Anzeige
Anzeige
Anzeige
Anzeige

Sicherheitsmanagement im Gebäude

Die zunehmende Verbreitung von IP in der Sicherheitstechnik und die Einbindung von Sicherheitssystemen in das Internet of Things (IoT) anstelle von autarken Insellösungen mit dedizierten Fernwartungszugängen macht eine neue Betrachtung des Sicherheitsmanagements in Gebäuden und Liegenschaften erforderlich. Hinzu kommt, dass gerade im Bereich der Sicherheitstechnik – durch Zutrittskontrolle, Zeiterfassung, Besuchermanagementsysteme und Videoüberwachung – sehr viele personenbezogene Daten erhoben und gespeichert werden, deren Schutz obligatorisch ist. Ein prozessorientierter Ansatz erleichtert dabei die Entwicklung und Implementierung eines umfassenden Sicherheitskonzepts, das die physische Sicherheit, die Datensicherheit und den Datenschutz gewährleistet.

Das PDCA-Modell (Plan-Do-Check-Act) hat sich im Bereich des Sicherheitsmanagements bew?hrt. (Bild: ?Elnur/Fotolia.com)

Das PDCA-Modell (Plan-Do-Check-Act) hat sich im Bereich des Sicherheitsmanagements bew?hrt. (Bild: ?Elnur/Fotolia.com)

Hatte man es im Bereich der Gebäude- und Sicherheitstechnik bisher überwiegend mit aus IT-Sicht autonomen und gegenüber der Außenwelt weitgehend abgeschotteten Systemen zu tun, geht es heute um umfassend vernetzte und exponierte Systeme. Diese sind deswegen bisher nicht vorhandenen Risiken, wie etwa Virenbefall, Computerspionage oder der Einbindung in IoT-Botnetze wie Mirai ausgesetzt. Sicherheitsverantwortliche und Facility Manager haben diese neuen Gefahren, die unmittelbar mit dem Betrieb moderner Gebäudetechnik zusammenhängen, noch nicht vollständig verinnerlicht. Die Absicherung von Systemen gegen diese Risiken wird gerne den IT-Spezialisten im Hause übertragen, die jedoch aufgrund der völlig unterschiedlichen Gegebenheiten in der Domäne der Sicherheitstechnik ihre Erfahrungen und Konzepte aus der Office-Welt nicht immer umsetzen können. So kann beispielsweise der Anschluss von Netzwerkkameras oder Kartenlesern am relativ einfach zugänglichen Perimeter erforderlich sein statt nur innerhalb gesicherter Gebäude – ein potentielles Einfallstor in die internen Netze, das für viele IT-Mitarbeiter in diesem Kontext Neuland ist. Dabei ist eine enge Zusammenarbeit der ITler mit einem qualifizierten Anbieter für Lösungen in der Sicherheits- und Gebäudetechnik einer der Schlüssel zum Erfolg.

Keine Sicherheit ohne Betriebskonzept

Ein schlüssiges und umsetzbares Konzept, um physische Sicherheitssysteme gegen Ausfallzeiten, Datendiebstahl oder Manipulation zu schützen, ist unabdingbar, da sonst weiterhin nur isolierte und in ihren Anwendungsmöglichkeiten begrenzte Einzellösungen entstehen. Ein wesentlicher Aspekt dabei ist die Tatsache, dass die Datenschutzgrundverordnung der EU (DSGVO) ab Mai 2018 die Vorschriften bei Datenschutz und Datensicherheit erheblich verschärft und bei Verstößen erstmals auch empfindliche Bußgelder vorsieht – durchaus vergleichbar mit dem Brandschutz. An die Stelle der DIN VDE0833 tritt bei dieser Analogie die ISO/IEC27001. Diese spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Dabei ist zu berücksichtigen, dass Sicherheit ein Prozess mit einer Vielzahl von Regelgrößen und Rückkopplungen ist. Insbesondere bei der Cyberkriminalität ist ein sehr schneller technologischer Wandel mit immer ausgefeilteren Angriffstechniken zu beobachten, der eine kontinuierliche Evaluation und Anpassung des Sicherheitsmanagements erfordert. Die Natur der IT-Sicherheit als ein Prozess legt nahe, auch die Entwicklung des Sicherheitsmanagements prozessorientiert anzugehen. Bewährt hat sich dabei das PDCA-Modell (Plan-Do-Check-Act), das auch der DIN ISO/IEC27001 zugrunde liegt. Wenn ein Sicherheitskonzept entwickelt werden soll (das ‚Plan‘ im PDCA-Zyklus), steht zunächst die Frage im Raum, welche Werte oder Assets überhaupt geschützt werden müssen. Im Bereich der physischen Sicherheit ist diese Frage meist umfassend beantwortet, und im Bereich der Datensicherheit und des Datenschutzes kann die DSGVO viele Anhaltspunkte geben. Nach der Identifizierung und Bewertung der Assets sollte dann eine umfassende Risikoanalyse erfolgen. Dabei geht es darum, die Bedrohungen und die Schwachstellen zu identifizieren und unter Einbeziehung der Wichtigkeit der einzelnen Assets eine Risikobewertung vorzunehmen. Erst aus dieser Bewertung können tatsächliche Handlungs- und Budgetempfehlungen abgeleitet werden.

Welches Risiko ist akzeptabel?

