Einfachheit im Komplexen

Die Verlagerung in Richtung IT sowie die große Bedeutung von Software und Schnittstellen bringt auch Gefahren mit sich, die man von einer isoliert arbeitenden Zutrittskontrolle auf proprietärer Basis so nicht kannte. Und so fragt auch Moderator Volker Kraiss in die Runde: „Das Angriffsverhalten der Cyber-Kriminellen wird immer ausgefeilter und komplexer. Wie geht man mit diesen vielfältigen Bedrohungen um? Welchen Stellenwert nehmen – bezogen auf die Zutrittskontrolle – Cybercrime und IT-Security ein?“

Jochen Becker sieht definitiv Bedrohungspotenzial: „Cyber-Crime ist ein Geschäftsmodell, bei dem man bedenken muss, was sich das organisierte Verbrechen davon verspricht, ein System zu hacken. Was ist also die Zielsetzung der Angriffe? Das Ziel muss nicht unbedingt sein, dass sich ein Angreifer beispielsweise Zutritt in sensible Bereiche einer Bank verschafft, sondern es kann auch darin liegen, dass Prozesse und Betriebsabläufe gestört und beeinträchtigt oder sogar eine Institution destabilisiert wird, was Auswirkungen auf die wirtschaftliche Leistungsfähigkeit des betroffenen Unternehmens haben kann.“

Axel Schmidt ergänzt: „Natürlich existiert heute viel Cyber-Crime. Und berechtigt ist auch die Frage, ob der Zutritt selbst das Ziel ist, oder ob das Stören der normalen Geschäftsprozesse beabsichtigt ist. Wenn man bei einem großen Industriebetrieb morgens die Anlage lahmlegt und plötzlich 20.000 Leute vor dem Werksgelände stehen, kann man sich vorstellen, welche Auswirkungen das hat.“

Auch für Kester Brands von Tyco sind die Bedrohungen zu spüren: „Wir sind beispielsweise in den USA von unseren großen Kunden aufgefordert worden, an einem Cyber-Protection- Programm teilzunehmen, was dann auch weltweit ausgedehnt wird. Und das ist auch richtig so, denn: Wir werden mehr und mehr softwarelastiger und müssen hier entsprechend für Sicherheit sorgen. Es gilt, die Schotten in den Systemen dicht zu machen, so dass Angriffe schon an der Basis abgewehrt werden können.“

Jürgen Schneider stimmt zu: „Es zeigt sich, dass die Gefahr durch Cyber-Attacken heute schon real sein kann. Sofern die Zutrittskontrolle Bestandteil des Unternehmensnetzwerks ist, wird sie davon nicht ausgenommen. Wir müssen Zugangskontrolle und Zutrittskontrolle im Gesamtkontext der Unternehmenssicherheit betrachten.“

Die erste Herausforderung bei der Abwehr von Hackern, Spionen und anderen Angreifern ist es, potenzielle Schwächen zu erkennen. Dirk Nehr vom Fraunhofer Institut IPT hat sich als Anwender selbst schlau gemacht: „Wir haben uns in der Planungsphase lange mit dem Thema beschäftigt, welche Systeme bereits gehackt worden sind und welche nicht. Wir haben uns damals natürlich für ein sicheres System entschieden. Aber dieser Zustand wird nicht ewig anhalten, denn ich glaube, dass es möglich sein wird, auch dieses System irgendwann zu knacken. Man muss also Sicherheit als fortlaufenden Prozess begreifen, sein System regelmäßig überprüfen und auf die neuen Sicherheitsanforderungen hin anpassen und erweitern.“

Ein wirksames Mittel ist es, das eigene System selbst anzugreifen oder testweise angreifen zu lassen, wie Frederik Hamburg weiß: „Wir führen tatsächlich Penetrationstests durch. Das traurige Ergebnis der Analyse ist, dass wir in allen Fällen, in denen wir beauftragt worden sind, hineingekommen sind. Jedoch immer durch das Ausnutzen organisatorischer Schwächen, denn es ist um ein Vielfaches aufwendiger, sich in ein System hineinzuhacken.“

Robert Karolus ergänzt: „Gerade in Konzernen ist es zwischenzeitlich üblich, sogenannte Penetrationstests durchzuführen, das gilt auch für die Sicherheit der Software. Darauf legen Konzerne besonders viel Wert, da immer wieder Sicherheitslücken in Web-Applikationen gefunden werden. Wenn die Schwachstellen behoben werden, macht es den Angreifern das Leben schwer. Eine End-to-End-Verschlüsselung per AES oder SSL ist dabei absolut sinnvoll.“

Dafür plädiert auch Thomas Christian: „Wir müssen unsere Zutrittskontrollsysteme durch Verschlüsselung der Daten von der Ausweiskarte bis in die übergeordnete Software sichern. Da wir uns jedoch vermehrt in Kunden-Netzwerken bewegen, wo nicht nur die Zutrittskontrolle einen Angriffspunkt darstellt, liegt es letztendlich in der Verantwortung des Kunden, sein gesamtes Netzwerk entsprechend abzusichern, da die potentiellen Angriffspunkte überall im IT-Netzwerk liegen können.“

Dass alle an einem Strang ziehen müssen, wenn es um rundum sichere Lösungen geht, ist einleuchtend. Was den Umfang der Maßnahmen angeht, muss man heute allerdings berücksichtigen, dass das Netz des Kunden nicht unbedingt beim hauseigenen Server aufhört. Die Einbindung von Smartphones, Apps und Cloud-Diensten stellt Anwender vor weitere Herausforderungen.

Thomas Maier gibt zu bedenken: „Die Anforderungsprofile der Kunden werden heute natürlich durch die Consumer-Industrie und Cloud-Anwendungen beeinflusst. Man muss sich hier fragen, wie geht man damit um? Es wird immer wieder den Wunsch geben, gewisse Dinge mit einer App zu regeln. Und davon abgesehen, muss man sich nur die Entwicklung im SAP-Umfeld anschauen. Hier gibt es jedes Jahr bis zu 100 Prozent Zuwachs bei den Cloud-Lösungen. Von daher wird es nicht mehr allzu lange dauern, bis die Kunden Cloud-basierten Zutritt fordern – und darauf sollten wir in der Anbieterstruktur vorbereitet sein. Cloud-basierende Lösungen haben den großen Vorteil, dass man bei auftretenden Sicherheitsrisiken – Cyberangriffen – sehr schnell reagieren kann.“

Dirk Nehr ist offen für neue Lösungen: „Wenn man in Zukunft das Handy mit einbinden kann, um die Bürotür zu öffnen, dann ist das doch ein Fortschritt in Sachen Komfort. Wichtig ist aber, dass die Sicherheit nicht auf der Strecke bleibt.“

Dass neue Lösungen in der Zutrittskontrolle Einzug halten werden, glaubt auch Jochen Becker: „Infrastructure as a Service und Software as a Service werden die Business-Modelle der nächsten zehn oder 20 Jahre sein. Damit einhergehen wird auch das Ende der proprietären Protokolle. Man wird universell innerhalb einer Cloud-Infrastruktur arbeiten, dort kann man keinen proprietären Ansatz mehr fahren, sondern nur funktional die Aufgaben voneinander abgrenzen.“

Kester Brands ist verhalten optimistisch: „Software as a Service gab es als Ansatz vor mehr als zehn Jahren schon, und er hat sich damals in Deutschland und in Europa nicht so richtig durchgesetzt. Wir stehen aber durch die Cloud-Dienste jetzt vor einem Wandel auch in diese Richtung, und wir als Unternehmen müssen und werden ihn mitgehen. Wir docken sehr stark an die IT-Welt an und sollten auch was diese Business-Modelle angeht, vorbereitet sein. Letztendlich bestimmt der Endanwender, wie schnell es in diese Richtung geht.“ Der Wandel ist also vielfältig und betrifft nicht nur Technologie und Systemarchitektur, sondern auch die Nutzeranforderungen, die zunehmend von Einflüssen aus IT und Consumer-Sparte geprägt werden. Nun gilt es, sich zukunftsfähig aufzustellen, damit weder Sicherheit, noch Komfort, noch Geschäftsmodelle darunter leiden.