Betreiber im Dickicht

Das PROTECTOR Forum Zutritts-kontrolle 2015 eröffnet mit einer Bestandsaufnahme, welche Wegweiser und Orientie-rungshilfen es am Markt gibt, und wie sie sich zum Wohle der Anwender nutzen lassen. Dabei zeichnet sich schon zu Beginn der Diskussion eines klar ab: Einstmals bedeutende Standards und viel zitierte Richtlinien entpuppen sich heute bestenfalls als ausgetretene Pfade durchs Technikdickicht. Moderator Boris Stamm formuliert es provokant: „Es gibt nach wie vor ein Druckstück des VdS, in dem manche Planer früher ihre heimliche Bibel sahen – die Richtlinie 2367 zur Planung von Zutrittskontrollanlagen. Aber heute fragt man sich schon: Welcher Hahn kräht noch danach? Findet man diese Richtlinie noch in Ausschreibungen? Fordern sie die Kunden ein oder ist sie längst tot?“

Viel Widerspruch gibt es indes nicht. So erklärt Thomas Weber von Simonsvoss: „Diese VdS-Richtlinie ist hinsichtlich der vorgegebenen technischen Anwendung veraltet. Vieles vom dem, was heute gefordert wird, findet sich darin überhaupt nicht wieder. Nehmen wir einmal die starken Trends in Richtung IP-Technik und Ethernet-Verbindungen. Das wird künftig auch von den Endkunden klar bevorzugt werden.“ Ähnlich sieht es Gerhard Haas von PHG: „Die Richtlinie des VdS ist mit Sicherheit nicht schlecht als Anhaltspunkt, aber in der Praxis hatte sie schon früher nur wenig Bedeutung – heute ist die Relevanz auf nahezu Null gesunken.“ Und Sven Däberitz von Intrakey ergänzt: „Vereinzelt kommt es vor, dass man Verweise auf den VdS in Ausschreibungen findet. Aber ich kann nicht sagen, dass Kunden direkt danach fragen, das kommt so gut wie nie vor.“

Die Gründe, warum sich die Richtlinien des VdS in der Praxis nicht behaupten können, scheinen vielfältig. Carsten Hoersch von Sesam skizziert seine Ansicht in Bezug auf Errichter: „Wir verkaufen größtenteils über Errichter-Partner, von denen wir damals auch einige für die Idee der VdS-Zertifizierung gewinnen konnten. Diese haben dann die Systemzulassung gemacht und sind zertifizierte Errichter für Zutrittkontrollanlagen geworden. Doch die Nachfrage und Notwendigkeit auf Kundenseite war derart gering, dass das Anerkennungsverfahren für Errichter mittlerweile wieder ausgelaufen ist. Es gibt also keine zertifizierten Errichter mehr – Geräte und Systeme aber schon.“

„Es grenzt manchmal an Schizophrenie, wenn Ausschrei-bungen nicht nur das erste Mal aufge-hoben werden, weil zu wenige Bieter da waren, sondern dann sogar noch ein zweites Mal aufgehoben werden müssen. Der Grund ist nicht selten, dass gleichzeitig verschiedenste Normen und Richtlinien erfüllt werden sollten, nicht nur BSI und VdS. Man muss hier realistisch sein und Kompromisse eingehen, ansonsten kriegt man nicht genügend Angebote und kann nicht vernünftig vergleichen.“
Axel Schmidt, Geschäftsführer, Salto Systems GmbH

„Diese VdS-Richtlinie ist hinsichtlich der vorgegebenen technischen Anwendung veraltet. Vieles vom dem, was heute gefordert wird, findet sich darin überhaupt nicht wieder. Nehmen wir einmal die starken Trends in Richtung IP-Technik und Ethernet-Verbindungen. Das wird künftig auch von den Endkunden klar bevorzugt werden.“
Thomas Weber, Corporate Vice President Product Management, Simonsvoss Technolgies GmbH

„Wie oft einem heute noch die Forderung nach einer VdS-Zertifizierung begegnet, hängt stark davon ab, mit wem man es auf Kundenseite zu tunhat. Manchmal sitzt dort ein Fachplaner, der die VdS-Richtlinie nach wie vor als Grundvoraussetzung sieht und die Klasse C als Ausschlusskriterium für Ausschreibungen verwendet. Damit nimmt er an, alle wesentlichen Anforderungen abgeprüft zu haben. Tatsächlich ist durch gestiegene Anforderungen speziell im Bereich der Konformität zu Unternehmensprozessen die Auswahl eines geeigneten Systems außerordentlich komplex geworden, deutlich vielschichtiger, als es die VdS 2358 aktuell vorsieht, und ein solch pauschales Vorgehen ist weder clever noch zeitgemäß.“
Jochen Becker, Leiter Business Development & Product Management, Primion Technology AG

„Für uns als Leser-Hersteller besteht eigentlich fast keine Nachfrage nach VdS. Wir entwickeln und produzieren letztlich das, was der Markt nachfragt. Und meiner Meinung nach ist es auch viel wichtiger, ein sicheres Kartenverfahren und eine verschlüsselte Kommunikation zu verwenden, statt auf eine VdS-Richtlinie zu setzen, die diesen Aspekt so gut wie gar nicht abdeckt.“
Gerhard Haas, Bereichsleiter Datentechnik, PHG Peter Hengstler GmbH + Co. KG

„Normen und Standards sind Anhaltspunkte für den Anwender, aber dieser muss sie auch einfordern. Denn viele Hersteller fürchten, dass gemeinsame Standards ihre Produkte am Ende austauschbar machen und proprietäre Alleinstellungsmerkmale verschwinden lassen. Wenn das Bedürfnis am Markt groß genug ist und die Anwender Interoperabilität einfordern, können sich Standards durchsetzen – vorausgesetzt, sie sind technologisch machbar.“
Jürgen Schneider, Nedap Technology Partner [nTp] for Security Management GmbH

Robert Karolus von Interflex fasst die Entwicklung folgendermaßen zusammen: „Früher war die Forderung nach VdS-Zertifizierungen sicherlich ein Trend gerade in Ausschreibungen im öffentlichen Bereich. Da gab es auch noch mehr Geräte, die vom VdS zertifiziert waren. Heute wird es nicht mehr so oft von den Unternehmen gefordert. Der finanzielle Aufwand einer Zertifizierung ist im Übrigen für die Hersteller nicht unerheblich.“

Trotz des guten Ansatzes des einstigen Verbandes der Sachversicherer sind die Schwierigkeiten seiner Zertifizierungen teilweise „hausgemacht“, wie auch Carsten Hoersch ergänzt: „Kurz und knapp formuliert, ist der VdS mit seiner Zertifizierung daran gescheitert, dass kaum ein Versicherer diese Anlagen überhaupt eingefordert hat.“ Das liegt in der Natur der Sache, findet Kester Brands von Tyco: „VdS ist im Bereich der Einbruchmeldeanlagen Pflicht. Die Versicherer gewähren auch entsprechende Rabatte und stellen diese Forderungen auf. Doch bei der Zutrittskontrolle ist es keine Pflicht, und es werden auch keine Rabatte gegeben oder es fehlen die entscheidenden Anreize. “ Hinzu kommt, dass die VdS-Richtlinie stark auf die einstmals sehr proprietäre Welt der Zutrittskontrolle Bezug nimmt. Die Anbieter verlassen diese jedoch zunehmend und setzen auf offenere und interoperable Systeme.

Daraus resultiert eine Art Verschiebung in der Bedeutung von Zertifizierungs- und Regelungsinstanzen. Zusammen mit der Veränderung der Technik wandelt sich auch die Zertifizierungskompetenz. So ist logischerweise nicht mehr der VdS das Maß der Dinge, sondern eher das BSI (Bundesamt für Sicherheit in der Informationstechnik), das stärker auf IT-Standards setzt. Auch Common Criteria spielen je nach Anlagengröße und Internationalität des Kunden verstärkt eine Rolle.

Jürgen Schneider von NTP gibt zu bedenken: „Heute geht es in allen Sicherheitsbereichen stark in Richtung IT-Standards. Moderne Sicherheitsgewerke sind heute sehr eng verknüpft mit der IT-Welt. Man muss also auch die Sicherheit aus dieser Perspektive sehen und sich fragen: Wie kann man erreichen, dass eine Gefahrenmeldeanlage oder Zutrittskontrollsystem im Firmennetzwerk sicher verankert ist? Wenn es um die objektive Bewertung von End-to-end-Security geht, ist naturgemäß das BSI eine wichtige Anlaufstelle.“

Das bestätigt Robert Karolus: „Das Schlagwort BSI kommt heute immer wieder in Ausschreibungen vor, vor allem in Verbindung mit der Sicherheit von Karten. Hier legen die Unternehmen großen Wert darauf, dass die Medien von einer unabhängigen Stelle zertifiziert wurden. Wenn sie also eine neue Technologie selektieren, soll diese die Common Criteria 4 erfüllen, damit sie die nächsten Jahre nicht gehackt werden kann. Es geht hier auch um Investitionsschutz.“

Dem Trend zugute kommt auch die Internationalität, wie Volker Kunz von HID Global anmerkt: „Das BSI hat in Verbindung mit Common Criteria auch nicht nur eine rein deutsche Bedeutung wie der VdS, sondern mindestens eine europaweite. Viele Unternehmen agieren heute global, und demnach richten sie sich mehr nach internationalen Standards.“

Ein Grundproblem von Richtlinien und Normen ist seit jeher, dass sie einen mehr oder weniger theoretischen Sollzustand beschreiben, der in der Praxis nur in Ausnahmefällen in Perfektion zu erreichen sein wird. So muss sich jede normative Instanz oder Zertifizierungsstelle fragen, wie praxistauglich ihre Anforderungen sind und was einer flächendeckenden Umsetzung möglicherweise entgegensteht.

So kritisiert Manfred Golfels von PCS Systemtechnik: „Ich habe den Eindruck, dass die Richtlinien des BSI insgesamt recht praxisfern sind. Es wurden zwar ein paar Aspekte aufgenommen, die darauf abzielen, Systeme besonders sicher zu machen, aber sonst vernachlässigt man vieles, was der Anwender wirklich braucht. Denn ich kenne keinen Anwender, der die hundertprozentige Sicherheit benötigt und diese auch bezahlen möchte. Vieles in diesem Regelwerk mag technisch möglich sein, geht aber an dem, was am Markt benötigt wird, vorbei.“

Auch Kester Brands plädiert für mehr Realismus angesichts manch haarsträubender Umsetzung von Systemen: „Wir treiben die Diskussion mit dem Verweis auf das BSI auf die Spitze. Man muss aber das Gesamtbild betrachten. Der verschlüsselte Leser und die hochsicheren Karten sind nur einzelne Bestandteile einer Lösung. Wenn man aber den Leser zur Absicherung einer Hochsicherheitstür in eine Gipskartonwand setzt, erübrigt sich jede Verschlüsselung. Wie man es dreht und wendet: Das Gesamtkonzept, die Lösung und Umsetzung beim Kunden muss stimmig sein, sonst braucht man nicht über Hochsicherheit im Sinne von BSI oder VdS zu reden.“