Gebäude- und IT-Sicherheit sind wichtige Themen für alle Industrien und Branchen, doch ganz besonders für Betreiber kritischer Infrastrukturen (KRITIS). Denn sowohl Cyber- als auch physische Angriffe nehmen zu und der Schaden, der durch eine ineffiziente Informationssicherheit oder Sicherheitstechnik entsteht, kann fatal für ein Unternehmen sein. Um sensible und vertrauliche Informationen wie Verträge, Patente oder persönliche Daten optimal zu schützen, lohnt sich die Einführung eines ISO 27001-zertifizierten Informationssicherheits-Managementsystems (ISMS) nach DIN EN ISO 27001:2017 sowie die zusätzliche Investition in den physischen Objektschutz mit moderner Schließanlagentechnik.
Die ISO 27001 Zertifizierung ist ein weltweit anerkannter Standard, der die Anforderungen genau definiert, die an die Einführung, Umsetzung und Dokumentation eines ISMS gestellt werden. Auf diese Weise werden vertrauliche Daten geschützt und die Integrität und Verfügbarkeit der gesamten IT-Systeme verbessert. Neben der Tatsache, dass technische Leiter eines Unternehmens durch diese Zertifizierung die Wirksamkeit ihres ISMS objektiv und glaubwürdig nachweisen können, rechnet sich das aufwändige Zertifizierungsverfahren noch in mindestens drei weiteren Punkten:
- Nachgewiesene Sicherheit: Das Unternehmen zeigt glaubhaft bspw. auch gegenüber Kunden, dass es sich im Bereich Informationssicherheit an internationale Standards hält und diese regelmäßig durch eine anerkannte Zertifizierung überprüfen lässt
- State-of-the-Art: Kunden erkennen, dass die Dienstleistungen und Produkte auf dem neusten Stand der Technik sind und bereits während der Produktentwicklung an die Informations- und Datensicherheit gedacht wurde
- Entlastung: Die persönliche Haftung des Managements kann durch die Zertifizierung reduziert werden
Von Anfang an auf der sicheren Seite
Dass diese Zertifizierung mit hohem Aufwand verbunden ist, weiß auch die ASSA ABLOY Sicherheitstechnik GmbH. Das Unternehmen hat 2021 als eines der ersten in der Branche erfolgreich ein Informationssicherheits-Managementsystem nach DIN EN ISO 27001:2017 für den Geltungsbereich „Entwicklung und Vertrieb sowie Betrieb und Pflege von Produkten und Servicedienstleistung für mechanische und elektromechanische Schließanlagen“ eingeführt und zertifiziert. Da war aller Anfang schwer – Zu Beginn des Prozesses galt es für das interne Projektteam zunächst einmal zu verstehen und zu lernen, was bei diesem Zertifizierungsverfahren alles zu beachten ist. Eine wichtige Erkenntnis dabei: Kein Aktionismus, sondern ein systematischer Ansatz ist zielführend.
Beim Finden dieses Ansatzes sowie dem Ausbau des eigenen Know-how für die Realisierung der geeignetsten Lösung hilft die Beratung durch spezialisierte IT-Sicherheitsdienstleister. Sie unterstützen während des gesamten Prozesses in der Planung und Inbetriebnahme des ISMS und allen dazugehörenden Modulen, wie zum Beispiel Systemen zur Angriffserkennung. Sie verbessern auch die technische Netzwerksicherheit und überprüfen diese auch im Betrieb mittels diverser Penetrationstests.
Warum die ISO 27001 Zertifizierung für Unternehmen vorteilhaft ist, bezeichnet ASSA ABLOY im Rückblick des eigenen Zertifizierungsverfahrens unter anderem als Win-Win-Situation im Hinblick auf die Kundenbeziehungen: Durch die Zertifizierung ist direkt erkennbar, dass schon während der Entwicklung eines Produktes an die Informationssicherheit gedacht und nach modernsten Sicherheitsstandards produziert wird. Neben der Sicherheit ist auch die Anwenderfreundlichkeit der Produkte ein großes Thema für die Kunden des Herstellers. Die Produkte sollen immer und überall verfügbar sein, Individualisierung und Flexibilisierung sind besonders wichtig. Elektronische Schließsysteme nehmen hier eine besondere Rolle ein, denn sie gliedern sich zwischen den zwei Welten mechanische Schließanlage und Zutrittskontrolle ein. Die neue Zertifizierung stellt sicher, dass die Produkte sicher sind und die gestiegenen Anforderungen an die Informationssicherheit erfüllen.
Checkliste: Wie sicher ist der Zugang zu meiner KRITIS?
Mit diesen Anforderungen muss sich seit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 übrigens ein erweiterter Kreis von Branchen und Unternehmen auseinandersetzen, die jetzt neu als kritische Infrastruktur definiert wurden. Hinzu kommt die verpflichtende Einführung eines Systems zur Angriffserkennung bis Mai 2023 und weitere Vorgaben, die das Ziel verfolgen, das gesamte Sicherheitsniveau in den Einrichtungen kontinuierlich zu erhöhen. KRITIS-Betreiber sind daher gut beraten, zum Schutz vor Cyber-Attacken und anderen Manipulationsversuchen in ihren Institutionen auf ein ganzheitliches Sicherheitskonzept zu setzen, dass sowohl IT-Sicherheit und Datenschutz als auch die physische Sicherheit berücksichtigt.
Denn unter sicherheitstechnischen Gesichtspunkten birgt jede einzelne Gebäudeöffnung einen Schwachpunkt. Um physische Gefahren effektiv minimieren zu können, müssen diese Schwachstellen gefunden und eliminiert werden. Eine anschauliche, alltagstaugliche Checkliste auf Grundlage des Basisschutzkonzeptes des Bundes „Schutz kritischer Infrastrukturen” hilft dabei. Ob die Zugangsmaßnahmen in der eigenen KRITIS ausreichend und sicher sind, klären unter anderem Fragen wie diese:
- Erfolgt die Freigabe für Berechtigte über elektronische Zutrittsberechtigungen?
- Muss die Zugangslösung besonderen Witterungsverhältnissen standhalten wie beispielsweise hoher Feuchtigkeit?
- Müssen besonders viele Einrichtungen an unterschiedlichen Standorten mit einer Technik ausgestattet sein, für die flexible Zugangsberechtigungen möglich sein sollen?
Elektronische Schließanlagen bieten einen hohen Schutz gegen Manipulation und intelligente Angriffe. Die Flexibilität und schnelle Verwaltung elektronischer Schließanlagen machen Änderungen und Anpassungen in Gebäuden zudem so einfach wie nie. Selbst KRITIS-Objekte mit vielen tausend Schlüsseln und weit verstreuten Standorten sind mit geringem Aufwand sicher und übersichtlich zu verwalten.
Foto: ASSA ABLOY Sicherheitstechnik GmbH