Integrales Zutrittsmanagement für Kritis-Betreiber

Die neue europäische NIS 2 Richtlinie (Richtlinie zur Netz- und Informationssicherheit 2), die sich speziell an Unternehmen richtet, die in Deutschland und in Europa kritische Infrastruktur betreiben, nimmt durch den seit Frühling 2023 vorliegenden Referentenentwurf des Bundesministeriums des Inneren, für Bau und Heimat, für das sogenannte "NIS2UmsuCG" (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) immer schneller Fahrt auf. Verantwortliche wie Geschäftsführer sollten nun aufgrund des näher rückenden Zeitpunktes, zu dem die NIS 2 Richtlinie in nationales Recht überführt werden muss (Stichtag: 17. Oktober 2024), sowie der daraus resultierenden teilweisen persönlichen Haftung für die Umsetzung der Sicherheitsmaßnahmen in ihrer Einrichtung mit der Planung selbiger beginnen. Dies dient auch dazu, den teilweise drastischen Sanktionen zuvorzukommen, die je nach Einrichtung bis zu 20 Millionen Euro betragen können und die bei "nach §28 (4) wichtigen" oder "nach §28 (3) besonders wichtigen" Einrichtungen teilweise an den weltweiten Jahresumsatz des vergangenen Geschäftsjahres gekoppelt sind. Zutrittsmanagement ist eine essentielle Maßnahme, um die physische Resilienz eines Betreibers im Sinne der NIS 2 Richtlinie, des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) und des kommenden Kritis-Dachgesetzes signifikant zu steigern und zu sichern.

Ebenfalls betroffen sind die Betreiber "wichtiger" und "sehr wichtiger" kritischer Infrastruktur durch das sich noch in Planung befindliche Kritis-Dachgesetz. Dieses Gesetz bezieht sich auf die EU CER Richtlinie (EU 2022/2557), zu der das Innenministerium Ende 2022 ein Eckpunktepapier vorgelegt hat. Das Eckpunktepapier geht sogar über die Richtlinie hinaus und diskutiert unter anderem verpflichtende Schutzstandards für die physische Sicherheit, wie zum Beispiel Personenvereinzelungsanlagen, Zäune und Zutrittsmanagementlösungen.

Wer sollte nun eine integrale Zutrittsmanagementlösung planen und realisieren? Von der bevorstehenden Notwendigkeit, sichere und angemessene Zutrittsmanagementlösungen anzuschaffen, sind alle Kritis-Betreiber in Deutschland und Europa betroffen. Hierzu gehören Organisationen oder Einrichtungen, die eine bedeutende Rolle für das staatliche Gemeinwesen spielen und deren Ausfall oder Beeinträchtigung zu nachhaltigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen gravierenden Folgen führen würde. Dazu zählen beispielsweise Bedarfsträger wie Polizei und Feuerwehr, aber auch Verkehr, Energienetzbetreiber, Wasserversorgung, Gesundheitswesen, digitale Infrastruktur und weitere, die in Deutschland in acht verschiedene Sektoren unterteilt sind. Die Anforderung gilt auch für "nach §28 (4) wichtige" oder "nach §28 (3) besonders wichtige" Einrichtungen wie mittelgroße Unternehmen und Großunternehmen in den Bereichen digitale Infrastruktur, Bankwesen, Finanzmärkte, Gesundheitswesen, Energie, Transport und Verkehr, Abwasser und andere.

Was kennzeichnet nun ein "integrales Zutrittsmanagement" für Kritis-Betreiber? Der erste Begriff ist "Zutrittsmanagement", der am besten durch die "4 W-Fragen" charakterisiert werden kann. Das bedeutet, dass man festlegt, welche Person ("WER") durch welche Tür ("WO") zu welcher Zeit ("WANN") unter welchen Bedingungen ("WIE") einen bestimmten Bereich betreten darf.

Der zweite Begriff, "integral", bedeutet in diesem Kontext, dass ein ganzheitlicher und umfassender Ansatz für das Zutrittsmanagement gewählt wird. Es reicht nicht aus, lediglich einen Zutrittsleser neben der Tür zu installieren und zu glauben, dass man als Verantwortlicher eines Kritis-Betriebs seiner sicherheitstechnischen Sorgfaltspflicht nachkommt. Es ist vielmehr erforderlich, die Tür beispielsweise durch einen Riegel-Fallenkontakt auf Öffnung, offenes Stehen oder Aufbruch zu überwachen. Es ist auch wichtig, den Verriegelungsstatus der Tür sensorisch zu überwachen. Ein integraler Ansatz bedeutet beispielsweise, dass im Falle eines gewaltsamen Tür-Aufbruchs eine Alarmmeldung an einen taktischen Leitstand weitergeleitet wird, um beispielsweise Werksschutz oder Wachpersonal mit automatisch bereitgestellten Videobildern beziehungsweise Streams ein klares Lagebild zu vermitteln.

