Zutrittskontrolle im Kritis-Einsatz

Nicht nur technologische Veränderungen beeinflussen den Markt von Zutrittskontrollsystemen, auch politische und gesetzliche Rahmenbedingungen haben zunehmend Einfluss auf die Branche. Für weitere Verschärfungen beim Einsatz in Kritischen Infrastrukturen dürfte das noch zu verabschiedende Kritis-Dachgesetz sein. Beim PROTECTOR-Forum stand es schon jetzt auf der Agenda.

Andreas Albrecht, Chefredakteur und Moderator des Forums, leitet die Diskussion mit einem Blick auf die Folgen der neuen Gesetzgebung ein: „Im Bereich der Kritischen Infrastrukturen sorgt ein neues Eckpunktepapier für Gesprächsstoff. Ziel ist es, ein Kritis-Dachgesetz zu schaffen, dass die Gesetzgebung für die Kritischen Infrastrukturen umfassender regelt, nämlich nicht nur hinsichtlich der IT-Sicherheit, sondern auch, was die physische Sicherheit angeht. Zudem wird der Umfang der Kritischen Infrastruktur ausgeweitet werden. Welche Veränderungen erwarten Sie für die Anwender von Sicherheitstechnik und den Markt für Zutrittskontrolle als Folge dieses Gesetztes?“

Axel Schmidt vom BHE glaubt an einen positiven Effekt des neuen Gesetzes, gibt aber zu bedenken: „Ob sich viel ändert, hängt in erster Linie von der Art und der Größe der Unternehmen ab. Große Anwender aus der Kritischen Infrastruktur sehen umfassende Zutrittskontrolle oder allgemein die physische Sicherheit als Standard an. Es gehört zum Kernthema der Unternehmenssicherheit. Bei kleineren Unternehmen oder jenen, die bisher vielleicht nicht zu den Kritis zählten, sah das unter Umständen anders aus. Natürlich stand in den letzten Jahren der Themenkomplex IT-Sicherheit, Cybersecurity, Hacking und dergleichen stärker im Fokus, aber das auch zu recht. Trotzdem ist der physische Schutz von Rechenzentren mit einer Zutrittskontrolle nicht weniger wichtig als der IT-Schutz. Wenn also das Dachgesetz dazu führt, dass die physische Sicherheit wieder mehr Aufmerksamkeit bekommt, dann ist das für unsere Branche ein sehr positives Signal.“

Wie viel sich für Anwender potenziell ändert und wie viel Nachholbedarf in Sachen physische Sicherheit besteht, hängt von Art und Größe des Unternehmens ab und davon, ob die spezielle Branche schon zu den Kritis-Sparten gehört. Auch für Thomas Christian von Bosch Building Technologies ist das Gesetz auch für Unternehmen mit einem etablierten Sicherheitskonzept ein guter Anlass, dieses noch einmal auf den Prüfstand zu stellen: „Wir bemerken bereits vermehrte Anfragen unserer Kunden zum Kritis-Dachgesetz. Meiner Einschätzung nach wird das Kritis-Dachgesetz auch zu mehr Neugeschäft in der Branche führen, der Schwerpunkt wird jedoch auf der Modernisierung und Erweiterung bestehender Installationen liegen.“

Volker Kraiss von Kraiss Wilke & Kollegen betont die Veränderungen im Kontext der bisherigen Entwicklung: „Bereits jetzt sind Kritis-Betreiber erheblichen regulatorischen Anforderungen ausgesetzt. Das neue Kritis-Dachgesetz wird wesentlich stärker auf die physische Sicherheit ausgerichtet sein und hoffentlich den bestehenden Auslegungsspielraum, insbesondere was den Schutz vor vorsätzlichen kriminellen Handlungen sowie Terrorhandlungen angeht, berücksichtigen. Wichtig ist in jedem Fall, dass im Kritis-Dachgesetz keine Weichmacher-Formulierungen enthalten sind, sondern konkrete Anforderungen formuliert werden, die keine übergroßen Auslegungsspielräume zulassen. Momentan durchläuft der Referentenentwurf noch eine Prüfungs- und Änderungsphase. Bis ein finales Ergebnis vorliegt, wird es sicher noch eine Weile dauern.“

