Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Sicherheitsmanagement im Gebäude

Die zunehmende Verbreitung von IP in der Sicherheitstechnik und die Einbindung von Sicherheitssystemen in das Internet of Things (IoT) anstelle von autarken Insellösungen mit dedizierten Fernwartungszugängen macht eine neue Betrachtung des Sicherheitsmanagements in Gebäuden und Liegenschaften erforderlich. Hinzu kommt, dass gerade im Bereich der Sicherheitstechnik – durch Zutrittskontrolle, Zeiterfassung, Besuchermanagementsysteme und Videoüberwachung – sehr viele personenbezogene Daten erhoben und gespeichert werden, deren Schutz obligatorisch ist. Ein prozessorientierter Ansatz erleichtert dabei die Entwicklung und Implementierung eines umfassenden Sicherheitskonzepts, das die physische Sicherheit, die Datensicherheit und den Datenschutz gewährleistet.

Das PDCA-Modell (Plan-Do-Check-Act) hat sich im Bereich des Sicherheitsmanagements bew?hrt. (Bild: ?Elnur/Fotolia.com)

Das PDCA-Modell (Plan-Do-Check-Act) hat sich im Bereich des Sicherheitsmanagements bew?hrt. (Bild: ?Elnur/Fotolia.com)

Hatte man es im Bereich der Gebäude- und Sicherheitstechnik bisher überwiegend mit aus IT-Sicht autonomen und gegenüber der Außenwelt weitgehend abgeschotteten Systemen zu tun, geht es heute um umfassend vernetzte und exponierte Systeme. Diese sind deswegen bisher nicht vorhandenen Risiken, wie etwa Virenbefall, Computerspionage oder der Einbindung in IoT-Botnetze wie Mirai ausgesetzt. Sicherheitsverantwortliche und Facility Manager haben diese neuen Gefahren, die unmittelbar mit dem Betrieb moderner Gebäudetechnik zusammenhängen, noch nicht vollständig verinnerlicht. Die Absicherung von Systemen gegen diese Risiken wird gerne den IT-Spezialisten im Hause übertragen, die jedoch aufgrund der völlig unterschiedlichen Gegebenheiten in der Domäne der Sicherheitstechnik ihre Erfahrungen und Konzepte aus der Office-Welt nicht immer umsetzen können. So kann beispielsweise der Anschluss von Netzwerkkameras oder Kartenlesern am relativ einfach zugänglichen Perimeter erforderlich sein statt nur innerhalb gesicherter Gebäude – ein potentielles Einfallstor in die internen Netze, das für viele IT-Mitarbeiter in diesem Kontext Neuland ist. Dabei ist eine enge Zusammenarbeit der ITler mit einem qualifizierten Anbieter für Lösungen in der Sicherheits- und Gebäudetechnik einer der Schlüssel zum Erfolg.

Keine Sicherheit ohne Betriebskonzept

Ein schlüssiges und umsetzbares Konzept, um physische Sicherheitssysteme gegen Ausfallzeiten, Datendiebstahl oder Manipulation zu schützen, ist unabdingbar, da sonst weiterhin nur isolierte und in ihren Anwendungsmöglichkeiten begrenzte Einzellösungen entstehen. Ein wesentlicher Aspekt dabei ist die Tatsache, dass die Datenschutzgrundverordnung der EU (DSGVO) ab Mai 2018 die Vorschriften bei Datenschutz und Datensicherheit erheblich verschärft und bei Verstößen erstmals auch empfindliche Bußgelder vorsieht – durchaus vergleichbar mit dem Brandschutz. An die Stelle der DIN VDE0833 tritt bei dieser Analogie die ISO/IEC27001. Diese spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Dabei ist zu berücksichtigen, dass Sicherheit ein Prozess mit einer Vielzahl von Regelgrößen und Rückkopplungen ist. Insbesondere bei der Cyberkriminalität ist ein sehr schneller technologischer Wandel mit immer ausgefeilteren Angriffstechniken zu beobachten, der eine kontinuierliche Evaluation und Anpassung des Sicherheitsmanagements erfordert. Die Natur der IT-Sicherheit als ein Prozess legt nahe, auch die Entwicklung des Sicherheitsmanagements prozessorientiert anzugehen. Bewährt hat sich dabei das PDCA-Modell (Plan-Do-Check-Act), das auch der DIN ISO/IEC27001 zugrunde liegt. Wenn ein Sicherheitskonzept entwickelt werden soll (das ‚Plan‘ im PDCA-Zyklus), steht zunächst die Frage im Raum, welche Werte oder Assets überhaupt geschützt werden müssen. Im Bereich der physischen Sicherheit ist diese Frage meist umfassend beantwortet, und im Bereich der Datensicherheit und des Datenschutzes kann die DSGVO viele Anhaltspunkte geben. Nach der Identifizierung und Bewertung der Assets sollte dann eine umfassende Risikoanalyse erfolgen. Dabei geht es darum, die Bedrohungen und die Schwachstellen zu identifizieren und unter Einbeziehung der Wichtigkeit der einzelnen Assets eine Risikobewertung vorzunehmen. Erst aus dieser Bewertung können tatsächliche Handlungs- und Budgetempfehlungen abgeleitet werden.