Die Implementierung eines integralen Zutrittsmanagements, das die sicherheitstechnische Resilienz eines Kritis-Betreibers normativ erhöht, stellt derzeit viele Betreiber vor diverse Herausforderungen.

Diese Herausforderungen beginnen bereits beim Kritis-Betreiber selbst, dessen Führungsebene nun in der Verantwortung steht, falls dies noch nicht geschehen ist, interne Ansprechpartner und Teams zu benennen. Gemeinsam mit ausgewählten Herstellern, Lieferanten, Planern, Errichtern und Experten sollten sie nach einer umfassenden Schutzbedarfsanalyse die vorhandenen physischen Sicherheitslösungen im eigenen Bestand evaluieren. Dabei ist es wichtig, den Sicherheitsgrad und die Einsatzfähigkeit dieser Lösungen im Sinne der NIS2-Richtlinie und des kommenden Kritis-Dachgesetzes zu bewerten.

Dieser Prozess erfolgt in enger Zusammenarbeit und wiederholter Abstimmung mit dem jeweiligen Bedrohungsbild und dem eigenen Schutzbedarf. Der Kritis-Betreiber steht dabei oft vor der Herausforderung, den schwierigen Zielkonflikt zwischen Gesetzgebung und Sicherheitslage einerseits und den begrenzten finanziellen Ressourcen andererseits optimal zu bewältigen. Hierbei ist es für den Betreiber entscheidend, die richtigen Hersteller und erfahrenen Partner an seiner Seite zu haben, um gemeinsam die richtigen Prioritäten zu setzen und beispielsweise teure Teilgewerke zu vermeiden, die hohe Kosten verursachen, aber möglicherweise offene Angriffsvektoren ungesichert lassen.

Das integrale Zutrittsmanagement beginnt bereits vor dem Betreten der Kritis-Örtlichkeit. Hierbei spielt das taktische Besuchermanagement eine wichtige Rolle, indem es Personen im Voraus informiert und unerwünschten Besuchern den Zugang zur sensiblen Örtlichkeit des Kritis-Betreibers verwehrt oder zusätzliche Sicherheitsvorkehrungen trifft. Hierfür stehen verschiedene Möglichkeiten zur Verfügung, wie zum Beispiel eine Vorab-Zuverlässigkeits- oder Sicherheitsüberprüfung. Besuchermanagementlösungen, die Teil des Zutrittsmanagements sind, dienen jedoch nicht nur der Vorab-Kontrolle von Besuchern. Sie unterstützen insbesondere auch während des Besuchs, zum Beispiel durch Evakuierungs- und Notfallmanagement, sowie nach dem Besuch, bei der Rückgabe oder Deaktivierung des Ausweisträgers und dem Sicherheits-Checkout.

Welche Elemente sind notwendig bei einem Zutrittsmanagementsystem für Kritis-Betreiber und welche Normen sind hierbei sehr hilfreich? Ein integrales Zutrittsmanagementsystem für Kritis-Betreiber besteht immer aus vier klassischen Zutritts-Elementen sowie mindestens vier oder mehr weiteren Randgewerken, die man sowohl einzeln als auch zusammen hinsichtlich Sicherheitsbedarf, Risikoklasse und Funktion bewerten sollte. Dazu zählen:

Diese vier grundlegenden Elemente bilden das Herzstück eines integralen Zutrittsmanagementsystems, das speziell auf die Anforderungen von Kritis-Betreibern abgestimmt ist. Weiterhin sind häufig die folgenden vier integrierten Randgewerke Teil eines umfassenden Zutrittsmanagementsystems für KRITIS-Betreiber: Interkom- und Videosicherheitslösung, Einbruchmeldetechnik, Besuchermanagement. Bei sehr großen Kunden sollte zudem eine entsprechende taktische Managementoberfläche vorhanden sein, in die alle vorhandenen und neuen Subsysteme integriert werden können, einschließlich mehrerer verschiedener Zutrittslösungen.

Sehr hilfreich für Kritis-Betreiber ist hierbei die DIN EN 60839-11, mittels derer eine Risikoermittlung vor der Beschaffung und Umsetzung eines Zutrittsmanagements durchgeführt werden kann. Mit Hilfe dieser Norm werden die Eintrittswahrscheinlichkeit eines Risikos und das potenzielle Schadensausmaß gegenübergestellt. Unternehmen und Organisationen werden dann in vier Risikograde eingeteilt, die den spezifischen Bedürfnissen und Anforderungen entsprechen.

