Sicherheitsmanagement im Gebäude

Die zunehmende Verbreitung von IP in der Sicherheitstechnik und die Einbindung von Sicherheitssystemen in das Internet of Things (IoT) anstelle von autarken Insellösungen mit dedizierten Fernwartungszugängen macht eine neue Betrachtung des Sicherheitsmanagements in Gebäuden und Liegenschaften erforderlich. Hinzu kommt, dass gerade im Bereich der Sicherheitstechnik – durch Zutrittskontrolle, Zeiterfassung, Besuchermanagementsysteme und Videoüberwachung – sehr viele personenbezogene Daten erhoben und gespeichert werden, deren Schutz obligatorisch ist. Ein prozessorientierter Ansatz erleichtert dabei die Entwicklung und Implementierung eines umfassenden Sicherheitskonzepts, das die physische Sicherheit, die Datensicherheit und den Datenschutz gewährleistet.

Das PDCA-Modell (Plan-Do-Check-Act) hat sich im Bereich des Sicherheitsmanagements bew?hrt. (Bild: ?Elnur/Fotolia.com)

Das PDCA-Modell (Plan-Do-Check-Act) hat sich im Bereich des Sicherheitsmanagements bew?hrt. (Bild: ?Elnur/Fotolia.com)

Hatte man es im Bereich der Gebäude- und Sicherheitstechnik bisher überwiegend mit aus IT-Sicht autonomen und gegenüber der Außenwelt weitgehend abgeschotteten Systemen zu tun, geht es heute um umfassend vernetzte und exponierte Systeme. Diese sind deswegen bisher nicht vorhandenen Risiken, wie etwa Virenbefall, Computerspionage oder der Einbindung in IoT-Botnetze wie Mirai ausgesetzt. Sicherheitsverantwortliche und Facility Manager haben diese neuen Gefahren, die unmittelbar mit dem Betrieb moderner Gebäudetechnik zusammenhängen, noch nicht vollständig verinnerlicht. Die Absicherung von Systemen gegen diese Risiken wird gerne den IT-Spezialisten im Hause übertragen, die jedoch aufgrund der völlig unterschiedlichen Gegebenheiten in der Domäne der Sicherheitstechnik ihre Erfahrungen und Konzepte aus der Office-Welt nicht immer umsetzen können. So kann beispielsweise der Anschluss von Netzwerkkameras oder Kartenlesern am relativ einfach zugänglichen Perimeter erforderlich sein statt nur innerhalb gesicherter Gebäude – ein potentielles Einfallstor in die internen Netze, das für viele IT-Mitarbeiter in diesem Kontext Neuland ist. Dabei ist eine enge Zusammenarbeit der ITler mit einem qualifizierten Anbieter für Lösungen in der Sicherheits- und Gebäudetechnik einer der Schlüssel zum Erfolg.

Keine Sicherheit ohne Betriebskonzept

Ein schlüssiges und umsetzbares Konzept, um physische Sicherheitssysteme gegen Ausfallzeiten, Datendiebstahl oder Manipulation zu schützen, ist unabdingbar, da sonst weiterhin nur isolierte und in ihren Anwendungsmöglichkeiten begrenzte Einzellösungen entstehen. Ein wesentlicher Aspekt dabei ist die Tatsache, dass die Datenschutzgrundverordnung der EU (DSGVO) ab Mai 2018 die Vorschriften bei Datenschutz und Datensicherheit erheblich verschärft und bei Verstößen erstmals auch empfindliche Bußgelder vorsieht – durchaus vergleichbar mit dem Brandschutz. An die Stelle der DIN VDE0833 tritt bei dieser Analogie die ISO/IEC27001. Diese spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Dabei ist zu berücksichtigen, dass Sicherheit ein Prozess mit einer Vielzahl von Regelgrößen und Rückkopplungen ist. Insbesondere bei der Cyberkriminalität ist ein sehr schneller technologischer Wandel mit immer ausgefeilteren Angriffstechniken zu beobachten, der eine kontinuierliche Evaluation und Anpassung des Sicherheitsmanagements erfordert. Die Natur der IT-Sicherheit als ein Prozess legt nahe, auch die Entwicklung des Sicherheitsmanagements prozessorientiert anzugehen. Bewährt hat sich dabei das PDCA-Modell (Plan-Do-Check-Act), das auch der DIN ISO/IEC27001 zugrunde liegt. Wenn ein Sicherheitskonzept entwickelt werden soll (das ‚Plan‘ im PDCA-Zyklus), steht zunächst die Frage im Raum, welche Werte oder Assets überhaupt geschützt werden müssen. Im Bereich der physischen Sicherheit ist diese Frage meist umfassend beantwortet, und im Bereich der Datensicherheit und des Datenschutzes kann die DSGVO viele Anhaltspunkte geben. Nach der Identifizierung und Bewertung der Assets sollte dann eine umfassende Risikoanalyse erfolgen. Dabei geht es darum, die Bedrohungen und die Schwachstellen zu identifizieren und unter Einbeziehung der Wichtigkeit der einzelnen Assets eine Risikobewertung vorzunehmen. Erst aus dieser Bewertung können tatsächliche Handlungs- und Budgetempfehlungen abgeleitet werden.

