Angreifer im Blick : Videosicherheit im ganzheitlichen Kontext physischer Perimeter-Security für IT-Einrichtungen
Gegen Cyberkriminelle kämpfen Betreiber von Rechenzentren mit massivem Mitteleinsatz – Tätern, die „zu Fuß“ unterwegs sind, lassen sie dagegen oft freien Lauf. Dabei kann man auch gegen physische Angriffe einen wirksamen Schutz aufbauen. Zentrale Elemente moderner Sicherheitstechnik sind Perimetersysteme mit integrierter Videosicherheit und Zutrittssteuerungen, betont unser Autor.
Von Carl J. Becker-Christian, Brücken/Pfalz
Die Wege ins Rechenzentrum (RZ) seien „vielfältig und keinesfalls überkomplex“, berichtete Michael Wiesner, der seit über 30 Jahren als IT-Sicherheitsexperte tätig ist, unlängst auf einer Fachtagung. Eine ansprechende Verkleidung, etwa als Handwerker, kombiniert mit einem überzeugenden Auftritt und einem gefälschten Werksausweis reiche oft aus, um ins „Allerheiligste“ zu gelangen. Türen und Tore würden falsch verbaut oder gleich ganz offen gelassen. Billige und damit unsichere Schließsysteme fänden sich zuhauf – Sicherheitskameras seien mit vielen toten Winkeln montiert.
Dagegen sind professionelle Täter – gleich welcher Couleur: ob gewöhnliche Einbrecher, Spione oder Saboteure – technisch bestens ausgerüstet und können Zäune, Mauern und Türen in Sekundenschnelle überwinden. Im Fall eines Falles folgt die Strafe auf den Fuß, allerdings nicht für die Täter, die längst über alle Berge sind, sondern für den Betreiber: Dieser hat einen womöglich existenzbedrohenden Schaden zu verkraften und kann darüber hinaus zu einer drastischen Geldbuße verdonnert werden, wenn seine technischen und organisatorischen Maßnahmen (TOM) zur Gefahrenabwehr unzureichend gewesen sein sollten.
Es „lohnt“ sich also, den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu folgen (siehe Auszüge). Die Behörde empfiehlt „zur physischen Sicherung eines Gebäudes und gegebenenfalls des umgebenden Grundstücks […] ein Sicherungskonzept mit tiefengestaffelten Sicherheitsmaßnahmen (Zwiebelschalenprinzip)“ [1]. Dabei muss es heutzutzage um integrierte Lösungen gehen: Sämtliche Maßnahmen müssen auf einem schlüssigen Gesamtkonzept aufbauen und ineinandergreifen – dann sind sie um ein Vielfaches effektiver.
Die klassische Objektsicherung, bei der Schutzmaßnahmen nur am oder im Gebäude selbst ergriffen werden, reicht in vielen Fällen nicht mehr aus. Perimeterschutzsysteme (PSS) errichten hingegen mehrere Barrieren gegen kriminelle Angriffe – die erste möglichst schon an der Grundstücksgrenze: Diese bildet sozusagen die äußerste Verteidigungslinie, etwa mit einem elektronisch gesicherten Zaun. Detektionssysteme können Eindringlinge zum frühestmöglichen Zeitpunkt orten, noch weit bevor sie ihr Angriffsziel überhaupt erreichen. Damit werden Täter ihrer wertvollsten Ressource beraubt: der Zeit.
Das folgende Szenario veranschaulicht dies: Die Täter klettern über den Zaun, der mit Detektionssensoren ausgerüstet ist – diese lösen sofort Alarm aus und aktivieren zugleich ein Kamerasystem mit moderner KI-basierter Videoanalytik, das sich an die Fersen der Angreifer heftet. Auf dem Gelände und im Gebäude installierte Kameras verfolgen sie auf Schritt und Tritt und übertragen Livebilder an die ständig besetzte Sicherheitszentrale. Diese kann die Eindringlinge über ein Lautsprechersystem auch direkt ansprechen – zum Beispiel, um sie zu vertreiben, zu irritieren oder, je nach Situation, um zu deeskalieren. Durch die Live-Video-Bilder wissen die inzwischen eintreffenden Sicherheitskräfte genau, wo sie zugreifen können.
"Bei einem Gebäude müssen viele verschiedene Sicherheitsaspekte beachtet werden, von Brandschutz über Elektrik bis hin zur Zutrittskontrolle. Je nach Größe der Institution und der Gebäude kann es hierfür unterschiedliche Zuständige geben. Daher müssen die verschiedenen Rollen und Aufgaben abgestimmt werden. Die zuständigen Personen sollten sich untereinander abstimmen, um aufbauend auf den Schutzzielen angemessene Sicherheitsmaßnahmen für die verschiedenen Bereiche auszuwählen." Zitat aus den Umsetzungshinweisen des BSI zum IT-Grundschutz-Baustein INF.1 „Allgemeines Gebäude“ [2] |
Ganzheitlicher Ansatz
Ob eine angepasste Perimeter-Sicherheitsstrategie und welche weiteren technischen Systeme auf dem Gelände zum Einsatz kommen (vgl. Kasten „Systeme des Perimeterschutzes“), hängt vom individuellen Risikoprofil und – daraus abgeleitet – den möglichen Täterprofilen ab. Häufig werden, abhängig von den örtlichen Gegebenheiten, mehrere Systeme eingesetzt und miteinander vernetzt – etwa eine Detektion mit aktiven Komponenten wie Lichtschranken, Laserscannern, Zaundetektionssystemen und Videoanalysesystemen.
Zwei Normensysteme markieren den deutschen Planungsstandard für Perimetersicherungen: die europäische Normenreihe des Europäischen Komitees für elektrotechnische Normung (CENELEC) DIN CLC/TS 50661-x und die von der Deutschen Kommission Elektrotechnik Elektronik Informationstechnik (DKE) erarbeitete Vornorm DIN VDE-V 0826-20:
- DIN CLC/TS 50661-1… beschreibt unabhängig vom konkreten Anwendungsfall (kritische Infrastruktur, Heimbereich, Industrieanlagen etc.) den grundsätzlichen Aufbau von Perimetersicherheitssystemen außerhalb von abgeschlossenen Gebäuden unter dem Einfluss wechselnder Witterungsbedingungen und Vegetation.
- DIN VDE V 0826-20 soll den Beteiligten eines konkreten Perimetersicherungsprojekts (wie Planer, Betreiber und Facherrichter) Hilfestellung bei der Umsetzung geben und liefert unter anderem Antworten auf Fragen wie: Welche Aufgaben kann ein Perimetersicherungssystem (PSS) im Sicherheitskonzept übernehmen? Wie kann dieses überprüft und gegebenenfalls angepasst werden? Welche Grade eines PSS sind für die Anlage vorzusehen? An welchen Kriterien sollte sich die Auswahl eines Detektionssystems orientieren?
Eine Reihe von Anhängen, welche die Akteure von der Planungsphase bis zur Abnahme begleiten, schafft Klarheit für alle Beteiligten eines PSS-Projekts. Als Grundlage für zeitgemäße Planungen sowie zur Dokumentation stehen die Checkliste „Betriebsanforderungen an das PSS gemäß DIN VDE V 0826-20“ sowie ein Formblatt zur Anlagenbeschreibung online beim BHE Bundesverband Sicherheitstechnik e. V. kostenlos zur Verfügung [3].
Die entscheidende Stärke des Perimeterschutzes liegt in seinem präventiven Charakter: Er zielt darauf ab, potenzielle Bedrohungen zu erkennen, Eindringlinge abzuschrecken und Versuche, die abgesteckten Grenzen zu überwinden, zu verzögern. Der Dreiklang aus Erkennung, Abschreckung und Verzögerung liefert wertvolle Zeitvorteile und ermöglicht eine schnelle und effektive Reaktion auf Angreifer. Ein hohes Sicherheitslevel schützt nicht nur vor unmittelbaren Angriffen, es stärkt auch das Vertrauen von Geschäftspartnern in die Robustheit eines Rechenzentrums gegen Ausfälle.
Moderne Videosicherheit
Das eingangs geschilderte Szenario zeigt, wie sich aktuelle Videotechnik in ein ganzheitliches Schutzkonzept einbinden lässt und dessen Effektivität deutlich erhöhen kann – sie gehört heute zum „State of the Art“ in der Sicherheitstechnik. Ursprünglich ging es bei der Aufzeichnung krimineller Aktivitäten oder von Schadenereignissen „nur“ um Abschreckung oder Dokumentation: Einerseits wird die Hemmschwelle zur Ausführung einer Tat durch das Vorhandensein von Kameras erwiesenermaßen erhöht. Andererseits können Täter anhand der Aufzeichnungen identifiziert und überführt werden – und in vielen Fällen lässt sich der Tathergang rekonstruieren.
Vielfältige Technologiesprünge haben die Leistungsfähigkeit und das Einsatzspektrum von Videosicherheitssystemen inzwischen aber enorm erweitert. Moderne Kameras sind hochauflösend und extrem lichtempfindlich. Mit multifokaler Sensorik können sie große Flächen kontrollieren und auch weit entfernte Objekte in gleichbleibender Qualität aufnehmen – je besser die Bildqualität ist, desto weniger Kameras muss man installieren. Derartige Systeme sind zur Überwachung von Liegenschaften, sensiblen Anlagen und kritischen Infrastrukturen (KRITIS) in besonderer Weise geeignet.
„Hässliche“ Kameramasten, von denen unzählige Objektive in jede Richtung schauen, gehören dabei der Vergangenheit an: In nur einem Gehäuse installierte Mehrfachsensoren-Kameras sind in der Lage, verschiedene Richtungen abzudecken. Intelligente Software fügt die Bilder zu einem Gesamtbild zusammen (sog. Stitching). Selbst beim Zoomen auf bestimmte Szenen bleibt auf dem Monitor das Gesamtbild erhalten. Heute ist auch bei ungünstigen Wetterbedingungen und bei Dunkelheit eine zuverlässige und genaue Erkennung gewährleistet.
"Der Zutritt zu schutzbedürftigen Gebäudeteilen und Räumen ist zu regeln und zu kontrollieren (siehe ORP.4 Identitäts- und Berechtigungsmanagement). Die Maßnahmen reichen dabei von einer einfachen Schlüsselvergabe bis zu aufwendigen Identifizierungssystemen mit Personenvereinzelung. Für eine Zutrittsregelung und -kontrolle ist es erforderlich, dass der von der Regelung betroffene Bereich eindeutig bestimmt wird, die Zahl der zutrittsberechtigten Personen auf ein Mindestmaß reduziert wird; diese Personen sollen gegenseitig ihre Berechtigung kennen, um Unberechtigte als solche erkennen zu können, der Zutritt anderer Personen (Besucher) erst nach vorheriger Prüfung der Notwendigkeit erfolgt, erteilte Zutrittsberechtigungen dokumentiert werden." Umsetzungshinweis [2] des BSI zu INF.1.M7 „Zutrittsregelung und -kontrolle“ (B) |
Auswertung mithilfe künstlicher Intelligenz
Falschalarme, etwa durch Wind bewegte Zweige und Blätter oder Tiere, die lange Zeit als Schwachpunkt der Videosicherheit galten, sind durch fortschrittliche Analysealgorithmen inzwischen weitgehend ausgeschlossen. Dies ist aber nur ein Teil der faszinierenden Möglichkeiten, die sich aus der Entwicklung von künstlicher Intelligenz (KI) ergeben: Moderne Systeme können sogar proaktiv verhindern, dass etwas passiert. Sie erkennen potenzielle Täter an ihrem „Habitus“ – kritische Abweichungen zu „normalen“ Bewegungs- und Verhaltensmustern rufen dann Interventionskräfte auf den Plan.
Je nach Reifegrad kann eine KI-Software in bestimmten von ihr gelernten und analysierten Situationen (Deep-Learning-Verfahren) Handlungsoptionen vorschlagen oder entsprechende Maßnahmen sogar selbst auslösen. Dies ist beispielsweise eine Option für standardisierte Prozesse – etwa die Evakuierung eines Gebäudes bei einem Anschlag oder Brand. Schließlich kommt es in solchen Fällen besonders auf Schnelligkeit an.
Individuelle Planung
Ein Videosicherheitssystem kann seinen Zweck nur erfüllen, wenn es auf die speziellen lokalen Gegebenheiten angepasst und optimal abgestimmt wird. Grundvoraussetzung ist eine individuelle Risikoanalyse auf Basis des definierten Schutzzwecks sowie der Größe, Struktur und Beschaffenheit des zu überwachenden Objekts. Daraus ergibt sich das Anforderungsprofil an die Funktionen des Videosystems im Einzelnen: Beobachten, Detektieren, Auslösen. Extrem wichtig ist die Durchgängigkeit der Bildgebungskette – von der Beleuchtung im Objekt über die gewählte Kameraeinstellung bis hin zur Aufzeichnung und der Wiedergabe der Bilder auf einem Monitor.
Für eine zeitnahe und gezielte Reaktion auf besondere Vorkommnisse muss rund um die Uhr sichergestellt sein, dass Ereignisse tatsächlich bemerkt und ausgewertet werden, was – wie bei anderen Sicherheitstechniken auch – in der Regel nur durch eine professionelle Notruf-und- Service-Leitstelle (NSL) geleistet werden kann. Weil der Markt eine Vielzahl verschiedener Videosysteme anbietet, fokussieren sich viele NSL-Anbieter auf bestimmte Branchen und Anwendungsfälle. Es ist also essenziell, bei der Planung auf größtmögliche Kompatibilität zu achten und mit Leitstellen zusammenzuarbeiten, die eine integrative Videomanagement-Software einsetzen. Das gilt besonders für die Verbindung von Videosicherheitssystemen mit anderen Sicherheitsgewerken wie „intelligenten“ Zaun-, Zutrittssteuerungs- (siehe auch Kasten), Gefahrenmeldeoder Drohnenabwehrsystemen – für all diese Funktionen und ihr Zusammenwirken müssen die nötigen Schnittstellen vorhanden sein. Eine als qualifiziert identifizierte Leitstelle sollte man überdies möglichst frühzeitig in die Planung mit einbeziehen.
Zunehmend wird bei der Speicherung von Videoaufzeichnungen auf Cloud-Dienste zurückgegriffen. Hierzu müssen die via Internet übertragenen Videoströme verschlüsselt übertragen, gespeichert und am Empfangsort wieder entschlüsselt werden – das gilt sowohl für die eigentlichen Videodaten als auch für alle zusätzlichen Informationen (Meta-Daten). Systemkomponenten müssen dazu regelmäßig mit Updates auf dem neuesten Stand gehalten werden. Bereits bei der System-Auswahl ist darauf zu achten, ob und wie lange ein Hersteller die Pflege und Aktualisierung seiner Produkte gewährleistet. Im Markt für Videotechnologien sind große qualitative Unterschiede anzutreffen.
Aufgrund der Komplexität ist dies bei mehreren Angeboten nicht immer auf den ersten Blick zu erkennen. Deshalb hat der BHE Bundesverband Sicherheitstechnik bereits vor einigen Jahren eine spezielle Zertifizierung von Video-Fachfirmen eingeführt. Dieser Video-Qualifikationsnachweis dokumentiert, dass ein Anbieter Video- Sicherheitsanlagen unter Beachtung der jeweils gültigen Normen und Vorschriften plant und instand hält. Aktuell sind rund 150 Video-Facherrichter entsprechend zertifiziert und über www.bhe.de/fachfirmen-sicherheitstechnik recherchierbar. Der BHE bietet zudem umfangreiche Informationen zur Planung und Errichtung sowie zum Betrieb von Videoanlagen (siehe www.bhe.de/fachthemen/fachsparten/video/infos-papiere).
Systeme des Perimeterschutzes
- Volumensensoren ermöglichen die Detektion einer Person in einem vorgegebenen Volumen mit einer Ausdehnung von bis zu mehreren hundert Metern.
- Streckensensoren detektieren das Durchbrechen respektive die Reflexion eines Infrarot- oder Laserstrahls. Bodendetektionssysteme sind im Erdreich oder im Boden versteckte Sensoren – sie reagieren auf individuell einstellbare Druckveränderungen.
- Zaunmeldesysteme reagieren auf Erschütterung, Neigung und Beschädigung, ausgelöst durch Klettern und Schneiden.
- Elektromechanische Detektionssysteme arbeiten mit Spann-, Schreck- oder Scherdraht und detektieren über eine erhöhte Krafteinwirkung.
- Videoanalyse „interpretiert“ automatisiert Live-Videobilder nach bestimmten Merkmalen und ermöglicht die automatische Verfolgung eines auf das Grundstück vorgedrungenen Täters mithilfe von Kameras.
Zeitgemäße Zutrittssteuerung: einfach, flexibel, skalierbar
Zutrittssteuerungen sind integraler Bestandteil moderner Sicherheitsarchitekturen. In einem Zutrittssteuerungssystem werden die Zugangsrechte individuell vergeben: Berechtigte Besucher, Kunden, Lieferanten und Mitarbeiter gelangen ausschließlich in die für sie vorgesehenen Bereiche – und das auch nur zu bestimmten Zeiten. Die Identifizierung erfolgt dabei mit einem elektronischen Ausweis, PIN-Codes und/oder biometrischen Merkmalen. Zunehmend nutzt man auch Smartphones für die Zutrittssteuerung, die quasi als virtueller Ausweis dienen.
Ein professionell geplantes System deckt alle sicherheitsrelevanten Bereiche ab, lässt sich einfach verwalten und mit der Entwicklung des Unternehmens auf unkomplizierte Weise erweitern. Elektronische Schlüssel und Identmittel können idealerweise in Sekundenschnelle programmiert werden, wodurch sich Zutrittsberechtigungen schnell und flexibel ändern und bei Verlust sperren lassen. Zutrittsberechtigungen können für jede Person, Zutrittsstelle (Tür, Vereinzelungseinrichtung etc.) und Tageszeit unterschiedlich vergeben werden und die Systeme beispielsweise auch die Zufahrt zu Parkplätzen steuern.
Für einzelne Zutrittsstellen können mechatronische („autonome“) Schließsysteme installiert werden,die keiner Verkabelung bedürfen und sich auch nachträglich in Türen einbauen lassen. Noch mehr Funktionalität und Flexibilität bieten online vernetzte Systeme:
Sie haben den Vorteil, dass die an den Checkpoints registrierten Informationen in einer Zentrale zusammenlaufen. Dort werden die erfolgten und abgewiesenen Zutritte dokumentiert, wodurch ein Gesamtbild der Sicherheitslageentsteht.
Bei „Stand-alone“-Systemen erfolgt die Programmierung manuell an jeder einzelnen Tür. Ein voll vernetztes System wird hingegen zentral gesteuert. Letzteres ermöglicht eine Kombination mit anderen Systemen zur Erhöhung der Sicherheit (z. B. mit Videosicherheit) und zur Optimierung organisatorischer Abläufe, etwa der Mitarbeiter-Zeiterfassung.
Elektronische Zutrittssysteme sind buchstäblich grenzenlos einsetzbar: über mehrere Gebäude und Standorte hinweg oder sogar weltweit. Wenn beispielsweise Mitarbeiter an wechselnden Einsatzorten tätig sind und dort gesicherte Bereiche betreten müssen, kann die Zugangsberechtigung ortsunabhängig programmiert werden.
Ausbau vorhandener Systeme
Interessante Möglichkeiten bietet die Kombination mechanischer Schließanlagen und elektronischer Online-Zutrittssteuerung. Dies erfolgt mittels eines virtuellen Netzwerks, in dem Informationen über die Identifikationsmittel im Schneeballprinzip verteilt und gesammelt werden. Nachdem mittlerweile auch in der Funktechnik batteriebetriebene mechatronische Lösungen entwickelt wurden, ergeben sich neue Möglichkeiten der Vernetzung. Bei mechatronischen Systemen erfolgt die Identifikation üblicherweise über einen Radio-Frequency-Identification-(RFID)-Chip-Schlüssel, eine Chip-Karte oder einen RFID-Transponder. RFID-Systeme nutzen unterschiedliche Frequenzen vom Langwellen-bis zum Mikrowellenbereich, die sich auch auf die Lesedistanz auswirken. Heutzutage wird meist der 13,56-MHz-Bereich für den Zutritt genutzt. Die relevante Norm, in der auch Lesedistanzen definiert werden, ist die ISO 14443.
Systemanforderungen
Die konkreten Anforderungen richten sich nach dem „Sicherheitsgrad“ eines Unternehmens oder Betriebsteils, der nach der DIN EN 60839-11-1 ermittelt wird: Es gibt vier Sicherheitsgrade – von „niedrig“, etwa für Hotels, bis „sehr hoch“, beispielsweise für Rechenzentren, kritische Produktionen, militärische oder Forschungseinrichtungen sowie sensible Logistikbetriebe wie die Frachtbereiche von Flughäfen.
Fazit
Sicherheit ist mehr als nur ein gutes Gefühl – sie ist regelrecht bezifferbar: Für eine mechanische Sicherheitseinrichtung lässt sich die „Widerstandszeit“ berechnen, die beispielsweise ein Einbrecher benötigt, um einen Zaun zu überwinden. Die „Reaktionszeit“ ist die Zeitspanne zwischen dem ausgelösten Alarm, seiner Verifizierung als „echt“ und der Intervention des Sicherheitspersonals. Der aus diesen beiden Faktoren gebildete Quotient ist der „Sicherheitsfaktor“ (SF). Er sollte gleich eins sein – denn was nützt ein Eintreffen von Werkschutz oder Polizei, wenn die Täter längst über alle Berge sind? Eine ganzheitlich eingebundene moderne Videosicherheitsanlage ist hierbei eine wesentliche Komponente, die ein rasches und zielgerichtetes Handeln ermöglicht.
Carl J. Becker-Christian ist Geschäftsführer des BHE Bundesverband Sicherheitstechnik e. V. (www.bhe.de).
Literatur
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Allgemeines Gebäude, IT-Grundschutz- Baustein INF.1, Februar 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/10_INF_Infrastruktur/INF_1_Allgemeines_Gebaeude_Edition_2023.pdf
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Umsetzungshinweise zum Baustein INF.1 „Allgemeines Gebäude“, Mai 2022, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Umsetzungshinweise/Umsetzungshinweise_2022/Umsetzungshinweis_zum_Baustein_INF_1_Allgemeines_Gebaeude.pdf
[3] BHE Bundesverband Sicherheitstechnik e. V. www.bhe.de/fachthemen/fachsparten/perimeter/dokumentations-unterlagen