So werden Kritische Infrastrukturen optimal gesichert
Informationssicherheit und IT-Sicherheit sind wichtige Themen für alle Industrien und Branchen, doch ganz besonders für Betreiber Kritischer Infrastrukturen.
Als Hersteller von Sicherheitstechnik hat Assa Abloy einen hohen Anspruch an die Informationssicherheit und hat deshalb ein Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO 27001:2017 eingeführt und zertifiziert. Im Interview erklären Joachim Mahlstedt, Leiter Business Development Infrastruktur bei Assa Abloy, und Kent Andersson, geschäftsführender Gesellschafter des IT-Sicherheitsdienstleisters Ausecus, warum diese Zertifizierung für Kritische Infrastrukturen so wichtig ist.
Herr Mahlstedt, warum hat sich Assa Abloy für eine ISO 27001 Zertifizierung entschieden?
Joachim Mahlstedt: Als Hersteller für Sicherheitstechnik haben wir schon immer hohe Anforderungen an die Informationssicherheit gestellt – genauso wie an die Sicherheit und Zuverlässigkeit unserer Produkte und Dienstleistungen. Die ISO 27001 ist der international führende Standard für die Einführung, Umsetzung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS). Durch den Dialog mit unseren Kunden haben wir früh erkannt, dass eine solche Zertifizierung von beiderseitigem Vorteil ist, denn so erkennen sie leicht, dass schon während der Entwicklung eines Produktes an die Informationssicherheit gedacht wurde.
In unserem Segment sind wir als Hersteller damit Vorreiter. Allerdings bedeutete das zu Beginn des Prozesses auch, dass wir erst einmal verstehen und lernen mussten, was bei diesem Zertifizierungsprozess alles zu beachten ist. Wichtig war kein Aktionismus, sondern ein systematischer Ansatz. Wir haben jetzt mit der Zertifizierung für den Geltungsbereich „Entwicklung und Vertrieb sowie Betrieb und Pflege von Produkten und Servicedienstleitung für mechanische und elektromechanische Schließanlagen“ die Möglichkeit, die Informationssicherheit gegenüber unseren Kunden zu belegen.
Welche Bedeutung hat das Informationssicherheits-Managementsystemen (ISMS) nach ISO 27001 für Unternehmen der Kritischen Infrastrukturen?
Kent Andersson: Mit ISMS lässt sich die Informations- und IT-Sicherheit einer Organisation strukturiert aufbauen, nachweisen und kontinuierlich verbessern. Für Kritische Infrastrukturen (Kritis) ist das besonders wichtig, da viele Menschen von der reibungslosen Funktion der Kritischen Leistungen abhängen. Besonders Kritische Infrastrukturen sollten sich – durch die stetig wachsende Bedrohung durch Cyber-Angriffe – schützen, um Ausfälle in der Versorgungssicherheit zu vermeiden. Viele Betreiber stellt das vor eine große Herausforderung, da Informationssicherheit bis vor wenigen Jahren noch eine eher untergeordnete Rolle im Betriebsalltag gespielt hat. Um das eigene Know-how weiter aufzubauen und um eine wirksame Lösung zu realisieren, haben sich etliche Betreiber Unterstützung gesucht – zum Beispiel bei uns. Wir von Ausecus unterstützen Kritis-Betreiber im Aufbau und Betrieb von ISMS und allen dazugehören Aufgaben, wie Systeme zur Angriffserkennung, Penetrationstests und technische Netzwerksicherheit.
Joachim Mahlstedt: Beratungsunternehmen wie Ausecus helfen dabei, dass im Unternehmen die richtigen Entscheidungen getroffen werden. Sie entwickeln mit den Fachbereichen Handlungsoptionen und zeigen die Folgen auf. Sie unterstützen bei der Vorbereitung und Umsetzung. Dabei kann man selbst sehr viel lernen und spart sich gleichzeitig eine Menge Arbeit. Es hilft besonders, wenn man schon von Anfang an die Weichen richtigstellt, zum Beispiel durch einen klug gewählten Geltungsbereich.
Welche Rolle spielen Unternehmen wie Assa Abloy als Hersteller von Schließanlagen und damit physischen Sicherheitslösungen dabei?
Kent Andersson: Physische Sicherheit stellt eine Grundvoraussetzung des Schutzkonzeptes eines jeden Unternehmens dar. Eine Firewall ist ein sehr wichtiges Werkzeug. Sie schützt die Netzwerke jedoch nur an den Schnittstellen zu anderen Netzwerken. In der Vergangenheit hat sich das bei Penetrationstests als Schwachstelle erwiesen. Wir konnten immer wieder in relevante Gebäude und direkt in den Serverraum eindringen und damit die Firewalls umgehen. Das beweist leider: Angreifer haben Erfolgschancen, wenn die physische Sicherheit verwundbar ist. Kritis-Betreiber wie Stromnetzbetreiber oder Wasserversorger sind durch viele Außenstellen und großflächlige Ausdehnung besonders anfällig.
Wie wichtig sind also mechanische und elektronische Schließsysteme für Kritis-Institutionen und vielleicht auch darüber hinaus?
Joachim Mahlstedt: Für unsere Kunden sind Sicherheit und Anwenderfreundlichkeit große Themen. Die Produkte sollen immer und überall verfügbar sein, Individualisierung und Flexibilisierung sind da große Schlagwörter. Elektronische Schließsysteme haben in diesem Kontext einen besonderen Stellenwert. Sie gliedern sich zwischen den zwei Welten mechanische Schließanlage und Zutrittskontrolle ein. Egal, für welche Produkte sich unsere Kunden entscheiden, sie können sicher sein, dass sie nicht nur sicher sind, sondern auch im höchsten Maße die gestiegenen Anforderungen erfüllen. Bei Anwendern aus dem Bereich Kritis bemerken wir, dass die Mechatronik insbesondere in der dezentralen Infrastruktur Einzug gefunden hat. Hier spielen Kosten, Wartungsfreiheit und Nachrüstbarkeit neben der Sicherheit eine große Rolle.
Was erwartet Kritis-Unternehmen in der Zukunft? Welche Änderungen sind vonseiten des Gesetzgebers bereits geplant?
Kent Andersson: Erst in diesem Jahr ist das IT-Sicherheitsgesetz 2.0 in Kraft getreten und eine überarbeitete Kritis-Verordnung wurde veröffentlicht. Dadurch werden weitere Branchen und Unternehmen als Kritische Infrastrukturen eingestuft. Außerdem kommt auf alle Kritis-Unternehmen die verpflichtende Einführung eines Systems zur Angriffserkennung zu. Die Umsetzung muss bis Mai 2023 nachweislich erfolgt sein. Gleichzeitig wird an einer Weiterentwicklung der Normen gearbeitet. Anfang nächstes Jahr wird die neue ISO 27002 erwartet, die dann auch Assa Abloy wieder betrifft. Das Sicherheitsniveau muss weiter ansteigen, um mit den wachsenden Bedrohungen umzugehen.
Passend zu diesem Artikel
Blackouts, wachsende Cyberbedrohung und KI. Die neue Ausgabe des PROTECTOR dreht sich ganz um den Schutz Kritischer Infrastrukturen.
PCS präsentierte auf der diesjährigen Protekt erfolgreich seine Lösungen für den Schutz Kritischer Infrastrukturen.
Die PMRExpo, europäische Leitmesse für sichere Kommunikation, findet vom 28.-30. November 2023 mit dem Schwerpunkt Kritische Infrastrukturen statt.