Wegweiser im Produktedschungel

Betreiber im Dickicht

Teil 2

Thomas Weber meint: „Nach meinem Kenntnisstand ist es so, dass sich das BSI hauptsächlich als das IT-Unternehmen des Bundes sieht. Dort beschäftigt man sich logischerweise mit Netzwerktechnologie und allem, was mit Datensicherheit zu tun hat. Gefährdungen, die in die Common Criteria hineinreichen, sind aber nicht primär Thema des BSI. Hier kann man sich aber zum Beispiel vom TÜV IT Nord entsprechend zertifizieren lassen. Denn es nützt ja nichts, ein technisch hochsicheres System zu haben, wenn jemand abends immer wieder die Kellertür zum Lüften offen lässt.“

Geprüfte Sicherheit?

Damit wird klar: Niedergeschriebene Normen und Richtlinien sind wichtig. Doch ebenso wichtig ist deren praktische Anwendung und Prüfung. Hier mangelt es noch an Konsequenz, wie auch Moderator Boris Stamm findet: „Die Kernfrage bei allen Richtlinien lautet doch: Wer überprüft die Anwendung? Müssten sich nun BHE und VfS mit dem BSI und dem VdS zusammentun und etwas erarbeiten, das der TÜV vor Ort individuell prüft?“

„Ich habe den Eindruck, dass die Richtlinien des BSI insgesamt etwas praxisfern sind. Es wurden zwar ein paar Aspekte aufgenommen, die darauf abzielen, Systeme besonders sicher zu machen, aber sonst vernachlässigt man vieles, was der Anwender wirklich braucht. Denn ich kenne keinen Anwender, der die hundertprozentige Sicherheit benötigt und diese auch bezahlen möchte. Vieles in diesem Regelwerk mag technisch möglich sein, geht aber an dem, was am Markt benötigt wird, vorbei.“
Manfred Golfes, Senior Produktmanager, PCS Systemtechnik GmbH

„Wir verkaufen größtenteils über Errichter-Partner, von denen wir damals auch einige für die Idee der VdS-Zertifizierung gewinnen konnten. Diese haben dann die Systemzulassung gemacht und sind zertifizierte Errichter für Zutrittkontrollanlagen geworden. Doch die Nachfrage und Notwendigkeit auf Kundenseite war derart gering, dass das Anerkennungsverfahren für Errichter mittlerweile wieder ausgelaufen ist. Es gibt also keine zertifizierten Errichter mehr – Geräte und Systeme aber schon.“
Carsten Hoersch, Geschäftsführer, Sesam Elektronische Sicherheitssysteme GmbH

„Wir treiben die Diskussion mit dem Verweis auf das BSI auf die Spitze. Man muss aber das Gesamtbild betrachten. Der verschlüsselte Leser und die hochsicheren Karten sind nur einzelne Bestandteile einer Lösung. Wenn man aber den Leser zur Absicherung einer Hochsicherheitstür in eine Gipskartonwand setzt, erübrigt sich jede Verschlüsselung. Wie man es dreht und wendet: Das Gesamtkonzept, die Lösung und Umsetzung beim Kunden muss stimmig sein, sonst braucht man nicht über Hochsicherheit im Sinne von BSI oder VdS zu reden.“
Kester Peter Brands, Regional Manager Western Europe, Tyco Security Products

„Es gibt nach wie vor ein Druckstück des VdS, in dem manche Planer früher ihre heimliche Bibel sahen – die Richtlinie 2367 zur Planung von Zutrittskontroll-anlagen. Aber heute fragt man sich schon: Welcher Hahn kräht noch danach? Findet man diese Richtlinie noch in Ausschreibungen, fordern sie die Kunden ein oder ist sie längst tot?“
Boris Stamm, Moderator des PROTECTOR Forums Zutrittskontrolle

Ein Teil davon ist – ohne Wertung des Realitätsbezugs – ja schon möglich, wie Jürgen Schneider anmerkt: „Der TÜV IT und andere zugelassene europäische Prüfstellen bieten solche Prüfungen an und beschäftigen sich intensiv mit den Zertifizierungen. Für einige große Telekommunikationsunternehmen wurden dort auch die Zertifizierungsprüfungen nach Common Criteria evaluiert. Das BSI bestätigt dies abschließend und veröffentlicht die Zertifizierungen.“

Diese Zertifizierungen sind momentan aber noch selten und betreffen eher große Konzerne mit speziellen Anforderungen. Für den Massenmarkt fehlt es noch an einem angepassten Geschäftsmodell beziehungsweise den entsprechend hohen Zahlen an Zertifizierungen, meint auch Axel Schmidt von Salto Systems: „Ich hätte garnichts gegen einen unabhängigen Zertifizierer. Aber man sollte immer bedenken, dass auch Zertifizierer Unternehmen sind, die wirtschaftlich arbeiten müssen. Voraussetzung ist, dass man dort ein Businessmodell hinter der Zertifizierung von Zutrittssystemen sieht und sich genügend Betreiber dazu bereit erklären, diese durchzuführen.“