Wenn das Verfahren der Gesetzgebung bis zum Ende durchgeführt wurde, ergeben sich für viele Akteure im Sicherheitsmarkt neue Anforderungen. Oliver Brandmeier von Simonsvoss sieht potenziell Handlungsbedarf nicht nur bei Betreibern aus dem Kritis-Segment. „Wir als Hersteller sowie auch die Integratoren und Errichter sind künftig in dieser Thematik ganz anders gefordert. Bei den Gesetzgebungsverfahren schwingt auch immer eine Verpflichtung mit, Security by Design umzusetzen, um Sicherheit als Basis zu gewährleisten – vom kleinen System skalierbar bis zu den Großanlagen. Wir erfassen dabei aber nur einen Teil. Natürlich ist physische Sicherheit, etwa in Form einer Zutrittskontrolle, wichtig, aber genauso wichtig ist Cybersecurity. Wir müssen unseren Kunden gemeinsam mit den Errichtern eine Lösung anbieten können, bei der Sicherheit auf allen Ebenen von vornherein mitgeplant ist. Alle Schritte in diesem Prozess müssen sauber und klar definiert sein und im Einklang mit den gesetzlichen Anforderungen stehen.“

Einer der erwähnten Errichter ist Polichronis Sidiropoulos von der Apropos Sicherheitstechnik. Er spürt eine Sensibilisierung auf Anwenderseite: „Gesetze sorgen oft für Aufmerksamkeit und konsequenterweise auch für neuen Bedarf. Ich bemerke eine wachsende Empfänglichkeit auf Kundenseite für das Thema. Man kann diesen Aspekt auch ein wenig mit der aktuellen Marktsituation auf dem Gebiet der elektronischen Zeiterfassung vergleichen, bei der auch eine neue gesetzliche Regelung für Sensibilisierung und mehr Bewegung im Markt gesorgt hat. Auf gleiche Weise können wir nun ansetzen und Anwender aus dem Bereich Kritis ansprechen, um ihren konkreten derzeitigen, aber auch zukünftigen Bedarf zu ermitteln. Wichtig ist dabei, eine saubere Bewertungsmatrix aufzusetzen und gezielte Maßnahmen zu definieren, um sie anschließend gemeinsam mit dem Kunden Schritt für Schritt umzusetzen.“

Was die Effekte von verschärften Gesetzen und einem größeren Bewusstsein auf Anwenderseite für Anbieter von Zutrittskontrolle heißen kann, weiß Johann Notbauer  von Evva aus der Praxis. Er begrüßt die Entwicklung: „Die Debatten des Winters haben ja gezeigt, dass wir uns noch stärker mit Versorgungssicherheit, Blackout, Resilienz und so weiter befassen müssen. Und eine strengere Vorgabe für Kritis sorgt dafür, dass Sicherheit wieder einen höheren Stellenwert bekommt und wir unsere sicheren Produkte besser verkaufen können. Die Jahre zuvor waren geprägt durch Billigprodukte in der Mechanik, aber jetzt bauen wir bei den Energieversorgern in Österreich unser bestes sicherstes System ein. Da kann man sich sicher sein, ein Nachschlüssel kommt nur aus der Fabrik in Wien. Zuverlässige mechanische Schlüssel sind auch deshalb wieder gefragt, weil die Stromausfallsicherheit eine Rolle spielt.“

Andreas Albrecht spannt den Bogen noch einmal zur grundsätzlichen Intention der Regularien: „Der Zweck der neuen Gesetzgebung ist klar, die EU hat allen nationalen Regierungen den Auftrag gegeben, die Resilienz ihrer kritischen Infrastrukturen zu stärken und zu überlegen, welche Bereiche noch mit berücksichtigt werden müssen. Dieses Gesetz wird also kommen. Die Frage, die sich mir stellt, ist: Werden die Kritischen Infrastrukturen wirklich derart höhere Anforderungen an die physische Sicherheit bekommen, dass sich das signifikant auf unseren Markt auswirkt? Gibt es dafür schon Anzeichen?“

Oliver Brasse von Dormakaba sieht es differenziert: „Den Schutz der Kritis-Unternehmen durch eine Gesetzgebung für physische Sicherheit zu stärken, ist eine langwierige Angelegenheit. Dass etwas passieren wird, ist klar, nur wann? Ich denke, dass in der gegenwärtigen Situation, in der das Gesetz noch nicht klar umrissen ist, viele Betriebe mit Investitionen erst einmal abwarten, bis eine endgültige Fassung verabschiedet wurde. Dennoch bleibt die Frage, wie stark der Markt wirklich wächst durch das Gesetz. Das hängt natürlich damit zusammen, viele Unternehmen dann durch die Gesetzgebung tatsächlich betroffen sind – Kleinstunternehmen sind zum Beispiel im heutigen Kritis-Gesetz ausgenommen. Wir wissen auch noch nicht, wie hoch genau die Sicherheitsniveaus sind, die definiert werden. Erst dann kann man eigentlich sagen, ob der Markt davon profitiert. Es wäre wünschenswert, dass die gesetzgebenden Instanzen sich Rat aus der Zutrittskontroll-Industrie beziehungsweise -Branche einholt, was aber bestimmt auch passiert.“

