Die Krux mit dem Schutz

Durch das Internet der Dinge, Industrie 4.0 oder allgemein intelligentere und miteinander vernetzter Geräte, wächst auch die potenzielle Gefahr von Cyberangriffen. Hersteller wie Fachplaner und Errichter sehen sich hier der Herausforderung gegenüber, ihre Kunden kompetent zu beraten.

Denn es fehlt an einem allgemeinen Konsens, wie dieses Thema am besten angepackt werden soll. Wer ist verantwortlich? Bereits der Planer oder doch der Errichter? Oder obliegt das Thema digitale Sicherheit dem Kunden selbst? Im Rahmen eines Roundtables diskutierten Jochen Sauer, Business Development Manager bei Axis Communications, erörterte gemeinsam mit Philipp Rothmann, Berater und Experte für IT-Sicherheit, Fachplaner Benjamin Bäßler und Facherrichter Jens Heil von der Gleich GmbH auf der Light+Building 2018 diese Fragen.

„Ein Kunde hat wenig Bewusstsein für Sicherheitslücken, bis er selbst davon betroffen ist“, sagte Benjamin Bäßler, Projektingenieur der Elektroplan Ingenieur GmbH. Die Anforderungen des Fachplaners und die Wünsche des Kunden seien nicht immer die gleichen. Während der Kunde den Komfort und die Finanzierung im Blick habe, denke der Fachplaner auch an die IT-Sicherheit der Systeme und überlege, ob und wie diese mit anderen Systemen integriert werden sollten.

Eine weitere Herausforderung ist dabei auch, langfristig zu denken und den End-to-Support des Herstellers nicht aus dem Blick zu verlieren. Wenn beispielsweise ein Videoüberwachungssystem bei der Abnahme eines Gebäudes als sicher eingestuft wird, bedeutet das nicht, dass dieser Status automatisch für die nächsten Jahre gilt. Gebäudebetreiber und -nutzer müssen die IT-Sicherheit selbst Jahre nach der Inbetriebnahme aufrechterhalten.

Die Angriffspunkte eines Gebäudes reichen beispielsweise von Netzwerk-Druckern bis zu professionellen Zutrittskontrollsystemen. „Die Aufgabe für die gesamte Wertschöpfungskette lautet, die Komplexität beherrschbar zu machen“, erklärte Philipp Rothmann, Senior Manager dhpg. Eine häufig diskutierte Lösung betreffe die Risiko-Clusterung, wonach Netzwerke für einzelne Zwecke wie beispielsweise die Videoüberwachung, eingerichtet und sogenannte „Insellösungen“ geschaffen werden. In einem solchen isolierten System bilden etwa mehrere Computer ein eigenständiges Netzwerk, das nicht direkt mit anderen Netzwerken verbunden ist und daher nur schwerer angreifbar ist. Der Nachteil: Diese Systeme können nicht mit anderen integriert werden.

Doch was bedeutet dies für den Fachplaner? Hier waren sich die Teilnehmer einig, dass dieser langfristig planen und zukünftige Entwicklungen im Blick haben muss sowie auch kritisch die Hersteller der einzelnen Komponenten auswählen soll. Die Einhaltung dieser Punkte ist extrem wichtig – die Praxis sieht jedoch anders aus.

Hier ist der Fachplaner oft im Zwiespalt zwischen den Anforderungen an eine Sicherheitsanlage seitens seiner Kunden sowie den Lösungen, die technisch die meisten Vorteile versprechen. Die Herausforderung für den Fachplaner lautet daher, das Bewusstsein beim Endnutzer dafür zu wecken, dass Komfort oftmals zweitranig ist und die Sicherheit eines Systems von hoher Priorität ist.

Ebenso wie der Fachplaner muss auch der Facherrichter seiner Aufgabe, der Sensibilisierung für Cybersecurity beim Endkunden, nachgehen. Er ist nicht nur für die Errichtung der Anlagen zuständig, sondern eben auch für die Instandhaltung.