Kritis-Unternehmen fallen in der Regel mindestens in den Risikograd 3 oder sogar 4 (mittel bis hoch und hoch) gemäß DIN EN 60839-11-1. Bei einem hohen Risikograd wird ein sehr hohes Wissen beim potenziellen Angreifer vorausgesetzt, ebenso wie eine hohe Fertigkeit im Umgang mit der zu attackierenden Zutrittslösung sowie umfassendes Wissen über Erkennungsmethoden und IT-Technologien.

Ein besonders zu schützender Angriffsvektor bei Kritis-Betreibern betrifft die Identität einer Person oder eines Besuchers, wie unter Punkt 1 aufgeführt. Dies kann in Form einer Karte, eines elektronischen Schlüsselanhängers oder eines biometrischen Merkmals erfolgen. Es ist von entscheidender Bedeutung, eine moderne ID-Technologie mit einer hohen Standardverschlüsselung einzusetzen, beispielsweise Mifare Desfire EV2 oder höher mit einer mindestens AES 128-Bit-Standard-IT-Verschlüsselung. Dadurch wird vermieden, dass die ID-Zutrittskarte innerhalb weniger Sekunden geklont werden kann. Für biometrische Merkmale gilt dasselbe, wobei auch eine hochsichere und erweiterte Sensorik zum Einsatz kommen sollte, wie beispielsweise Lebenderkennung, Fake-Detektionssensorik und KI-Technologie.

In der Praxis verwenden jedoch einige Kritis-Betreiber noch immer leicht klonbare Karten- und Biometrietechnologien, wie zum Beispiel Legic Prime, Mifare Classic oder einfach klonbare Fingerabdrucktechniken. Dies stellt ein fahrlässiges Risiko dar und sollte schnellstmöglich durch sichere Technologien ersetzt werden. Häufig möchten Kunden die ID-Zutrittskarte auch als Lichtbildausweis oder zur Zeiterfassung verwenden, wie es bereits bei einigen Bedarfsträgern in Deutschland der Fall ist. Dabei entsteht jedoch eine Kollision zwischen dem Komfort, nur ein Medium zu haben, und der erforderlichen Trennung betrieblicher und sicherheitstechnischer Aspekte, wie es auch in der DIN ISO 27001 definiert ist. Gerade Kritis-Betreiber sollten besonderes Augenmerk auf diese Trennung legen. Es ist keinesfalls empfehlenswert, die Zutrittskarte gleichzeitig als Lichtbildausweis zu nutzen, um Angreifern keinerlei Anhaltspunkte zu geben, wo der gefundene Ausweis verwendet werden könnte. Auch bei der hybriden Verwendung als Zutrittskarte und Zeiterfassungskarte ist aus unserer Sicht eine Trennung von sicherheitstechnischen und betrieblichen Aspekten notwendig, selbst wenn dies mit gewissen Komforteinschränkungen einhergeht. Solche Überlegungen spielen auch eine wichtige Rolle bei der Integration des Datenschutzes in das aktuelle IT-Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik) und dienen als wichtige Entscheidungsgrundlage.

Sicherheit war schon immer mehr als nur eine einzelne technische Lösung. Sie erfordert stets einen ganzheitlichen, integralen Ansatz, um die definierten Schutzziele zu erreichen. Dabei ist es besonders wichtig, im Vorfeld die richtigen Partner auszuwählen, die über das erforderliche Wissen und die Erfahrung, insbesondere im Bereich der relevanten Normen, verfügen. Bei Comelit begleiten wir Kritis-Betreiber seit Jahren in Zusammenarbeit mit Ingenieurbüros, Planern, Sicherheitserrichtern, Partnerunternehmen und anderen Herstellern ganzheitlich. Als Hersteller von NDAA- und GDPR-konformen Videosicherheitssystemen, integralen Zutrittsmanagementlösungen und hochsicherer Interkomtechnik verfolgt Comelit einen ganzheitlichen Ansatz. Unser Ziel ist es, bei Kunden eine Vielzahl von verschiedenen isolierten Technologien in wenige, hochsichere integrale Lösungen zusammenzuführen, die den Schutzzielen des Kunden gerecht werden. Seit Ende letzten Jahres sind wir auch aktiv als Mitglied im BHE (Bundesverband Sicherheitstechnik) und im VfS (Verband für Sicherheitstechnik).

Rainer Sander, Leiter Integrale Zutrittsmanagementlösungen bei der Comelit Group S.p.A. Deutschland.