Die Integration von Zutrittskontrollanlagen (ZKA) in Institutionen oder Unternehmen mit einem hohen Gefährdungsgrad, stellt das verantwortliche Sicherheitsmanagement vor große Schwierigkeiten. Die Vielzahl von Systemen, die auf dem Markt für Zutrittskontrollen angeboten werden, machen eine Systemübersicht schwierig. Zumal den wenigsten Verantwortlichen die Bewertungskriterien einer sicheren Zutrittskontrollanlage klar sind. Ein gern herangezogener Ansatz ist das Transponderformat. Seit der Kompromittierung von vermeintlich hochsicheren RFID-Formaten, vor einigen Jahren, sind viele Hersteller und Anbieter von ZKA-Systemen auf den Zug aufgesprungen und bieten vermeintliche „System-Sicherheit“, durch das Angebot eines aktuell sicheren Transponderformates an.
„DABEI LASSEN VIELE AUS, DASS MIT DER WAHL EINES SICHEREN TRANSPONDER, RFID-FORMATES NOCH NICHT EINMAL DER HALBE WEG ZU EINEM SICHEREN ZKA-SYSTEM GEGANGEN WORDEN IST“
Viele Anbieter nutzen die Möglichkeiten von zertifizierten RFID-Karten nicht aus und sichern damit Ihr System gegen die üblichen Gefahren (Abhören, Duplizieren) etc. Erst wenn die Möglichkeiten (Authentisieren, Verschlüsselung, usw.) einer Karte korrekt eingesetzt werden, erhöht dies die Sicherheit in Bezug auf das ZKA-System. Licht ins Dunkle könnten die in Deutschland anerkannten Institutionen, wie der VdS und das BSI bringen. Nur stellt es sich so dar, dass seit dem Beben, das mit der Kompromittierung der Systeme „Mifare classic“ und „Legic prime“ durch den Markt der ZKA-Systeme ging, sich der BSI aktuell stark mit Empfehlungen zu sicheren Systemen zurückhält. Bei allgemeinen Anforderungen empfiehlt das BSI sich an den Vorschriften des VdS zu orientieren und VdS anerkannte Produkte zu verwenden. Es empfiehlt darüber hinaus eine Leitungsverschlüsselung, durchgängig vom ZKA-Server (ZKS) über die Auswerteeinheit (AE) und Eingabeeinheiten (EE) zu realisieren. Grundsätzlich verweist das BSI darauf, dass die Grundsätzliche Prüfungen zur Funktionalität und Umweltaspekten, z.B. nach "BSI-TL-M01 Produktliste für die materielle Sicherheit" in der Verantwortung der Hersteller liegen und z.B. durch eine Prüfung beim VdS, (VdS 2358, VdS 2359) nachgewiesen werden könnte. Weitergehende Aspekte sind in der BSI-TL-M20 "Zutrittskontrollanlagen-Projektierung Planung und Anwendung" sowie für die allgemeine IT-Sicherheit im Betrieb sind z.B. im BSI-IT-Grundschutz enthalten und liegen in der Verantwortung des Fachplaners bzw. Nutzers. Zumeist zeigen sich in der Verantwortung stehende Sicherheitsmanager, an dieser Stelle überfordert. Die Feststellung von Anforderungen an eine sichere Zutrittskontrollanlage, aus einem umfassenden Sicherheitskonzepts zu definieren, bedarf tiefgreifender Kenntnisse im Bereich von Sicherheitstechnische-Anlagen und lassen sich nicht anhand von Checklisten abarbeiten. Zumal Aspekte, wie die zukünftige Betriebsverantwortung, Schnittstellen, Komfortfunktioen, etc. für Teile von komplexen ZKA-Systemen durchaus unterschiedlich sein können und dadurch schon in der Anfangsphase der Projekte, die Beteiligung unterschiedlichster Abteilungen notwendig ist. Viel kann bei der Akzeptanz von internen Projekten getan werden, wenn die richtigen Verantwortungen erkannt und für die Zusammenarbeit herangezogen werden können.
Die Verantwortung des Sicherheitsmanagements ist und bleibt es, Sicherheitsanforderungen zu definieren. Dies sollte über die Erstellung eines rechtsicheren Betriebsführungskonzeptes erfolgen. Hier können die Einschätzungen zu Gefährdungslagen und Anforderungen an die Funktionsweise das ZKA-Systems, den Unternehmensausweis, die zu sicheren Bereiche, etc. getroffen werden. Hat das Sicherheitsmanagement seine Einschätzungen getroffen, sollte ein abgestimmtes Sicherheitskonzept erstellt werden.Dieses sollte die Anforderungen aus dem Betriebsführungskonzept aufnehmen und die sich daraus ergebenden Anforderungen fortschreiben. Dazu müssen an dieser Stelle auch, alle an dem Prozess der Einführung eines sicheren ZKA-Systems eingebundenen Abteilung identifiziert werden. Dies können sein:
Abgestimmt auf die Anforderungen der einzelnen, beteiligten Abteilungen wird im Sicherheitskonzept, das ZKA-System in seiner Funktion, das heißt in seinen Organisatorischen und technischen Funktionsweisen beschrieben. Hier sind vier Hauptaspekte von besonderer Bedeutung:
Sind diese Aspekte geklärt können im Sicherheitskonzept die Vorgaben, Ansprüche, Wünsche, etc. dargestellt werden. Diese werden mit den Verantwortlichen abgestimmt, die vorher identifiziert worden sind. Ist dies getan, können notwendige Einzelprojekte identifiziert werden. Die Technischen Lösungen orientieren sich hierbei, ganz klar an den Vorgaben aus dem erarbeiteten Sicherheitskonzept. Diese sollten in Form einer Entwurfsplanung dargestellt werden, die wiederum maßgebend für alle weiteren Schritte, in Richtung Ausschreibung und Beschaffung einer sicheren ZKA-Anlage ist.
Ist dieses Thema für Sie interessant? Dann schreiben Sie uns. Gern tauschen wir uns hierzu und zu anderen Themen aus dem Spektrum moderner Sicherheitssysteme aus. Mit herzlichen Grüssen, ihr Frank Liestmann
IMPRESSUM | DATENSCHUTZERKLÄRUNG
© Security Technology Consulting BPS GmbH 2020-2021