Welches Risiko ist akzeptabel?

Da es niemals einen hundertprozentigen Schutz gegen alle Risiken geben kann, ist auch die Überlegung anzustellen, welche Restrisiken für das Unternehmen akzeptabel sind. Basis eines technischen Betriebskonzepts ist die Beschreibung der Umgebung, der Netzwerkarchitektur und der eingesetzten Systeme, mit denen die Sicherheit gewährleistet werden soll. Dazu gehören nicht nur technische Daten, sondern auch Namenskonventionen, Zugriffsrechte und ähnliches. Über diese reine Beschreibung hinaus muss das Betriebskonzept jedoch auch detaillierte Antworten auf folgende Fragen geben:

  • Wie und durch wen werden die Systeme erweitert oder gewartet (einschließlich Fernwartung)?
  • Welche Maßnahmen zur Überwachung und zum Monitoring werden implementiert?
  • Wie werden Änderungen an der Struktur oder an Systemen durchgeführt (Change Management)?
  • Was passiert, wenn ein Sicherheitsvorfall eingetreten ist (Incident-Handling und Notfallmanagement)?
  • Wie wird das Sicherheitsmanagementsystem überwacht und überprüft (Auditing)? Unbedingt zu empfehlen ist auch das Beschreiben der Prozeduren für die Datensicherung sowie die Wiederherstellung der betroffenen Systeme.

Nach der Implementierung

Mit der Implementierung des Sicherheitsmanagementsystems (‚Do‘ im PDCA-Modell) und der Aufnahme des laufenden Betriebs ist zwar ein wesentlicher Meilenstein erreicht, aber noch keine dauerhafte Sicherheit. Zwar darf man davon ausgehen, dass die aktuellen Schwachstellen gesichert sind, aber Sicherheit bleibt ein fortwährender Prozess. Umbauten oder Nutzungsänderungen können jederzeit neue Schwachstellen mit sich bringen; außerdem entstehen ständig neue Bedrohungspotentiale. Zudem werden sich im laufenden Betrieb auch Schwächen zeigen, die sich bei der Definition oder der Implementierung des Sicherheitsmanagementsystems selbst eingeschlichen haben. Der Überwachung und dem Auditing, also dem ‚C‘ im Plan-Do-Check-Act, istTeil des laufenden Betriebs. Allerdings müssen die dadurch gewonnenen Erkenntnisse auch wieder in Aktionen (‚Act‘) münden, mit denen das Sicherheitsmanagement und das Betriebskonzept fortlaufend neuen Gegebenheiten angepasst und verbessert werden. Solche Veränderungen werden zunächst wieder geplant, womit sich der Kreis des PDCA-Modells schließt. Das Auditing wird erheblich vereinfacht, wenn die technische Umsetzung des Sicherheitskonzepts ein zentrales Managementsystem für alle Sicherheitssysteme und die sonstige Gebäudetechnik beinhaltet, da in Form eines Audit Trails nicht nur alle sicherheitsrelevanten Vorfälle und Veränderungen am System zentral aufgezeichnet, sondern ggf. auch korreliert werden können. Zudem ermöglicht ein solches System eine schnelle und sehr gezielte Reaktion auf solche Vorfälle und reduziert darüber hinaus die Betriebskosten.

Marcel Boland,
Produktmanagement,
Bosch Sicherheitssysteme GmbH
de.boschbuildingsecurity.com

Sicherheitsmanagement im Gebäude
Biometric identification concept with fingerprints Biometric identification concept with fingerprints


Das könnte Sie auch interessieren

Mit Abmessungen von nur 33x34mm (Höhe) passt der Pico-KNX Präsenzmelder in viele Einbausituationen, vor allem in Leuchten lässt er sich leicht integrieren.‣ weiterlesen

Anzeige

Das neue MDT-Sicherheitsmodul unterbindet alle verbindungsorientierten Zugriffe der ETS, wie die Programmierung und auch das Entladen der Busgeräte, in der KNX-Linie.‣ weiterlesen

Anzeige

Mit seinem umfangreichen Portfolio hat Warema für zahlreiche Anforderungen hinsichtlich Brandschutz und Sicherheit das passende Produkt parat.‣ weiterlesen

Anzeige

Die Gira Systems 3000 Jalousiesteuerungen bieten eine intuitive Bedienung und einfache Tastenkennzeichnung. Das Sortiment beinhaltet drei Produkte: die Bedienaufsätze Standard und Memory sowie die Jalousieuhr mit Display.‣ weiterlesen

Die Technische Alternative RT GmbH aus Österreich bietet frei programmierbaren Universalregelungen für die Heizungsreglereinheit.‣ weiterlesen

Hager bietet Einblicke in die Architektur sowie die Elektrotechnik- und Gebäudeautomationslösungen des Hager Forums, die in dem über 7.000 Quadratmeter großen Bau installiert wurden.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige