Fremdwort Systemhärtung?

Dabei wird intensiv über die möglichen und sinnvollen Kartenleseverfahren, den Einsatz von biometrischen Leseverfahren oder die Anwendung von Offlinesystemen diskutiert und geplant. Das Gleiche gilt auch für die anderen Komponenten wie Verriegelungssysteme, Türöffner und Türsteuergeräte. Leider gilt das nicht immer bei der Integration des Zutritts- und Berechtigungsmanagements in das Netzwerk und die Integration in die Organisation.

Dazu ein reales Beispiel: Ein Unternehmen mit mehreren Standorten plant die Erneuerung seines veralteten und überholten Zutrittsmanagementsystems einschließlich Besuchermanagement. Erforderlich wird eine Hybridlösung aus Online- und Offlinekomponenten mit zusätzlichen mechanischen Schlössern. Es bestand der Wunsch, die aktiven Komponenten in das vorhandene Netzwerk zu integrieren. Verantwortlich war in diesem Fall der Leiter-IT, der auch gleichzeitig Facilitymanager war und damit eine sehr gute Basis für die Gesamtverantwortung hatte.

Das Unternehmen führte jährlich einen Netzwerkscan durch und beauftragte auch regelmäßig einen Hacker zur Schwachstellenanalyse und war dadurch überzeugt, ein sicheres und für das Zutrittsmanagement geeignetes Netz zu betreiben. In dieses Netz war auch das übergeordnete Gefahrenmanagementsystem integriert, auf demalle Alarmmeldungen einschließlich Zutrittskontrolle aufgeschaltet waren. Auf die Rückfrage nach dem Systemlieferanten und dem standardmäßig eingerichteten Usernamen und Passwort des Systemlieferanten brach dann betriebsame Hektik aus, und die Überzeugung von dem sicheren Netz war dahin. Dieses Beispiel ist leider kein Einzelfall und soll aufzeigen, dass Systemhärtung mehr bedeutet als nur die Absicherung des Netzwerkes.

Systemhärtung ist ein Prozess, der in allen Projektphasen gelebt werden muss. Von der Projektinitiierung über die Planung, Realisierung bis zum Betrieb. Dabei dürfen nicht nur die Technik oder die technischen Maßnahmen betrachtet werden, sondern Systemhärtung muss auch auf der organisatorischen und der menschlichen Ebene betrachtet werden. Warum das so sein muss, wird aus dem oben beschriebenem Beispiel deutlich.

Passwortmanagement ist eine organisatorische Maßnahme, die im Rahmen des Berechtigungsmanagement umgesetzt werden muss. Ein funktionierendes Berechtigungsmanagement wiederum setzt qualifizierte Mitarbeiter mit der erforderlichen Kompetenz voraus, sodass hier auch die menschliche Ebene betrachtet werden muss. Fügt man Projektphasen und Anforderungsebenen zusammen, so ergibt sich folgendes Bild (siehe Grafik weiter unten). Zur Vereinfachung sind hier die Projektphasen Projektinitialisierung und Planung zusammengefasst unter Planung und ebenso die Phasen Errichtung und Abnahme unter Realisierung. Die in den Feldern genannten Themen stehen nur exemplarisch und erheben keinen Anspruch auf Vollständigkeit.

Die Kommunikationsmatrix sollte im Normalfall bereits im Rahmen der Netzwerkplanung erstellt werden und ist Basis für die Errichtung, Inbetriebnahme und Betrieb aller Netzwerkkomponenten. Hier werden unter anderem die IP-Bereiche und Adressen definiert, VLAN-Strukturen erstellt, das Redundanzkonzept berücksichtigt und die Lastverteilung festgelegt. Das heißt, hier wird die Basis für ein funktionsfähiges, sicheres Netz geschaffen und damit auch die Basis für die Systemhärtung. Ohne Kommunikationsmatrix kein sicheres Netz. Stellt man aber im Rahmen eines Projektes an alle Projektbeteiligten die Frage „Wer erstellt die Kommunikationsmatrix?“, so erntet man meist ungläubige Blicke. Weder Fachplaner, Errichter, Systemlieferant oder Betreiber fühlen sich verantwortlich. Hier geht leider immer noch Funktion vor Sicherheit.

Apropos Sicherheit. Häufig wird im Rahmen der Netzplanung auch das Fehlermanagement vernachlässigt. Alle aktiven Komponenten der verschiedenen Hersteller verfügen über umfangreiche Überwachungsfunktionen. Aber welche der Funktionen sind sinnvoll beziehungsweise für einen sicheren Betrieb erforderlich und wer managt diese? Nehmen wir die Lastüberwachung. Wieviel Last pro aktive Komponente ist zu erwarten, wann beginnt der kritische Bereich und wann muss gehandelt werden? Wo werden die Fehlermeldungen aufgeschaltet und wie werden diese behandelt? Wie sieht das Handlungskonzept aus?

Selbstverständlich ist in der Kommunikationsmatrix auch das Redundanzkonzept zu berücksichtigen. Es ist unter anderem zu definieren: heiße Redundanz, kalte Redundanz, Standby Redundanz, N+1 Redundanz, Servicekonzept/Ersatzteilbevorratung, Umschalte- beziehungsweise Rückfallkonzept. Wer letztlich in einem Projekt die Kommunikationsmatrix erstellt, kann individuell definiert werden, nur die Planungsregeln müssen an dieser Stelle eindeutig vom Betreiber vorgegeben werden. Ist der Betreiber dazu nicht in der Lage, da dies nicht zu seinen Kernkompetenzen gehört, muss er sich entsprechend fachliche Unterstützung holen.

Wenn wir über Systemhärtung sprechen, müssen wir auch den physischen Schutz der eingesetzten Komponenten betrachten. Es ist für jeden Experten selbstverständlich, dass in der Zutrittskontrolle zum Beispiel die Türsteuergeräte und Verteiler vor unbefugten Zugriff durch geeignete Maßnahmen wie Deckelkontakt, Riegelkontakt, Bohrschutz und Schutzgehäuse zu schützen sind.

Schaut man sich aber die Netzwerkkomponenten im Detail an, so scheint dieses Basiswissen schlagartig nicht mehr vorhanden zu sein. Allgemein zugängliche Serverräume ohne Zugangsregelung, Patchschränke, bei denen die Türen nach der dritten Erweiterung wegen ungeordneter Patchkabel nicht mehr geschlossen werden können, fehlende Tür- und Riegelkontakte bei Serverschränken, Schlüssel, die auf den Schränken deponiert sind, und Einheitsschließungen für alle Serverschränke sind nur einige Beispiele für Sicherheitslücken beim physischen Zugang. Diese Lücken sind leider nicht fiktiv, sondern häufig real.

Es ist also ein Sicherheitskonzept für den Zugang und Zutritt zu den Systemkomponenten zu erstellen. Wer darf wann, was und wo. Selbstverständlich sind diese Zugriffe auf das System auch zu überwachen und zu dokumentieren. Voraussetzung dafür sind allerdings abschließbare und überwachte Systemschränke und Technikräume. Wenn dann die Komponenten ordnungsgemäß überwacht werden stellt sich die nächste Frage. Wo werden, die Alarm- und Sabotagemeldungen aufgeschaltet, um eine 24/7 Überwachung zu gewährleisten? Gibt es eine ständig besetzte Stelle? Auch das ist sowohl technisch als auch organisatorisch zu gewährleisten.

Jedes System bedarf während seiner Betriebszeit eine Pflege. Dazu gehören Security, Funktionserweiterungen, Hardwareerweiterungen, die allerdings im laufenden Betrieb eingebracht werden müssen und damit rückwirkungsfrei ohne Funktionseinschränkung erfolgen. Hierfür sind neben dem Migrationskonzept, Integrationskonzept, Upgrade-Prozedur, Update-Prozedur, HW-Pflege, Betriebskonzept auch zu bedenken auf welcher HW-Plattform dies erfolgt. Ist ein separates Testsystem für die Systempflege sinnvoll oder vielleicht sogar zwingend erforderlich?

Auch für ein Zutrittskontrollsystem oder besser Zutrittsmanagementsystem sind nicht nur die allgemeinen Anforderungen bezüglich Zugangs- und Berechtigungsmanagement zu definieren, sondern auch die Anforderungen für die Systemhärtung. Dies erfolgt sinnvollerweise im Rahmen einer individuellen Security-Policy, die in jedem Unternehmen und jeder Organisationseinheit vorhanden sein sollte. Einige der wesentlichen Inhalte sind in der obigen Grafik enthalten, allerdings ergeben sich bei detaillierter Betrachtung viele weitere Einzelmaßnahmen, die hier leider nicht vollumfänglich behandelt werden können.

Dabei sind insbesondere der Geltungsbereich und die Verantwortlichkeiten der einzelnen Maßnahmen zu definieren. Allerdings ist das in einer vernetzten Systemarchitektur, wie wir sie heute in allen Bereichen vorfinden, absolut nicht trivial. Das bedeutet auch, dass im Planungsprozess von Anfang an auch die Systemhärtung zu berücksichtigen ist. Bereits in der Planung und Ausschreibung müssen die Anforderungen und Leistungsumfänge für die Systemhärtung explizit erfasst, beschrieben und bewertet werden. In der Realisierungsphase ist die Umsetzung dieser Maßnahmen zu überwachen und auf jeden Fall im Rahmen der Abnahme zu überprüfen. Sinnvollerweise sollten die Abnahmekriterien bereits in der Planungs- und Angebotsphase Bestandteil der Ausschreibung sein und damit auch mit allen Projektbeteiligten kommuniziert sein, um am Ende unliebsame Überraschungen und gegebenenfalls faule Kompromisse zu erleben beziehungsweise akzeptieren zu müssen.

Der Auftraggeber sollte seine Organisation kritisch betrachten und prüfen, ob sie den Anforderungen für einen sicheren Betrieb genügt. Speziell die Anforderungen aus der IT, des Facilitymanagement und des Wirtschaftsschutzes sind in einer sinnvollen und wirksamen Organisation abzubilden. Leider wird es dafür keine pauschale Lösung geben, denn so unterschiedlich und vielfältig die Anforderungen von Unternehmen zu Unternehmen sind, so individuell sind auch die möglichen Lösungen für ein Sicherheitskonzept und die damit verbundene Organisation.