Welches Risiko ist akzeptabel?

Da es niemals einen hundertprozentigen Schutz gegen alle Risiken geben kann, ist auch die Überlegung anzustellen, welche Restrisiken für das Unternehmen akzeptabel sind. Basis eines technischen Betriebskonzepts ist die Beschreibung der Umgebung, der Netzwerkarchitektur und der eingesetzten Systeme, mit denen die Sicherheit gewährleistet werden soll. Dazu gehören nicht nur technische Daten, sondern auch Namenskonventionen, Zugriffsrechte und ähnliches. Über diese reine Beschreibung hinaus muss das Betriebskonzept jedoch auch detaillierte Antworten auf folgende Fragen geben:

  • Wie und durch wen werden die Systeme erweitert oder gewartet (einschließlich Fernwartung)?
  • Welche Maßnahmen zur Überwachung und zum Monitoring werden implementiert?
  • Wie werden Änderungen an der Struktur oder an Systemen durchgeführt (Change Management)?
  • Was passiert, wenn ein Sicherheitsvorfall eingetreten ist (Incident-Handling und Notfallmanagement)?
  • Wie wird das Sicherheitsmanagementsystem überwacht und überprüft (Auditing)? Unbedingt zu empfehlen ist auch das Beschreiben der Prozeduren für die Datensicherung sowie die Wiederherstellung der betroffenen Systeme.

Nach der Implementierung

Mit der Implementierung des Sicherheitsmanagementsystems (‚Do‘ im PDCA-Modell) und der Aufnahme des laufenden Betriebs ist zwar ein wesentlicher Meilenstein erreicht, aber noch keine dauerhafte Sicherheit. Zwar darf man davon ausgehen, dass die aktuellen Schwachstellen gesichert sind, aber Sicherheit bleibt ein fortwährender Prozess. Umbauten oder Nutzungsänderungen können jederzeit neue Schwachstellen mit sich bringen; außerdem entstehen ständig neue Bedrohungspotentiale. Zudem werden sich im laufenden Betrieb auch Schwächen zeigen, die sich bei der Definition oder der Implementierung des Sicherheitsmanagementsystems selbst eingeschlichen haben. Der Überwachung und dem Auditing, also dem ‚C‘ im Plan-Do-Check-Act, istTeil des laufenden Betriebs. Allerdings müssen die dadurch gewonnenen Erkenntnisse auch wieder in Aktionen (‚Act‘) münden, mit denen das Sicherheitsmanagement und das Betriebskonzept fortlaufend neuen Gegebenheiten angepasst und verbessert werden. Solche Veränderungen werden zunächst wieder geplant, womit sich der Kreis des PDCA-Modells schließt. Das Auditing wird erheblich vereinfacht, wenn die technische Umsetzung des Sicherheitskonzepts ein zentrales Managementsystem für alle Sicherheitssysteme und die sonstige Gebäudetechnik beinhaltet, da in Form eines Audit Trails nicht nur alle sicherheitsrelevanten Vorfälle und Veränderungen am System zentral aufgezeichnet, sondern ggf. auch korreliert werden können. Zudem ermöglicht ein solches System eine schnelle und sehr gezielte Reaktion auf solche Vorfälle und reduziert darüber hinaus die Betriebskosten.

Marcel Boland,
Produktmanagement,
Bosch Sicherheitssysteme GmbH
de.boschbuildingsecurity.com

Sicherheitsmanagement im Gebäude
Biometric identification concept with fingerprints Biometric identification concept with fingerprints


Das könnte Sie auch interessieren

Kinder, Senioren, Kranke oder Behinderte sind besonders schutzbedürftig. Doch oft sind gerade die Gebäude, in denen sie sich aufhalten, im Brandfall nicht ausreichend gesichert. ‣ weiterlesen

Moderne Gebäude können dank hunderter Sensoren die Betriebskosten, denEnergieverbrauch sowie den ökologischen Fußabdruck enorm verringern.‣ weiterlesen

Anzeige

Das Interesse an smarten Lösungen wächst, bieten sie doch recht praxisnahe Beispiele, um Kosten zu senken und gleichzeitig den Komfort zu steigern. Doch was gilt es zu beachten?‣ weiterlesen

Anzeige

Jeder hat seine favorisierte Technik beim Abisolieren – die einen scheren, die anderen beißen. Wichtig beim Abisolieren ist allerdings die Wahl des Werkzeugs.‣ weiterlesen

Licht ist mehr als ein Medium der Wahrnehmung. Mit der Beleuchtung verändert sich nicht nur die Erscheinung eines Wohnraums, sondern auch die Atmosphäre.‣ weiterlesen

Für kleine Gewerbeeinheiten bzw. Haus- und Wohnungsbesitzer gibt es jetzt eine elektronische Zutrittslösung aus der Omega-Flex-Familie.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige