Aus Sicht vieler Experten der Sicherheitsbranche stellt das KRITIS-Dachgesetz, so wie weitere gesetzgeberische Maßnahmen – beispielsweise die bereits Anfang 2023 in Kraft getretene EU-Richtlinie NIS2 –, einen wichtigen und längst überfälligen Schritt zur Verbesserung der Resilienz und Sicherheit Kritischer Infrastruktureinrichtungen in Deutschland dar. Das KRITIS-Dachgesetz selbst ist dabei als Ergänzung zur Cybersecurity zu betrachten und widmet sich in erster Linie der physischen Sicherheit. Zugleich sorgt dies jedoch auf Seiten vieler Unternehmen für Verunsicherung: Wer zählt zukünftig zur Kritischen Infrastruktur? Welche Vorgaben sind wie zu erfüllen? Welche Lösungen gibt es?

Genau hier setzte der KRITIS Expert Summit unter dem hauseigenen Slogan „Trusted.Communication.Always.“ an: Gemeinsam mit ihren Partnern Advancis, Astrum IT, Dormakaba und Fath, boten Schneider Intercom und die Commend Group den Besuchern der Tagung die Möglichkeit, sich über die neuesten Entwicklungen und Trends im Bereich der physischen Absicherung Kritischer Infrastruktur zu informieren, Kontakte zu knüpfen und Fragen zu erörtern.

Was das KRITIS-Dachgesetz ­bereithält – Theorie und Praxis

Der KRITIS Expert Summit wurde von Detlef Witte, Geschäftsführer von Schneider Intercom, und Martin Gross, CEO der Commend Group eröffnet. Aus aktuellem Anlass startete man mit einem kurzen Rückblick, ausgehend von den Anfängen 1979 als „Schneider Sprechsysteme“ und zeigte den gemeinsamen, erfolgreichen Weg von Commend und Schneider Intercom in den letzten Jahrzehnten. Grund für den historischen Ausflug: Schneider Intercom präsentierte exklusiv im Rahmen des KRITIS Expert Summits den Teilnehmer das neue Unternehmenslogo, dass einen klaren Bezug zur Kommunikationslösung und dem Hersteller Commend besitzt, aber dennoch durch die Beibehaltung der Farben nicht seine Identität, Zuverlässigkeit und Tradition verliert.

Als erster Keynote Speaker erörterte im Anschluss Prof. Dr. Clemens Gause, Professor für Sicherheitstechnik und Informationsmanagement an der Northern Business School sowie Geschäftsführer des Verbands für Sicherheitstechnik e. V. (VfS), den rechtlichen Rahmen und die Entwicklung des KRITIS-Dachgesetzes. Dabei betonte er besonders die bestehende Lücke in der physischen Sicherheit in vielen Bereichen der Kritischen Infrastruktur in Deutschland und Europa. Hinsichtlich der Meldepflicht für Kritische Infrastrukturbetreiber postulierte Prof. Dr. Gause eine rapide personelle Vergrößerung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK), die in Zukunft die Einhaltung der technischen, sicherheitsrelevanten und organisatorischen Maßnahmen in den betroffenen Unternehmen überwachen sollen. Insgesamt würden die neuen gesetzlichen Rahmenbedingungen, die Zahl der Unternehmen und Betriebe, die der Kritischen Infrastruktur zugerechnet werden, um ein Vielfaches steigern. Nach eigenen Schätzungen ist ein Anstieg von bislang 5.000 auf ca. 50.000 denkbar.

Wie es sich abseits akademischer Pfade gegenwärtig in der gelebten Praxis verhält, vermittelten als weitere Keynote Speaker Jimmy Heschl, Global Head of Digital Security von Red Bull und Thomas Pfeiffer, Chief Information Security Officer der Linz Netz GmbH. Sie standen dem Auditorium Rede und Antwort, beleuchteten welche Schritte und Vorgehensweise sich in der Praxis bewährt haben, um den gegenwärtigen sicherheitstechnischen Anforderungen als Unternehmen zu entsprechen. Unter dem Titel „Ihr Weg zur erfolgreichen Zertifizierung“ sprachen beide über ihre Erfahrungen mit NIS1 und die Neuerungen für Unternehmen bei NIS2, welche Unternehmen zukünftig zur Kritischen Infrastruktur gezählt werden und was für Unternehmen für eine erfolgreiche Zertifizierung tun müssen.

Konkrete Lösungen für mehr physische Sicherheit im Bereich KRITIS

Nach den Einführungen in Theorie und Praxis folgten Vorträge von Schneider Intercom und seinen Partnern zu konkreten Produkten bzw. Lösungen. Mit der Intercom Plattform Symphony (On-Prem als Virtuosis oder als reiner Cloud-Service) bietet Schneider Intercom selbst eine Lösung, die, neben den eigentlichen Intercom-Funktionalitäten, den Schutz der Privatsphäre, der Kunden- sowie der Unternehmensdaten und des Know-hows im Fokus hat. Sicherheit und Datenschutz beginnen mit Vertrauen, daher setzt Commend bei der Entwicklung von Lösungen auf den „Privacy and Securtiy by Design“ – Ansatz und ist zertifiziert nach DIN EN IEC 62443-4-1 (IT-Sicherheit für industrielle Automatisierungssysteme) sowie ISO/IEC 27001:2013 (Information Security Management System (ISMS)).

Über die Symphony-Plattform lassen sich, unterschiedliche Subsysteme wie z. B. Videoüberwachung, Sensoren, Zutrittskontrolle oder auch Besuchermanagement einfach, intelligent miteinander verbinden und somit Prozessoptimierungen im Unternehmen erzielen. Durch die Vernetzung der Systeme kommt der IT-Security eine wesentliche Bedeutung zu. Zudem ist die Plattform Rückwärtskompatibel bis hin zu Produkten aus den späten 1980er-Jahren – Investitionsschutz durch Evergreen-Technology. Ziel der Schneider Intercom-Lösungen ist es, wie Alexander Gräf, Leiter Vertrieb und Marketing bei Schneider Intercom, während seines Vortrags erläuterte, durch den Einsatz von Intercom-Lösungen Mehrwerte für Nutzer und Unternehmen zu schaffen, Prozesse effizienter zu gestalten (z. B. Nutzung von QR-Codes in den Terminals am Perimeter für Besucher), die Sicherheit im Unternehmen aber auch im Bereich Smart Cities zu erhöhen (Sammelplatzlösungen in Verbindung mit einer Zutrittskontrolle und SOS-Button) und all dies unter Beachtung und Einhaltung der IT–Sicherheitsanforderungen und somit der Aufrechterhaltung des Betriebes.

Advancis, vertreten durch Dr. Jens Hartmann, präsentierte sein herstellerneutrales Gefahrenmanagementsystem Winguard, das gegenwärtig bereits bei 974 KRITIS-Projekten in 43 Ländern zum Einsatz kommt und über 500 Schnittstellen verfügt. Durch Winguard lassen sich u. a. Videoüberwachung, Zutrittskontrolle und Brandmeldeanlage in einer Software-Lösung miteinander verknüpfen. Mit AIM bietet das Unternehmen zudem ein Produkt, mit dem es möglich ist, Zutrittskontroll-, Identitäts- und Biometriesysteme in einer Plattform zu integrieren.

Mit besonderen Herausforderungen wird ein Unternehmen konfrontiert, wenn es darum geht, die Aktivitäten betriebsfremder Personen und Fahrzeuge zu managen. Daniel Tripp, Business Development & Operations Executive bei der Astrum IT GmbH, stellte mit Visit, ein Besuchermanagement-System vor, mit dem es möglich ist, den Besucher- und Lieferantenverkehr standortübergreifend, zentral zu erfassen. Zudem erlaubt die Webanwendung die Integration eines Moduls zur Selbstanmeldung in verschiedenen Sprachen sowie die Möglichkeit zur individuellen bzw. themenspezifischen Sicherheitsunterweisung über das Anmeldeterminal. Dies erhöht nicht nur das physische Sicherheitsniveau, sondern entlastet auch den Empfang. Wie in der Ausstellung zu sehen war, wird hierbei der Prozess künftig auch von Intercom-Lösungen aus dem Hause Schneider Intercom unterstützt – dem IP Intercom – Modul IM3 und IVY, dem weltweit ersten conversational AI-basiertem Intercom Sprachassistenten zur Entlastung der Leitzentrale. Doch natürlich gilt es nicht nur den Zutritt von Gebäuden hinsichtlich Personals und Besuchern abzusichern, sondern auch jederzeit einen Überblick über die Raumbelegung und den Personenverkehr im Gebäude selbst zu haben. Mate Ursic, Sales Consultant, Digital Solutions bei Dormakaba, erläuterte dazu die Vorteile von Entriworx. Das System, bestehend aus webbasierter Software-Anwendung, App und zentraler Hardware-Komponente, ermöglicht entscheidende Vereinfachungen bereits bei der Türplanung, aber auch der der Türinstallation bzw. Inbetriebnahme und erlaubt einen direkten Zugriff via digitalem Zwilling.

Zum Bereich KRITIS ist in jedem Fall die IT- sowie elektrische und elektronische Infrastruktur zu zählen. Entsprechend wichtig ist der Schutz sicherheitskritischer Hardware, wie z. B. Server Racks und Schaltschränke. Damit Unbefugte sich nicht einfach direkten physischen Zugang zu diesen verschaffen können, bietet das Unternehmen Fath das mechatronische Schließsystem TANlock an. André Stöger, Sales Manager Austria, erörterte in seinem Vortrag, wie das System die Sicherheit gegen unbefugten Zugriff steigern kann und welche weiteren Vorteile (Protokollierung, Meldewesen) das System dem Anwender bietet.

Lebhafte Diskussion zum Abschluss

Zum Abschluss des KRITIS Expert Summits erfolgte eine Podiumsdiskussion geleitet und moderiert von Prof. Dr. Clemens Gause unter lebhafter Beteiligung des kompletten Auditoriums. Dabei zeigte sich, dass gerade unter dem Eindruck des bevorstehenden KRITIS-Dachgesetzes sowie der übrigen Änderungen bei den gesetzlichen Rahmenbedingungen (NIS2, Cyber Security Act etc.) in vielen Unternehmen nach wie vor die Schaffung eines Sicherheitsbewusstseins (Awarness) von zentraler Bedeutung ist und bleibt. Insbesondere im Bereich der physischen Sicherheit Kritischer Infrastrukturbetriebe gibt es einen großen Nachholbedarf. Gerade hinsichtlich der sich globale veränderten Rahmenbedingungen, müssen Unternehmen sich mit diesen Themen befassen und konkrete Schritte zur Verbesserung der eigenen Sicherheitslage gehen. Auch auf Grund der Haftungsfrage der Unternehmensleitung sowie der zu erwartenden Bußgelder bekommt oder sollte das Thema eine neue Priorisierung in Unternehmen erfahren. Insbesondere jedoch die reghafte Diskussion zum Abschluss der Veranstaltung zeigte deutlich, wie wichtig der Austausch zwischen der Sicherheitsbranche und anderen Wirtschaftszweigen in Zukunft sein muss, um in Zukunft einen effektiven Schutz gerade im Bereich der Kritischen Infrastruktur gewährleisten zu können. Daher planen die Commend Group und Schneider Intercom eine Fortsetzung des KRITIS Expert Summits in 2024. Weitere Details dazu erhalten Sie direkt bei der Schneider Intercom GmbH.