscanner, die Sicherstellung von aktuellen Betriebssystemen und Rechnerarchitekturen sowie die Schulung (Awareness) von Mitarbeitern trägt erheblich dazu bei, Cyberkriminellen das Leben schwer zu machen. Ein ausschlaggebender Faktor ist ohne Zweifel der Mitarbeiter, der für die Bedrohung sensibilisiert sein muss.
Andreas Franz: Leider wird aus Kostengründen oft am falschen Platz gespart, was zu dramatischen Schadensfällen führen kann. Dabei könnte mit den praktischen Tipps und Tricks, die im Ratgeber IT beschrieben sind, bereits eine erhebliche und kostengünstige Verbesserung der Sicherheit im Netzwerk erreicht werden. So stellt das Kapitel „Wichtige Hinweise zur IT-Organisation im Errichter-Betrieb“ die 10 wichtigsten Punkte für mehr IT-Sicherheit in kurzer, verständlicher Form dar.
Speziell am Beispiel der Videotechnologie wird die Gefahr von embedded systems deutlich: IP-Kameras sind Stand der Technik – aber mehr Intelligenz in den Geräten eröffnet eben auch Angriffsmöglichkeiten. Wie hoch schätzen Sie die damit verbundenen Gefahren ein und welche Lösungswege sehen Sie hier mittel- bis langfristig als erfolgversprechend an? Lässt sich der Kampf überhaupt gewinnen?
Günther Mohr: Die Gefahren sind durchaus real. Getrennte Netze und regelmäßiges Einspielen von Updates bzw. Patches sind eine technische Maßnahme. Der BHE-Fachausschuss Videosicherheit hat hierzu u.a. das Papier „Cyber-Security bei Videoanlagen“ ausgearbeitet, das zum Download auf der BHE-Webseite zur Verfügung steht.
Andreas Franz: Ausschlaggebend ist bei diesem Thema die Wahl des Produktes. Die wichtigste Botschaft lautet, nur solche Technik zu verwenden, die durch den Herstellter geprüft ist und bei der die Passwörter, Zugänge und Neztwerkanbindungen sicher gestaltet werden können. Speziell deutsche Herstellter achten mit größter Anstrengung auf die Einhaltung von Datenschutz und die Vermeidung von „Call-Home“-Funktionen (einer Kommunikationsverbindung zum Hersteller). Das gilt natürlich auch für viele ausländische Hersteller – oftmals ist der Nachweis hier aber deutlich schwieriger zu führen. Von günstigen Schnäppchen-Angeboten aus dem Internet, oder vom Bau- und Elektromarkt ist abzuraten, es sollten nur Techniken namhafter Hersteller zum Einsatz kommen.
(Hoch-)Verfügbarkeit ist ein eigenes Kapitel in Ihrem Ratgeber. Angesichts der zunehmenden Einbindung von Sicherheitsgewerken in die Netzwerke ist das einer der wesentlichen Sicherheitsaspekte in Unternehmen und Organisationen. Könnten Sie uns einmal einen Überblick über die Schwerpunkte dieses Kapitels und die wichtigsten Empfehlungen geben?
Günther Mohr: Ein System wird laut Bundesamt für Sicherheit in der Informationstechnik (BSI) als hochverfügbar bezeichnet, wenn es in der Lage ist, trotz des Ausfalls einer Komponente mit hoher Wahrscheinlichkeit (99,99% oder besser) den Betrieb weiter zu gewährleisten. Das bedeutet, dass eine Anwendung auch im Fehlerfall weiter verfügbar ist und ohne unmittelbaren menschlichen Eingriff weiter genutzt werden kann. Die Schwerpunkte dieses Kapitels sind daher, die Berechnung von Hochverfügbarkeit, die erforderliche Redundanz (Clusterarchitektur), die Anforderungen an die IT-Organisation, die Betrachtung der Netzwerkkomponenten allgemein, die Umgebungsbedingungen im LAN/WAN, der Aufbau der Serverarchitektur, die Sicherstellung der Energieversorgung (USV), die Klimatisierung und nicht zu vergessen, der Schutz vor äußeren Einflüssen (Blitz-Überspannungsschutz).
Sie geben im Ratgeber auch Auskunft über die aktuelle Normenlage. Dabei wird auch die Haftung des Errichters thematisiert. Wie schätzen Sie als BHE das Haftungsrisiko für den Errichter in der Praxis ein? Wo liegen die größten Gefahren?
Günther Mohr: Moderne elektronische Sicherungstechniken werden häufig über kundeneigene Netzwerke betrieben. Der Eingriff in fremde Netze ist allerdings mit ernstzunehmenden Risiken behaftet. Errichter und Betreiber sollten Klarheit darüber schaffen, welche vertraglichen Pflichten bestehen und welche weiteren Bedingungen (technisch und gesetzlich) das Vertragsverhältnis betreffen. Gefährlich wird es, wenn die Fachfirma nicht mit den IT-Verantwortlichen des Kunden zusammenarbeitet, denn eine intensive Abstimmung ist das A und O für ein fehlerfreies Funktionieren. Selbstverständlich sollte außerdem sichergestellt sein, dass mit sensiblen Daten des Kunden nicht leichtfertig umgegangen wird.
Detaillierte Informationen zum BHE-Praxis-Ratgeber IT, verschiedene Leseproben sowie das Inhaltsverzeichnis finden Interessenten unter www.bhe.de/Praxis-Ratgeber-IT
Meist gelesen
Vieles ist noch ungeklärt: Justizvollzug als Bestandteil der kritischen Infrastruktur
Ein Beitrag von Wilfried Joswig, Geschäftsführer beim Verband für Sicherheitstechnik VfS.
Phoenix: der erste Barfuß-Sicherheitsschuh auf dem Markt
Baak bringt mit "Phoenix" nach fünf Jahren Entwicklungsarbeit den ersten Barfuß-Sicherheitsschuh auf den Markt.
Wie Unternehmen und Polizei zusammenarbeiten
GIT SICHERHEIT im Interview mit Julia Vincke, Leiterin Unternehmenssicherheit BASF, und Bettina Rommelfanger, Polizeivollzugsbeamtin am Landeskriminalamt Baden-Württemberg (LKA BW).
Coded Processing: Funktionale Sicherheit ohne spezielle Hardware ermöglichen
Im Interview mit GIT SICHERHEIT erläutern Claudio Gregorio (Innotec) und Martin Süßkraut (Silistra Systems) wie die Technologie funktioniert.
General Product Safety Regulation (GPSR): Was regelt sie und welche Akteure müssen sich damit befassen?
Neue EU-Produktsicherheitsverordnung (GPSR) ab 13.12.2024: Wichtige Änderungen und Anforderungen für Verbraucherprodukte