Da es niemals einen hundertprozentigen Schutz gegen alle Risiken geben kann, ist auch die Überlegung anzustellen, welche Restrisiken für das Unternehmen akzeptabel sind. Basis eines technischen Betriebskonzepts ist die Beschreibung der Umgebung, der Netzwerkarchitektur und der eingesetzten Systeme, mit denen die Sicherheit gewährleistet werden soll. Dazu gehören nicht nur technische Daten, sondern auch Namenskonventionen, Zugriffsrechte und ähnliches. Über diese reine Beschreibung hinaus muss das Betriebskonzept jedoch auch detaillierte Antworten auf folgende Fragen geben:

  • Wie und durch wen werden die Systeme erweitert oder gewartet (einschließlich Fernwartung)?
  • Welche Maßnahmen zur Überwachung und zum Monitoring werden implementiert?
  • Wie werden Änderungen an der Struktur oder an Systemen durchgeführt (Change Management)?
  • Was passiert, wenn ein Sicherheitsvorfall eingetreten ist (Incident-Handling und Notfallmanagement)?
  • Wie wird das Sicherheitsmanagementsystem überwacht und überprüft (Auditing)? Unbedingt zu empfehlen ist auch das Beschreiben der Prozeduren für die Datensicherung sowie die Wiederherstellung der betroffenen Systeme.

Nach der Implementierung

Mit der Implementierung des Sicherheitsmanagementsystems (‚Do‘ im PDCA-Modell) und der Aufnahme des laufenden Betriebs ist zwar ein wesentlicher Meilenstein erreicht, aber noch keine dauerhafte Sicherheit. Zwar darf man davon ausgehen, dass die aktuellen Schwachstellen gesichert sind, aber Sicherheit bleibt ein fortwährender Prozess. Umbauten oder Nutzungsänderungen können jederzeit neue Schwachstellen mit sich bringen; außerdem entstehen ständig neue Bedrohungspotentiale. Zudem werden sich im laufenden Betrieb auch Schwächen zeigen, die sich bei der Definition oder der Implementierung des Sicherheitsmanagementsystems selbst eingeschlichen haben. Der Überwachung und dem Auditing, also dem ‚C‘ im Plan-Do-Check-Act, istTeil des laufenden Betriebs. Allerdings müssen die dadurch gewonnenen Erkenntnisse auch wieder in Aktionen (‚Act‘) münden, mit denen das Sicherheitsmanagement und das Betriebskonzept fortlaufend neuen Gegebenheiten angepasst und verbessert werden. Solche Veränderungen werden zunächst wieder geplant, womit sich der Kreis des PDCA-Modells schließt. Das Auditing wird erheblich vereinfacht, wenn die technische Umsetzung des Sicherheitskonzepts ein zentrales Managementsystem für alle Sicherheitssysteme und die sonstige Gebäudetechnik beinhaltet, da in Form eines Audit Trails nicht nur alle sicherheitsrelevanten Vorfälle und Veränderungen am System zentral aufgezeichnet, sondern ggf. auch korreliert werden können. Zudem ermöglicht ein solches System eine schnelle und sehr gezielte Reaktion auf solche Vorfälle und reduziert darüber hinaus die Betriebskosten.

Marcel Boland,
Produktmanagement,
Bosch Sicherheitssysteme GmbH
de.boschbuildingsecurity.com

Sicherheitsmanagement im Gebäude
Biometric identification concept with fingerprints Biometric identification concept with fingerprints


Empfehlungen der Redaktion

Das könnte Sie auch interessieren

Das ideale Smart Home lässt sich unkompliziert nachrüsten, installieren und in Betrieb nehmen und selbstverständlich auch bedienen. Doch die meisten Systeme am Markt erfüllen diese Anforderungen nicht. Frogblue will anders sein. Das auf Bluetooth LE basierende System feirte auf der Light + Building 2018 seine Weltpremiere.  ‣ weiterlesen

‣ weiterlesen

Anzeige

Die Geschwister-Scholl-Oberschule in Vechta wurde im Jahr 2014 zu einer teilgebundenen Ganztagsschule erweitert. Um den neuen Anforderungen gerecht zu werden, wurden in den folgenden drei Jahren einzelne Gebäude umgebaut und an die neue Nutzung angepasst. Wichtig war, dass die Umbaumaßnahmen, die teilweise im laufenden Schulbetrieb durchgeführt wurden, den Unterricht nicht behindern sollten. Das betraf auch die Modernisierung der Gebäudeleittechnik (GLT).

‣ weiterlesen

Cloudlösungen, also das systematische Auslagern von Daten und IT-Prozessen auf externen Servern, die über das Internet angebunden werden, setzen sich in vielen Anwendungsbereichen durch. Dabei macht auch die Gebäudetechnik keine Ausnahme. Mit guten Gründen, wie der VDMA-Fachverband Automation und Management für Haus und Gebäude meint. ‣ weiterlesen

Anzeige

Aktuelle Systemlösungen für die automatisierte Temperatursteuerung, Luftfilterung und Beleuchtung von Produktionsstätten orientieren sich jedoch lediglich an Sollwertüberschreitung und arbeiten dementsprechend reaktiv. Die Abwärme von Fertigungstätigkeiten oder Witterungseinflüsse werden meistens nicht für die Gebäudeautomatisierung genutzt. Aus dieser Motivation heraus entwickelt das Fraunhofer IPT zusammen mit Industriepartnern eine sowohl bedarfsgerechte als auch prädiktive Gebäudeautomation durch die Einbindung der Kommunikation des Gebäudes mit Produktionsplanung und -steuerung (PPS) sowie Wetter-Forecasts. Dies resultiert in mehr Komfort für den Mitarbeiter und in Energieeffizienz für die Produktionsstätte. ‣ weiterlesen

Der Neubau für die Fachhochschule Bielefeld auf dem Campus Minden gilt gleich in doppelter Hinsicht als wegweisend: Er integriert modernste Energie- und Automationstechnik und liefert zugleich ein Musterbeispiel für das disziplinübergreifende, integrale Bauen. Durch enge Zusammenarbeit erreichten Planer und Gewerke bei Qualität und Kosten eine Punktlandung. ‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige