Im Oktober 2022 wurden Glasfaserkabel der Deutschen Bahn sabotiert, was den Norden Deutschlands ins Verkehrs­chaos stürzte. Wenige Monate zuvor kam es in einem Umspannwerk in Nordrhein-Westfalen zu einem tödlichen Arbeitsunfall, woraufhin für 14.000 Menschen mehrere Stunden lang Strom und Telefonnetze ausfielen. Derartige Sabotageakte und Unfälle an kritischen Infrastrukturen sind nicht nur tragisch, sondern können auch verheerende Folgen für die öffentliche Sicherheit nach sich ziehen. Daher muss der Schutz der kritischen Infrastruktur vor unbefugten Zugriffen deutlich verbessert werden. Die oft entlegenen Anlagen sind jedoch der Witterung ausgesetzt und verfügen mitunter nicht über eine stabile Strom- und Internetversorgung, sodass auf rein mechanische Schließsysteme zurückgegriffen wird. Diese sind leicht manipulierbar und ein Schlüsselverlust öffnet wortwörtlich Tür und Tor. Längst sind viele sicherheitsrelevante Funktionen einfacher und zuverlässiger über Softwarekomponenten realisierbar: Zugänge lassen sich beliebig hinzufügen sowie entfernen, wobei sämtliche Zutritte dokumentiert werden.

Es gibt derzeit keine Reisemöglichkeiten mit dem Fernverkehr von/nach Hamburg, Schleswig-Holstein und Niedersachsen in/aus Richtung Kassel-Wilhelmshöhe, Berlin und NRW.“ Mit dieser Hiobsbotschaft wurden tausende Bahnreisende in und nach Norddeutschland am Vormittag des 8. Oktober 2022 begrüßt, ein Samstag und vielerorts Beginn der Herbstferien. Gähnend leere und regungslose Anzeigetafeln, die maximal über „unbestimmt verspätete“ Züge informierten, waren eine der Folgen eines Sabotageakts, bei dem Unbekannte Glasfaserkabel der Deutschen Bahn an zwei Stellen in Berlin-Hohenschönhausen und Nordrhein-Westfalen mutwillig beschädigten. Die durchtrennten Lichtwellenleiter gehörten zum digitalen Zugfunk GSM-R, der zur Kommunikation zwischen den Leitstellen und den Zügen genutzt wird, was das Aufrechterhalten des Zugverkehrs in den betroffenen Regionen unmöglich machte. Reisende des Fern- und Nahverkehrs mussten auch nach Wiederaufnahme des Zugbetriebs bis in den Abend hinein mit Verspätungen und Ausfällen rechnen.

Lückenlose Verwaltung und Dokumentation dezentraler Anlagen
Der Sabotagevorfall bei der Deutschen Bahn zeigt einmal mehr, wie fragil die kritischen Infrastrukturen in Deutschland tatsächlich sind. Zudem entlarvt das Beispiel eine klassische Schwachstelle vieler KRITIS: dezentrale Komponenten und Anlagen. Häufig ist es kaum möglich, eine stabile Strom- und Internetversorgung im Feld aufzubauen, um auch dezentrale Objekte in die bereits digitalisierte Zutrittskontrolle der Hauptstandorte ein­zubinden. Neben der Gefahr durch Van­dalismus sind entlegene Anlagen zudem ­ oft extremen Witterungsbedingungen wie ­Feuchtigkeit, Frost und hohen Temperaturen ausgesetzt, die bei elektronischen Systemen schnell zu Störungen und Ausfällen führen. Daher wird oftmals auf rein mechanische Schließsysteme zurückgegriffen. Bei diesen lässt sich allerdings kaum nachvollziehen, wer sich wann Zutritt verschafft hat. Verschlimmert wird die Problematik im Falle eines Schlüsselverlusts oder -diebstahls – vor allem, wenn dieser zunächst nicht bemerkt oder gemeldet wird. Im schlimmsten Fall bleibt die Anlage ungeschützt bis das gesamte Schließsystem aufwändig und teuer ausgetauscht wurde. Digitale Lösungen wie das individuell auslegbare LSA können diese Sicherheitslücke effektiv schließen, ohne dass eigens Leitungen und Router verlegt werden müssen. Denn obwohl es sich um ein dezentrales, webbasiertes Verwaltungssystem handelt, benötigt es an den einzelnen Zutrittspunkten keine Strom- oder Internetverbindung. Stattdessen werden alle Berechtigungen und ­Dokumentationen via Data-on-Credential-­Technologie auf den jeweiligen Identmedien gesichert. Bei diesen kann es sich je nach Anwendung um Bluetooth-fähige Schlüssel, Chipkarten oder das eigene Smartphone handeln. Um Zutritt zu gewähren, werden die benötigten Informationen kontaktlos via Induktion an den Zylinder übermittelt. Mechatronische Zylinder bieten sich dabei besonders für entlegene Zutrittspunkte an, da sie auf dieselbe Weise auch die zum Betrieb erforderliche Energie beziehen und nicht eigens verkabelt werden müssen. Auch das Auslagern von Wartungsarbeiten, wie es etwa in der Wasserwirtschaft gängige Praxis ist, bringt im Gegensatz zu rein mechanischen Zylindern weder ein Sicherheitsrisiko noch Aufwand mit sich: Mittels der Webanwendung lassen sich Zutrittsberechtigungen jederzeit auch kurzfristig und für begrenzte Zeiträume erteilen sowie entziehen – und das System dokumentiert jeden erfolgten Zutritt.

Anwendungsspezifische Auslegung der Zutrittslösung dank APIs
Viele KRITIS stellen zusätzliche Sicherheitsanforderungen an ihr Zutrittskontrollsystem. So kam es erst im Juni des vergangenen Jahres zu einem tödlichen Arbeitsunfall in einem Umspannwerk in Nordrhein-Westfalen, bei dem durch einen Erdschluss ein Mitarbeiter ums Leben kam. Das tragische Unglück sorgte überdies dafür, dass für die gesamte 14.000-Einwohner-Stadt Kalkar am Niederrhein für mehrere Stunden Strom sowie Festnetz- und Mobilfunknetze ausfielen. Betroffen waren sowohl Wohngebiete als auch Firmen, öffentliche Einrichtungen, Geschäfte und Anlagen der Verkehrssicherheit wie Ampeln. Auch hier wird deutlich, welch weitreichende Folgen nur eine Person zur falschen Zeit am falschen Ort auslösen kann. Bei KRITIS wirkt sich eine Störung oder Fehlfunktion innerhalb der Anlage sehr schnell auf die allgemeine Versorgungssituation und die öffentliche Sicherheit aus. Verhindern lassen sich viele solcher Unfälle, indem auf skalierbare Zutrittslösungen wie LSA gesetzt wird, die sich dank entsprechender APIs an bestehende Sicherheitssysteme anbinden und individuell mit zusätzlichen Funktionen versehen lassen. Speziell für gefährliche Arbeitsumgebungen wie Umspannwerke oder Windkraftanlagen bietet es sich etwa an, zum Schutz der Menschen automatisierte Systementscheidungen zuzulassen. Dabei misst das System mithilfe entsprechender Sensoren bestimmte Faktoren, wie z. B. Windgeschwindigkeiten oder Stromfluss bzw. Überspannung. In vielen Fällen werden diese Daten bereits für andere Zwecke erhoben und können dem LSA mittels geeigneter Schnittstellen zur Verfügung gestellt werden. Sobald dabei vordefinierte Grenzwerte überschritten werden, bei denen die Personensicherheit nicht mehr gewährleistet ist, wird der Zutritt zur Anlage oder entsprechenden Teilen automatisch verwehrt. Indem es so vor fatalen Fehleinschätzungen schützt, verringert das System auch die psychische Belastung des Personals.

IT-Sicherheit ist das A und O moderner KRITIS
Doch wie kann ein Wechsel zum zukunftssicheren Zutrittskontrollsystem gelingen? Betreiber kritischer Infrastrukturen, welche die Softwarefunktionen innerhalb ihrer Zutrittslösung ausweiten wollen, sehen sich zunächst mit einer Herausforderung konfrontiert: Kritische IT-Systeme müssen vollumfänglich inventarisiert werden, und zwar mit sämtlichen aktuellen Informationen hinsichtlich Herstellern und Produkttypen. Zudem sind KRITIS-Betreiber gemäß § 8a Absatz 1 BSIG dazu verpflichtet, die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme im Zweijahresrhythmus nachzuweisen. Doch auch dabei leistet LSA Unterstützung. So lassen sich in der Software alle Online- und Offlinekomponenten mithilfe einer integrierten App installieren, in Betrieb nehmen und dokumentieren – bei Bedarf mit zusätzlichem Geotagging. Auch in puncto Gesetzesvorgaben und Datensicherheit ist die Skalierbarkeit der digitalen Zutrittslösung unverzichtbar. Sie ermöglicht es, das System nicht nur nach Bedarf um anwendungsspezifische Funktionen und zusätzliche Sicherheitsvorkehrungen zu erweitern, sondern überdies an neue Rechtsvorschriften und die ständig wachsenden globalen IT-Security-Anforderungen anzupassen – denn die Sicherheitskomponente skaliert stets mit. ­­

Text: Nico Janich, Vertriebsleiter Branchen- und Projektgeschäft bei ISEO Deutschland

Erschienen in zek KOMMUNAL Ausgabe 4/2023