Wünschenswert wäre dies auch aus Kundensicht, wie Christian Nagel von Nedap findet: „Der Kunde braucht Anhaltspunkte für die Entscheidung und wünscht sich Gewissheit, dass sein System den Anforderungen entspricht. Und dazu müsste man am besten unabhängige Instanzen einbinden, um die Vergleichbarkeit zu erreichen, die der Kunde will.“

Rahmen und Augenmaß

Anhaltspunkte für den Anwender sind sicher dringend nötig. Noch stammen diese in der Praxis aus verschiedenen Richtungen – sei es von aktuellen oder nicht mehr ganz aktuellen Richtlinien, von unabhängigen Planern und Beratern und natürlich auch von Herstellern, die oft starke Präsenz beim Kunden zeigen.

Thomas Maier vom SOAA-Gremium skizziert es folgendermaßen: „Eine eventuelle Problematik – nicht nur was Sicherheit betrifft – richtet sich beim Endkunden auch nach der Beratung und der Frage, wer diese durchführt. Sehr häufig sind das Lieferanten, die vor Ort beraten. Doch wie tun sie das? Vermutlich nicht immer ganz objektiv und auch nicht umfassend im Sinne der IT. Dabei sollte der Fokus der Anwender auf der IT liegen, weil sich hier und heute die Sicherheit eines Firmenausweises entscheidet. Hier muss noch Aufklärungsarbeit geleistet werden.“

Jochen Becker von Primion Technology pflichtet bei: „Wir benötigen in jedem Fall eine anerkannte Referenz, auf welche man sich als Anbieter oder Anwender beziehen kann. Oftmals ist die Situation in Unternehmen so, dass ein Mitarbeiter zum Projektmanager für die Auswahl und Einführung eines neuen Sicherheitssystems bestimmt wird. Dieser Mitarbeiter hat vielleicht keine ausreichende Erfahrung mit entsprechenden Systemen und muss sich auf einem Markt mit vielen Anbietern zurecht finden. Daher ist es auch gut, dass es Regelwerke wie VdSoder BSI-Richtlinien gibt, die gewisse Grundlagen vorgeben.“

Realistisch ausschreiben

Nicht selten münden die Überlegungen zu einem neuen Zutrittssystem in einer mehr oder weniger realistischen Ausschreibung, mit der sich dann die Lieferanten und Errichter konfrontiert sehen. Hier gibt es klaren Optimierungsbedarf, wie Wilfried Joswig vom Verband für Sicherheitstechnik (VfS) weiß: „Mein persönlicher Eindruck ist, dass im Moment Planung und Ausschreibung eher über Leistungsmerkmale von Technik getrieben werden als über Anforderungen von Richtlinien. Das ist ein abstruser Ansatz, denn ich bin nach wie vor der Meinung, dass man die Bedürfnisse der Nutzer ermitteln und dann daraus ableiten muss, welche Technik zum Einsatz kommt. Alles andere führt häufig dazu, dass der Kunde am Ende unzufrieden ist. Denn Richtlinien sind auch nicht immer auf die Gebräuchlichkeit von Systemen ausgerichtet, sondern eher hinsichtlich Verfügbarkeit und Stabilität.“

Albrecht Kimmich von Kaba ergänzt: „Vor allem beim Thema VdS und Ausschreibungen gab es immer wieder Konfliktpotenzial. Es wurden in der Vergangenheit öfter Ausschreibungen ins Leben gerufen, bei denen man alles 200 Prozent richtig machen wollte und sämtliche Normen aufgelistet hat, die zur Hand waren. Das ist absolut kontraproduktiv. Wir haben selbst auch nie die VdS-Zertifizierung in elektronischer Zutrittskontrolle durchlaufen, und wir haben dadurch kein Projekt verloren.“

Axel Schmidt berichtet ebenfalls von solchen Problemen bei Ausschreibungen: „Es grenzt manchmal an Schizophrenie, wenn Ausschreibungen nicht nur das erste Mal aufgehoben werden, weil zu wenige Bieter da waren, sondern dann sogar noch ein zweites Mal aufgehoben werden müssen. Der Grund ist nicht selten, dass gleichzeitig verschiedenste Normen und Richtlinien erfüllt werden sollten, nicht nur BSI und VdS. Man muss hier realistisch sein und Kompromisse eingehen, ansonsten kriegt man nicht genügend Angebote und kann nicht vernünftig vergleichen.“

Man kann sich also weder blind auf Richtlinien verlassen noch auf die Beratung der Lieferanten. Die Anwender – und ihre eigenen Experten auch in Sachen IT – sitzen mit im Boot und sind für die nachhaltige Sicherheit und die Zuverlässigkeit der Systeme selbst mit verantwortlich. Alle Beteiligten sollten daran mitwirken, ihr Wissen zu vergrößern und die Qualität der installierten Anlagen hoch zu halten.

Michael Gückel

vorige Seite 1 - 2