Dazu kommt, dass Sicherheit heutzutage umfassender geworden ist: Befand sich beispielsweise früher eine Patentschrift in einem Tresor, der durch einen Bewegungsmelder und Videoanlagen gesichert wurde, liegt diese Patentschrift eines Unternehmens heute auf einem Server, der eine andere Angriffsabwehr erfordert. Wobei IT-Sicherheit hier mit physischer Sicherheit verbunden sein muss. Denn eine unüberwindbare Firewall kann noch so sicher sein, wenn jedoch das Bürogebäude unverschlossen und ohne eine Zutrittskontrolllösung für den Personenzugang offen ist.

Viele Unternehmen besitzen eine IT-Abteilung, die als wichtiger Bestandteil im Unternehmen, die Netzwerksysteme für Videosicherheitsanlagen und das produktive Netz sichert. Durch die immer stärker werdende IP-Ausrichtung der Sicherheitstechnik sind Kunden inzwischen stärker involviert als früher.

Wenn die Videoüberwachungsanlage eines Kunden beispielsweise mit dem Internet verbunden ist, sichern sich Facherrichter oftmals durch Haftungsausschlüsse ab. Denn durch einen ungesicherten Zugang zum Internet wächst die Gefahr eines Cyberangriffs. Die Konsequenz: Viele Facherrichter verlieren lieber einen Auftrag als ihre Reputation, indem sie darauf verzichten, unsichere Netzwerksysteme zu errichten. Um dieses Dilemma aufzulösen, wird es in der Folge zunehmend wichtiger, dass alle Vertreter der Wertschöpfungskette zusammenarbeiten.

Auditoren werden meistens dann in Unternehmen gerufen, wenn die Vermutung auf eine Sicherheitslücke besteht und die Gefahr eines Angriffs droht. Dabei kommen oftmals Sicherheitslösungen zutage, die zwar für die Mitarbeiter komfortabel sind, aber keine ganzheitliche Sicherheit bieten.

Ein Beispiel: Ein Unternehmen verknüpfte die Funktion einer Zutrittskarte mit RFID-Chip mit der Abholung von Druckunterlagen. Doch der Mitarbeiter verliert die Zutrittskarte in der Mittagspause und merkt dann im Büro, dass auch bereits gedruckte Unterlagen verschwunden sind. Dies ist, nicht nur in Zeiten der Datenschutz-Grundverordnung, ein schwerwiegendes Problem. In diesem konkreten Fall führte das Unternehmen einen zusätzlichen Pin zur Abholung von Druckaufträgen ein.

Der Endanwender hat das Thema Cybersecurity oftmals nicht im Blick und ist sich der Gefahr die besteht, oftmals nicht einmal bewusst. Die Teilnehmer diskutierten lange, wessen Aufgabe es eigentlich sei, den Kunden ausreichend zu informieren und zu schulen. Fazit: Es kann nur ein gemeinsames Unterfangen sein, egal ob Fachplaner oder -errichter. Zudem sind auch die Hersteller in der Pflicht, um beispielsweise langfristig Updates oder einen Long-Term Support (LTS) für Produkte etc. zur Verfügung zu stellen.

Als Endanwender, also Inhaber eines Gebäudes, ist man gut beraten, schon bei der Auswahl eines Fachplaners und -errichters auch den Aspekt Cybersecurity zu beachten. Denn wird hier eine kompetente Kraft ausgewählt, ist der erste, wichtigste Schritt bereits getan: Sensibilisierung für das Thema Cybersicherheit.

Hilfreich sind hier Schulungszertifikate sowie Sicherheitsstandards, nach denen sich der Nutzer richten kann. Doch während im Bereich Brandmeldetechnik eine sehr gute und auch transparente Normierung besteht, fehlen dem Verbraucher im Bereich Cyber-Sicherheitstechnik verbindliche Zertifikate. Hier ist definitiv Handlungsbedarf vorhanden.

„Seitens der Wertschöpfungskette fällt es aufgrund der sich schnell ändernden Erkenntnisse über Sicherheitslücken schwer, entsprechende Zertifikate zu generieren“ sagte Fachplaner Benjamin Bäßler. Hersteller hätten etwa die Möglichkeit, sich ihr Information Security Management System durch eine unabhängige Prüfung ISO 27001 zertifizieren zu lassen. Diese Zertifizierung ist unter anderem Bestandteil des IT-Sicherheitsgesetzes, welches für die Betreiber von kritischen Infrastrukturen verpflichtend ist.

Zertifikate, die als Orientierung für den Endanwender bei der Suche nach dem passenden Fachplaner und –errichter dienen, sind das eine. Doch auch Planer und Errichter benötigen kompetente Partner an ihrer Seite, die ebenso langfristig denken. So ist es essentiell, dass die Hersteller der einzelnen Komponenten, egal ob dies eine Sicherheitskamera, eine Türsprechanlage oder eine Schranke ist, ebenfalls bewusst ausgewählt werden. Auch hier gibt es unterschiedliche Hilfestellungen wie Normen oder Standards.

In der Diskussionsrunde wies Jochen Sauer von Axis Communications auf die Verantwortung der Hersteller selbst hin. Denn Cybersecurity fängt beim Produkt selbst an. „In unserem Hardening Guide zeigen wir Möglichkeiten, wie unsere Produkte gehärtet werden können – also gegen Hackerangriffe gesichert werden. Zudem bieten wir Webinare und informieren über Sicherheitspatches“, so der Experte für Sicherheitsanlagen.

Die Diskussion zeigte, dass die Anfänge einer übergreifenden Zusammenarbeit vorhanden und sich Fachplaner sowie Facherrichter einig sind, dass Cybersecurity nur gemeinsam und in Zusammenarbeit mit den Herstellern erreicht werden kann. Doch dürfen auch die Herausforderungen für die einzelnen Parteien nicht ignoriert werden: Der Fachkräftemangel sowie eine abweichende Gewichtung auf Seiten des Endkunden.

Der Fachkräftemangel betrifft nicht nur das Handwerk in Deutschland, sondern auch die Gebäudetechnik: So haben unter anderem Facherrichter Schwierigkeiten, passendes Personal zu finden. Dazu kommt, dass die Fachplanung komplexer geworden ist: Statt eines singulären Systems, sind mehrere Sicherheitssysteme parallel im Einsatz. Hier ändern sich die technischen Anforderungen in kurzen Abständen. Ideal wäre die Schaffung einer neuen Expertenposition, beispielsweise die eines „Systemintegrators“. Dieser prüft das System auf seine Vernetzung mit den verschiedenen Gewerken und ihre Kompatibilität und hat auch die Cybersicherheit im Blick.

Ein weiterer Punkt ist der Wunsch von Endnutzern nach absoluter Sicherheit. Da Nutzer interagieren wollen und sich nicht alle Systeme voneinander trennen lassen, wäre eine Lösung auf eine „offene Kommunikation“ der einzelnen Geräte zu setzen: Das hieße, transparent nachzuverfolgen wie die verschiedenen vernetzten Geräte, ohne proprietäre Protokolle, miteinander arbeiten. Außerdem sollte gezielt festgelegt werden, was die Devices austauschen dürfen. Für diese Aufgabe sind entsprechendes Wissen sowie Integratoren notwendig, die zusätzlich zu ihrem Fachwissen zur Standardisierung der Einrichtung auch Experten im Bereich Cybersecurity sind.

Am Beispiel des Neusser Krankenhauses zeigt sich, dass Mitarbeiter beim Thema Sicherheit ein elementarer Bestandteil des Sicherheitskonzepts sind und entsprechend geschult werden müssen. So hatte das Krankenhaus zum Zeitpunkt des Cyberangriffs beispielsweise nur ein Single Sign-On, über das ein Mitarbeiter durch eine einmalige Authentifizierung am Arbeitsplatz auf alle Dienste zugreifen konnte.

„Dieses Beispiel zeigt, dass sichere Passwörter und die Passwortverwaltung, im Hinblick auf das Thema Security by Design, unerlässlich sind“ sagte Jochen Sauer von Axis Communications. Dabei gilt es zu beachten, dass Passwörter schwer zu erraten sein müssen. Die Empfehlung, besonders komplexe Passwörter zu verwenden, die häufig gewechselt werden, ist allerdings nur schwer praktikabel. Auch Philipp Rothmann, Senior Manager dhpg, prognostizierte, dass Passwörter auch in der unmittelbaren Zukunft wichtig bleiben werden, aber es einen zusätzlichen Faktor geben muss.