Volker Kraiss stimmt zu, gibt aber zu bedenken: „Sicher wird der ein oder andere Kritis-Betreiber notwendige Maßnahmen und Investitionen vorerst mit dem Argument ‚Warten wir mal ab, was im Kritis-Dachgesetzt enthalten ist‘ argumentieren. Wer so denkt, vergisst allerdings, dass bereits auf der Grundlage geltender Gesetze und Verordnungen erheblicher Handlungsdruck besteht. Abwarten kann also keine Lösung sein. Wesentlich vernünftiger wäre es, zu sagen: Wir setzen auf der aktuellen Gesetzes- und Verordnungsgrundlage um, was erforderlich ist. Unter Umständen müssen wir später noch Anpassungen vornehmen, aber das sollte kein Hinderungsgrund sein.“

Selbst wenn das neue Kritis-Dachgesetz noch nicht konkret ausgearbeitet ist und der Prozess sich noch länger hinziehen würde, so wäre es dennoch fatal, den eigenen Schutz zu vernachlässigen – vor allem angesichts der aktuell hohen Risiken. Oliver Brandmeier setzt genau hier an: „Es bringt meiner Meinung nach nichts, immer auf das nächste Gesetz zu warten, man muss jetzt handeln. Mein Ansatz wäre, dass wir als Branche darüber nachdenken, welche selbst definierten Sicherheitsstandards wir bieten können, bei denen die Kunden nichts falsch machen. Auf Basis der gegenwärtig geltenden Verordnungen und Gesetze gibt es schon genug zu tun. Es ist der Sicherheit nicht zuträglich, wenn der Kunde jegliche Investitionen erst mal auf einem sehr niedrigen Niveau hält, bis das Gesetzgebungsverfahren abgeschlossen ist, denn in der Zeit ist er angreifbar. Diese Diskussion sollten wir noch stärker mit den Kunden führen.“

Dass sich etwas tut, findet Mathias Schmid von der Assa Abloy Sicherheitstechnik GmbH. Er bemerkt, dass der Handlungsdruck bei Kunden steigt: „Ich glaube, durch die Verschärfungen der letzten Jahre ist die Sensibilität allgemein für den IT-Schutz gewachsen, aber auch für die physischen Sicherheitsanforderungen. Wir müssen im Vertrieb künftig noch stärker auf die Bedürfnisse der Kritischen Infrastrukturen eingehen. Viel geht hier von der mechanischen Schließanlage aus und gerade das Thema Schlüsselverlust erfordert neue digitale Konzepte, die eine Erhöhung des Sicherheitsniveaus möglich machen. In diesem Bereich war schon immer Interesse, welches durch das Kritis-Dachgesetz nochmals gesteigert wird. Einen Handlungsdruck spürte man schon früher, doch dieser wird jetzt weiter verstärkt. Der Markt bietet großes Potenzial für uns alle.“

Auch wenn sich große Potenziale für Neugeschäft ergeben sollten, so muss man bei steigenden Anforderungen auch immer an den Bestand denken – sowohl, was die installierten Anlagen bei Kunden angeht, als auch in puncto Produktportfolio. Klaus Schinke von Primion Technology ist in seiner Perspektive dementsprechend zwiegespalten: „Natürlich sehe auch ich eine Stärkung der Sicherheit durch neue Gesetze generell sehr positiv, denn dies schafft neue Chancen auch für uns. Aber ich möchte zu bedenken geben, dass es auch negative Effekte haben könnte. Nämlich dann, wenn auf Basis eines Gesetzes plötzlich eine Behörde aktiv werden muss, um zu prüfen, ob so ein Gesetz auch eingehalten wird. Damit einher geht die Frage, ob man sich als Hersteller nun zertifizieren lassen muss, ob man seine Komponenten immer wieder für den Einsatz in Kritischen Infrastrukturen zertifizieren lassen muss. Wie sieht es bei den Errichtern aus? Wie muss man darlegen, dass eine Installation regelkonform realisiert wurde? Wie sehr beeinflusst es den Entwicklungsprozess neuer Lösungen? Unter Umständen kann also ein immenser Aufwand entstehen. Man muss sich auch fragen, ob bestehende Software oder bereits installierte Hardware überhaupt im Nachhinein mit den Anforderungen in Einklang zu bringen sind. All das sind Punkte, die zu klären sind und für die es noch Klarheit durch das neue Gesetz und seine praktische Auslegung bedarf.“

Noch bleibt abzuwarten, wie die Ausgestaltung des Kritis-Dachgesetzes im Detail aussehen wird und welche Branchen möglicherweise ergänzt werden, aber klar ist schon jetzt: Die Anforderungen steigen, weil die Risiken steigen. Anwender sind also gut beraten, die eigene physische Sicherheit auf dem bestmöglichen Niveau zu halten, dann sind sie für die Zukunft gerüstet.