Lesen Sie den originalen Artikel: Roundtable zur vernetzten Sicherheit im Smart Building
Wie sich vernetzte Sicherheit im Smart Building und anderen Anwendungen optimal umsetzen lässt war Thema beim Axis Presse-Roundtable am 8. Dezember mit zahlreichen Branchenexperten. Das Meeting fand aufgrund der aktuellen Lage natürlich webbasiert statt. Die PROTECTOR-Redaktion sowie weitere eingeladene Pressevertreter hatten Gelegenheit mit den Experten zu diskutieren und gezielt nachzufragen. An der Runde nahmen teil: Peter Krapp, Geschäftsführer Fachverband Sicherheit ZVEI, Philipp Rothmann, selbstständiger Cyber-Sicherheitsberater – Itsecuritycoach, Sascha Puppel, öffentlich bestellter und vereidigter Sachverständiger für Sicherheitstechnik und Sicherheitskonzepte, Uwe Gleich, Geschäftsführer Gleich GmbH Sicherheits- und Medientechnik sowie Jochen Sauer, Business Development Manager bei Axis Communications. Als Moderator führte Dr. Clemens Gause, Geschäftsführer Verband für Sicherheitstechnik e.V., durch die Runde.
Die aktuelle Lage der Sicherheitstechnik in der Verbandsarbeit
Moderator Gause eröffnete die Diskussion zur vernetzten Sicherheit mit der Frage nach der aktuellen Lage der Sicherheitstechnik in der Verbandsarbeit.
Peter Krapp: Beim ZVEI ist die vernetzte Sicherheit seit langem ein großes Thema. Wir sind ein vielschichtiger, diversifizierter Verband mit einer großen Community, der viele unterschiedliche Projekte betreut. Es gibt beispielsweise aktuell das Projekt „Sense“, das sich an Entwickler richtet, die der Frage nachgehen, wie ein Produkt mit dem eines anderen Herstellers kommunizieren kann. Ein weiteres, weitaus größeres Projekt („Foresight“) beschäftigt sich mit dem Thema Smart Home, erweitert um KI, und damit, wie dies richtig zu installieren ist und wie die „Total Cost of Ownership“ dabei aussieht. Zusätzlich spielt auch die 5G-Entwicklung in der Elektroindustrie eine große Rolle. Das Thema kommt aus der Automation, da die Industrie den Fertigungsprozess mittels 5G optimieren kann. Die Relevanz dieser Technologie ist hoch, denn darüber kann auch jedwede andere Peripherie vernetzt werden. Das beschäftigt in Zukunft daher auch die Sicherheitstechnik.
Philipp Rothmann, selbstständiger Cyber-Sicherheitsberater – Itsecuritycoach.
Birgt das starke Wachstum vernetzter Sicherheitstechnik Gefahren?
Gause verwies auf ein starkes Branchenwachstum in den letzten drei bis vier Jahren von 6 bis 8 Prozent – auch in 2020 sei die Sicherheitstechnik sehr stark gewachsen. Was sind jedoch die Gefahren, die durch dieses Wachstum bedingt sind?
Philipp Rothmann: Das ist sehr vielschichtig. Die große Anzahl an Produkten und Dienstleistungen führt zu einer Fülle an Herstellern, Partnern, Errichtern und IT-Dienstleistern, die im Prozess eingebunden sind. Dadurch entsteht ein hoher Abstimmungs- und Standardisierungsbedarf. Die Gefahren, die sich ergeben, liegen also einerseits auf der Normenebene in der fehlenden Standardisierung und auf der Projekt- und Realisierungsebene in fehlenden Abstimmungen, zum Beispiel zum Datenschutz. Außerdem hat sich die Angriffsfläche vergrößert: 5G bedeutet nämlich, dass große Datenmengen erzeugt werden. Diese Daten werden durch Cyberangriffe wie Denial of Service- und DDoS-Attacken bedroht. Errichter brauchen daher Know-how und vor allem kompetente Partner, die beispielsweise Abnahmeprüfungen wie Pen-Tests durchführen und die Schnittstellen im Auge behalten.
Einblick in die Gefahren im Umfeld der KRITIS
Sascha Puppel: Die Komplexität der Schnittstellen zwischen den Systemen ist sicher eine akute Gefahrenstelle. Aber auch die Schnittstellen in der Planungsphase können ein Hindernis sein – die Kommunikation und Vernetzung funktioniert bereits hier im Vorfeld der Umsetzung eines Projekts häufig nicht. Es gibt zwar zahlreiche, auch hilfreiche Normen. Die notwendigen Funktionen – insbesondere die Betriebsanforderungen – der jeweiligen Anlage werden aber vorab häufig nicht geklärt. Dabei ist die Kommunikation mit dem Kunden zentral. Die aktuellen Regelwerke und Normen zu kennen ist das eine, sie auch anzuwenden und eine Anlage sauber durchzuplanen das andere. Der angesprochene boomende Markt tut sein Übriges: Planer und Errichter mit fragwürdigem Wissen erscheinen auf der Bildfläche. Um deren Qualifikation in der Praxis einzuschätzen, gibt es beispielsweise die DIN EN 16763, die als Entscheidungshilfe dienen kann.
Uwe Gleich: Ich kann mich da Herrn Puppel nur anschließen. Aus meiner Sicht wird in der Baubranche sehr viel „gepfuscht“. Die Errichter sind allesamt ausgelastet, das fördert weder Innovation noch Flexibilität. Noch dazu kommen die meisten Aufträge über die Generalunternehmer (GU). Mit anderen Worten: der Nutzer des Gebäudes wendet sich für Sicherheitsanlagen an den Vermieter, der wiederrum an einen Investor, der wendet sich wiederum an eine Baufirma und diese an einen Nachunternehmer – und so weiter. Zu viele Mitspieler, was nicht zu einer Transparenz der Kommunikation untereinander beiträgt, um mögliche Schwachstellen im Vorfeld aufzudecken und abzustellen. Das bedeutet im Endeffekt, dass der Errichter für Sicherheitstechnik und der Nutzer des Gebäudes keine direkte Verbindung zueinander haben und der Nutzer durch diese lange Kommunikationskette fast keinen Einfluss mehr hat auf das, was gebaut wird. Auch die Sparmaßnahmen und die reine Vergabe nach Preis, ohne Rücksicht auf den Betrieb des Systems, stellen häufig eine Gefahrenstelle dar.
https://www.sicherheit.info/beruehrungslose-zutrittskontrolle
Lösungsmöglichkeiten für komplexe Wege in Sicherheitsprojekten
Clemens Gause fragte die Teilnehmer, welche Forderungen und Lösungsmöglichkeiten es für diese komplexen Wege gibt.
Sascha Puppel: In der frühen Phase, d.h. am besten noch vor der genauen Planung, sollte die Abstimmung bereits zwischen den involvierten Parteien erfolgen. Dies sollte in ähnlicher Weise wie bei Brandmeldeanlage erfolgen. Hier gibt es die normative Anforderung, noch vor der Planung ein Brandmelde- und Alarmierungskonzept zu erstellen. Es müssen dann die Fragen gestellt werden, was alles dazu gehört, welche Bedrohungen denkbar sind, welche Schutzziele es gibt, was die Anforderungen des Objektes sind, usw., um eine Risikobewertung zu erstellen. Darauf sollte dann ein Konzept, mithilfe der ISO-31000, entwickelt werden. Diese typischen Planungsschritte vorherzusehen, spart am Ende viel Arbeit. Errichter müssen sich außerdem trauen, die eine oder andere Planung infrage zu stellen. Außerdem darf die Sicherheitstechnik nicht im Pool der Elektrotechnik untergehen. Stattdessen braucht die Sicherheitstechnik in Leistungsverzeichnissen bzw. Ausschreibungen ein eigenes Fachlos. Dies führt zu einer höheren Qualität und besserer Kommunikation.
Uwe Gleich ergänzt: Nutzer müssen sich darüber hinaus für den Dienstleister entscheiden und sich unbedingt im Vorfeld Gedanken um den weiteren Betrieb machen, der erst im Anschluss erfolgt, nicht nur um die einmalige Investition. Bau und Betrieb lassen sich in dieser Form nicht voneinander trennen.
Peter Krapp, Geschäftsführer Fachverband Sicherheit ZVEI.
Bedrohungen in vernetzten Gebäuden und Smart Buildings
Auf welche Bedrohungen müssen sich Nutzer und Betreiber von Sicherheitsanlagen im vernetzten Gebäude denn einrichten? Gerade aktuell, wo 80 Prozent unseres Lebens in Gebäuden und Liegenschaften stattfindet?
Sascha Puppel: Es gibt keine statische Definition hierfür. Bedrohungen können sich schnell und dynamisch verändern. Das ist einer ihrer elementaren Bestandteile. Diese Dynamik bedeutet, dass auch zu Videosicherheitssystemen regelmäßige Begehungen durchgeführt werden sollten, um zu bewerten, inwiefern das Konzept weiterhin Sinn ergibt und wie sich baulich oder in der Nutzung ggf. seit der letzten Begehung Änderungen ergeben haben. Diese Begehungen sind bereits für Gefahrenmeldeanlagen in der DIN VDE 0833-1 definiert. In der Praxis geschehen sie jedoch nur selten. Eine Begehung und Prüfung erfolgt meistens nicht, mögliche Bedrohungen werden schließlich zu spät festgestellt. Hier brauchen wir Betreiberpflichten. Im Bereich der Sicherheitstechnik würde ich mir persönlich diesbezüglich mehr Normenvorgaben wünschen.
Um nochmals genauer auch auf die vorhin angesprochenen Normen und Regeln einzugehen. Es gibt doch schon so viele davon. Können mehr Normen also die Lösung sein?
Peter Krapp: Ein wichtiger Punkt. Es gibt bereits sehr viele Normen und Standards sowie Merkblätter und ähnliches zur Interpretation ihrer Umsetzung. Aber letztere ist oft schwierig. Ein Beispiel ist unser Merkblatt für Betreiber von Gefahrenmeldeanlagen. Häufig scheitert die Umsetzung an der Frage der Verantwortung – ist die Zentrale oder die Filiale für die Umsetzung verantwortlich? Keiner möchte sich wirklich darum kümmern. Gleichzeitig erleben wir einen sich beschleunigenden, technologischen Fortschritt. Immer feiner ziselierte Normen sind hier aus meiner Sicht nicht unbedingt die Lösung. Vielmehr muss man Planer dazu bringen, aus den bestehenden Normen mehr herauszuholen und sie gezielter in der Praxis anzuwenden.
In Teilbereichen der Sicherheitstechnik fehlen passende Normen
Uwe Gleich bemerkt dazu, dass wir gewisse Regeln auch umsetzen können, selbst wenn es dazu keine offiziellen Normen gibt. Hinzu kommt, dass viele Normen nicht auf der Höhe der Zeit sind, da der Normierungsprozess so langwierig ist. Stattdessen müssen wir in der Industrie gemeinsame Standards definieren und uns an diese branchenweit dann auch entsprechend halten.
Jochen Sauer: Klar, wir sollten, können und müssen Standards zukünftig besser leben. Bauprojekte mit großen Verzögerungen und zusätzlichen Kosten wie der BER oder die Elbphilharmonie entstehen nicht dadurch, dass uns der Rahmen für die Standardisierung fehlt. Alle Projektbeteiligten müssen sich daher im Vorfeld die Frage stellen, welches Schutzziel besteht. In welche Richtung soll das Projekt laufen? Dafür müssen aber alle Stakeholder an einen gemeinsamen Tisch, um die Betriebsanforderung, die notwendig ist, zu erstellen. Die Gesamtkostenbetrachtung und der Nutzen der Anlage über die komplette Nutzungsphase hinweg müssen im Zentrum der Überlegungen stehen. Aktuell befinden wir uns leider oft in einer Situation, in der das Anforderungsprofil nicht genau genug gefasst wird.
Sascha Puppel: Mehr Normen sind vielleicht nicht die richtige Antwort. Vielmehr sollten wir die eine oder andere Norm besser spezifizieren. Ich stelle das immer wieder in der Praxis mit verbändeübergreifenden Infopapieren fest. Wenn der Errichter diese Papiere an der Hand hat, hat das eine ganz andere Wirkung auf die restlichen Stakeholder. Diesen Weg müssen wir forcieren, denn hier erhalten wir positive Rückmeldungen vom Markt. Es geht im Kern also darum, die Betreiber bereits in der Planungsphase informativ abzuholen, damit nicht Videosicherheitslösungen installiert werden und die IT-Sicherheit vergessen wird. Hier benötigt es mehr Aufklärungsarbeit.
https://www.sicherheit.info/smarte-designprinzipien-fuer-sichere-mobility-services
Was muss in Sachen Aufklärung zum Smart Home gemacht werden?
Philipp Rothmann: Ich selbst habe beispielsweise erst seit vier Jahren Berührungspunkte mit dem Bereich Sicherheitstechnik und betreibe inzwischen ein kleines „Smart Home“-Labor. In der Errichtung des Labors hat sich gezeigt, dass Hersteller schnittstellenübergreifend lange nicht viele Informationen an der Hand hatten. Das Gewerk war zusammen mit dem Know-how abgekapselt. Dadurch herrscht immer noch eine recht große Diskrepanz zwischen Sicherheitstechnik und Cybersecurity-Maßnahmen. Ich sehe das beispielsweise am Thema Verschlüsselungsmaßnahmen. Kunden kommen dabei mit der Frage auf mich zu, welche Funklösung sie für ihre Zutrittskontrolle verwenden sollen (RFID, etc.). Eine intelligente, informationssichere Anwendung nutzt allerdings nichts, wenn zwei Drähte aus der Tür kommen, die man nur zusammendrücken muss, um die Tür zu öffnen. Es muss noch viel mehr Verständnis zwischen den einzelnen Disziplinen aufgebaut werden. Es braucht eine Kombination aus physischer Sicherheit und IT-Sicherheit. Wir müssen also eine Vertrauenskette im Planungsprozess integrieren, die die notwendige Qualitätssicherung schafft. Diese Vorgehensweise wird inzwischen punktuell umgesetzt. Ich bin beispielsweise in Kameraprojekte eingebunden, die in Hochsicherheitsbereichen eingesetzt werden, bei denen der Stress, Schwachstellen- und Abnahmetest auch in Bezug auf Informationssicherheit gemacht wird. Solche Projekte gibt es, sie sind aber noch nicht flächendeckend umgesetzt.
Uwe Gleich: Außerdem sollte man den Errichtern, Betreibern und Nutzern aufzeigen, welche Kompetenzen aus den einzelnen Disziplinen vorhanden sind und wie diese gegenseitig genutzt werden können. Es gilt, ihnen die Diskrepanz zwischen einem offenen WLAN kombiniert mit einem Gitter vor dem Fenster aufzuzeigen. Kombinierte Penetrationstests könnten eine Maßnahme sein.
Gibt es Geräte oder Sicherheitstechnik, die wir gar nicht vernetzen wollen?
Uwe Gleich: Aus meiner Sicht, nein. Es gibt keine Bereiche, die wir nicht vernetzen wollen, zumindest nicht, wenn die verwendete Technik auf dem neuesten Stand ist. In der Industrie kommt es immer mal wieder vor, dass beispielsweise Notausknöpfe oder ähnliches bewusst nicht vernetzt werden, aber diese Kategorie an Geräten oder Dingen bildet die Ausnahme.
Peter Krapp: Es gibt Endgeräte, bei denen man die Safety-Funktion abkoppelt, also bewusst nicht vernetzt. Diese Abkopplung erfolgt einerseits zum Schutz des Menschen vor der Maschine oder zum Schutz der Maschine vor dem Menschen. Vernetzen kann man im Prinzip alles, aber es gibt Geräte und Systeme, die wir – aus verschiedenen Gründen – nicht unbedingt vernetzen sollten.
Lesen Sie den originalen Artikel: Roundtable zur vernetzten Sicherheit im Smart Building