Ein intelligenter Ansatz zur Risikominimierung ist der sogenannte Penetrationstest. Also das aktive Testen der Anlagen in Hinblick auf Sicherheitslücken. Dabei wird zwischen zeitpunktbezogenen oder zeitraumbezogenen Zertifizierungen unterschieden. So kann beispielsweise eine Wirtschaftsprüfungsgesellschaft eine Zeitpunktbetrachtung des Sicherheitszustandes erstellen. Damit wird das Risiko eines Angriffs eingeschätzt und Risikolücken aufgezeigt.

Arbeiten alle beteiligten Parteien zusammen und sind sie offen für eine konstruktive Fehlerkultur, können Risiken frühzeitig erkannt und auf Gefahren reagiert werden, bevor sie zu Bedrohungen werden. Wird ein obligatorischer Penetrationstest als Bestandteil der Ausschreibung aufgenommen, bietet dies für Fachplaner und Facherrichter die Möglichkeit, per Vertrag aus der Haftung genommen zu werden

Hat der Hersteller seine Systeme bestmöglich gehärtet, der Fachplaner alle möglichen Sicherheitsrisiken bedacht, ist das Sicherheitssystem optimal konstruiert und hat der Facherrichter das Sicherheitssystem aufgesetzt, getestet und fehlerfrei abgenommen, bedeutet eine sichere Lösung nicht, dass sie dies auch am folgenden Tag noch ist. Während regelmäßige Wartungen in der Brandmeldetechnik verpflichtend sind, sind Wartungsverträge und instandhaltungsorientiertes Betreibungsmanagement in der Videotechnik bisher selten. „Ursächlich für das Verhalten ist das Fehlen einer rechtlichen Vorschrift oder eine negative Erfahrung wie die eines Cyberangriffs, die Notwendigkeit etwas zu verändern und Gelder bereitzustellen“, berichtet Jens Heil, Betriebsleiter Gleich GmbH.

Zugleich gibt es Unterschiede zwischen industriellen und privaten Nutzern von intelligenten Gebäuden. Während Unternehmen häufiger bereit sind einen Wartungsvertrag mit Facherrichtern abzuschließen, trifft dies auf Privatnutzer nur bedingt zu. Zugleich sehen sich letztere häufig nicht in der Lage ihre Sicherheitssysteme selbständig zu prüfen.

Die zunehmende Komplexität in der Sicherheits- und Gebäudetechnik erfordert die Zusammenarbeit aller Beteiligten der Wertschöpfungskette. Auch wenn Vertreter der verschiedenen Gewerke die Vorteile der Zusammenarbeit klar definieren, findet der Austausch noch nicht flächendeckend statt.

Durch fehlende Transparenz der Arbeitsprozesse, der Wertschöpfungskette, Zeit- und Kostendruck, sowie die Tendenz der Nutzer, komfortable Lösungen den sicheren vorzuziehen, sind Sicherheitslücken die Realität. Darüber hinaus fehlt in der breiten Öffentlichkeit das Bewusstsein für die Komplexität von Cybersecurity. So wird etwa Gebäudesicherheit als Thema wahrgenommen, es fehlt jedoch das Verständnis der Verknüpfung einzelner Komponenten miteinander. Durch dieses fehlende Bewusstsein schließt ein Mitarbeiter beispielsweise sein Smartphone zum Laden an den Computer an und bietet Angreifern bereits damit einen Eintrittspunkt für das unternehmensweite Netzwerk.

Hersteller tragen unter anderem durch eine intelligente Gerätehärtung zu einer besseren Sicherheitsleistung bei. „Wenn diese durch Fachplaner, Facherrichter und Auditoren aufrechterhalten wird“, sagt Jochen Sauer, „können wir die Tore gegen Cyberangriffe optimal verteidigen“. Aber es liegt auch mit an der Öffentlichkeit, die Problematik ernst zu nehmen – hier ist eine Lösung nur gemeinsam möglich.