Mit Beginn der Pandemie im Frühling 2020 wurden sicher geglaubte Lieferketten unterbrochen. Im Bereich der kritischen Infrastruktur waren zunächst insbesondere medizinische Güter betroffen – spätestens mit Beginn des Ukraine-Kriegs jedoch wurde offensichtlich, dass unsere gesamte Versorgungssicherheit nicht mehr durchgängig gewährleistet ist, ob mit Energie, Wasser, Lebensmitteln oder weiteren wichtigen Gütern und Leistungen. Hinzu kamen in den vergangenen Jahren weitere Störszenarien wie z. B. Angriffe auf Gaspipelines, das Ausspähen von Truppenübungsplätzen oder Versorgungsunternehmen mit Drohnen, die Sabotage an Kabeln der Deutschen Bahn oder das Eindringen von Demonstranten in Parlamentsgebäude wie in den USA oder im Irak. Die Anzahl der Sicherheitsvorfälle im KRITIS-Bereich ist gestiegen. Die Reaktion der Bundesregierung darauf war überfällig.
 

Cyberangriffe und physische ­Gefahren

Zwar wurden im Bereich der Cybersicherheit vor einigen Jahren bereits mit dem BSI-Gesetz (Bundesamt für Sicherheit in der Informationstechnik) sowie dem IT-Sicherheitsgesetz die Sicherheitsstandards für die kritischen Infrastrukturen verstärkt. Betreiber müssen die Einhaltung ihrer IT-Sicherheitsvorgaben nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen sowie erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können.

Darüber hinaus gab es in Deutschland bis jetzt aber kein sektoren- und gefahrenübergreifendes Gesetz zum KRITIS-Schutz. Allein die Cybersicherheit zu gewährleisten ist jedoch kein umfassendes Konzept. Physische Angriffe wie Sabotage – auch innerhalb eines Unternehmens – oder einfache technische Störungen sowie Naturgefahren können ebenso erheblichen Schaden anrichten.
 

KRITIS-Dachgesetz

Mit dem KRITIS-Dachgesetz nimmt die Bundesregierung daher nun ergänzend zu den bestehenden Regelungen zum Cyberschutz das Gesamtsystem zum physischen Schutz kritischer Infrastrukturen in den Blick. Das Gesetz soll vor allem einheitliche Mindeststandards festlegen, wie sich Betreiber wichtiger Anlagen schützen und unter welchen Umständen sie Angriffe und Schäden melden müssen. Die Bundesinnenministerin Nancy Faeser erklärte, dass in allen Sektoren der kritischen Infrastruktur „die gleichen Mindestvorgaben im Bereich der physischen Sicherheit“ gelten sollen. Dazu sollen geeignete und verhältnismäßige technische, personelle und organisatorische Maßnahmen getroffen werden.
 

Was können Betreiber kritischer Infrastruktur bereits jetzt tun, um für diese übergreifenden Sicherheitsvorgaben gerüstet zu sein?
 

Offene Integrationsplattformen

Natürlich sind KRITIS-Unternehmen bereits umfangreich mit Hilfe technischer Systeme überwacht, doch gerade die Umsetzung übergreifender Aktionen im Gefahrenfall ist oft ein Problem: Was passiert zum Beispiel, wenn es nachts im Maschinenraum eines Heizkraftwerks brennt, während gleichzeitig ein Zaunalarm am rund einen Kilometer entfernten Nebeneingang gemeldet wird, die Sicherheitsleitstelle aber nur mit einem Verantwortlichen besetzt ist?

Eine offene Integrationsplattform, die das Gefahrenmanagement sicherstellt – zum Beispiel WinGuard von Advancis – bietet eine zuverlässige Lösung. Statt sich auf viele verschiedene Systeme wie Video- oder Zaunüberwachung, Brandmeldeanlage und Zutrittskontrolle zu konzentrieren, kann das Sicherheitspersonal sich in einer einheitlichen Benutzeroberfläche bewegen und darüber klar erkennen, welche Meldungen kritische Alarme sind. Alle technischen Systeme sind zur einheitlichen Steuerung über Schnittstellen an die Plattform angebunden.

Im Ereignisfall werden eindeutige und individuell auf das jeweilige Unternehmen abgestimmte Verfahrensanweisungen für den Bediener bereitgestellt. Einzelne vorgegebene Handlungsschritte muss er nacheinander abarbeiten, so dass er stets den Überblick behält und die Situation so schnell und sicher wie möglich lösen kann. Gleichzeitig interagieren alle an die Integrationsplattform angebundenen Systeme automatisch.
 

Systeminteraktion und eindeutige Handlungsanweisungen

Für das Beispiel eines Brandalarms in Verbindung mit einem weiter entfernten Zaunalarm bedeutet dies, dass zunächst über die ebenfalls angeschlossene Videoüberwachung die Kameras im Maschinenraum automatisch in der Benutzeroberfläche aufgeschaltet werden. So kann der Bediener prüfen, ob tatsächlich ein Brand vorliegt und Maßnahmen eingeleitet werden müssen.

Falls ja, bestätigt er dies über die dynamischen Handlungsanweisungen – dann schließen Brandschutztüren automatisch, die Beleuchtung wird eingeschaltet, eine Durchsage zur Evakuierung des Gebäudes wird über die Lautsprecheranlage ausgegeben, die Werkfeuerwehr wird informiert, Feuerwehrlaufkarten werden ausgedruckt usw. Eine direkte Kopplung zu Einsatzleitsystemen ist einfach möglich, wodurch im Notfall ein rasches sowie koordiniertes Eingreifen der Rettungskräfte sichergestellt wird. Hinsichtlich des gleichzeitig eingegangenen Zaunalarms wird der mobile Wachdienst oder der Werkschutz automatisch über eine Meldung auf Mobilgeräte informiert, Schleusen und Tore werden vom System geschlossen. Auch hier wird, falls vorhanden, die Kamera im betreffenden Bereich automatisch aufgeschaltet.

Die Unterscheidung sicherheitskritischer Alarme von Falschalarmen wird durch die Nutzung einer Integrationsplattform erheblich vereinfacht und beschleunigt. Auch Meldungen der Haustechnik oder Wartungsbenachrichtigungen erfolgen über die offene Integrationsplattform, z. B. können Unternehmen mit tausenden von Brandmeldern diese bei Wartungsarbeiten direkt über die Benutzeroberfläche mit Hilfe integrierter CAD-Grundrisspläne einzeln abschalten und nach Abschluss der Arbeiten wieder zuschalten, um Falschalarme zu vermeiden.
 

Dokumentation und Bericht­erstattung

Die Dokumentations- und Meldepflicht bei Sicherheitsvorfällen bedeutet für Betreiber kritischer Infrastrukturen oft einen hohen Personal- und Zeitaufwand. Mit einem zentralisierten Gefahrenmanagement über eine offene Integrationsplattform wird die Erfüllung dieser Pflichten erheblich vereinfacht, da für jede Meldung automatisiert ein Bericht erstellt wird. Dieser enthält alle Informationen wie Uhrzeit und Dauer des Alarms, die automatischen Systemmaßnahmen sowie die Aktionen, welche der Bediener durchgeführt hat, usw. Anhänge wie Kamerasequenzen oder zugehörige Pläne werden mitgespeichert.

Der Bericht wird änderungsgeschützt archiviert und kann jederzeit abgerufen und weitergeleitet werden. Die detaillierte Dokumentation unterstützt den Betreiber außerdem bei der weiteren Prozessoptimierung.
 

Zukunftssicherheit durch technische Erweiterbarkeit

Eine offene Integrationsplattform ist hinsichtlich der Einbindung technischer Systeme flexibel und jederzeit erweiterbar. Auch sehr spezifische, individuelle Schnittstellen und Funktionen sind umsetzbar. WinGuard von Advancis bietet mit der Möglichkeit, dass auch Dritte wie beispielsweise der KRITIS-Betreiber selbst diese entwickeln und einfach in die Software implementieren können, die nötige Flexibilität zur zügigen Umsetzung geänderter Anforderungen in KRITIS-Unternehmen.