„Vernetzte Sicherheit im Smart Building“
Round-Table bei Axis Sicherheitsexperten im Gespräch Bildquelle: Axis
In den letzten drei bis vier Jahren kann man ein starkes Wachstum beobachten. Auch in 2020 hat sich dieser Trend fortgesetzt. Welche Gefahren damit verbunden sind wurde im Rahmen eines Round-Table bei Axis erörtert.
Hr. Rothmann: Das ist sehr vielschichtig. Die große Anzahl an Produkten und Dienstleistungen führt zu einer Fülle an Herstellern, Partnern, Errichtern und IT-Dienstleistern, die im Prozess eingebunden sind. Dadurch entsteht ein hoher Abstimmungs- und Standardisierungsbedarf. Die Gefahren, die sich ergeben, liegen also einerseits auf der Normenebene in der fehlenden Standardisierung und auf der Projekt- und Realisierungsebene in fehlenden Abstimmungen, zum Beispiel zum Datenschutz. Außerdem hat sich die Angriffsfläche vergrößert: 5G bedeutet nämlich, dass große Datenmengen erzeugt werden. Diese Daten werden durch Cyberangriffe wie Denial of Service- und DDoS-Attacken bedroht. Errichter brauchen daher Know-how und vor allem kompetente Partner, die beispielsweise Abnahmeprüfungen wie Pen-Tests durchführen und die Schnittstellen im Auge behalten.
Hr. Puppel: Die Komplexität der Schnittstellen zwischen den Systemen ist sicher eine akute Gefahrenstelle. Aber auch die Schnittstellen in der Planungsphase können ein Hindernis sein – die Kommunikation und Vernetzung funktioniert bereits hier im Vorfeld der Umsetzung eines Projekts häufig nicht. Es gibt zwar zahlreiche, auch hilfreiche Normen. Die notwendigen Funktionen – insbesondere die Betriebsanforderungen – der jeweiligen Anlage werden aber vorab häufig nicht geklärt. Dabei ist die Kommunikation mit dem Kunden zentral. Die aktuellen Regelwerke und Normen zu kennen ist das eine, sie auch anzuwenden und eine Anlage sauber durchzuplanen das andere. Der angesprochene boomende Markt tut sein Übriges: Planer und Errichter mit fragwürdigem Wissen erscheinen auf der Bildfläche.
Hr. Gleich: Ich kann mich da Herrn Puppel nur anschließen. Aus meiner Sicht wird in der Baubranche sehr viel „gepfuscht“. Die Errichter sind allesamt ausgelastet, das fördert weder Innovation noch Flexibilität. Noch dazu kommen die meisten Aufträge über die Generalunternehmer (GU). Mit anderen Worten: der Nutzer des Gebäudes wendet sich für Sicherheitsanlagen an den Vermieter, der wiederrum an einen Investor, der wendet sich wiederum an eine Baufirma und diese an einen Nachunternehmer – und so weiter. Zu viele Mitspieler, was nicht zu einer Transparenz der Kommunikation untereinander beiträgt, um mögliche Schwachstellen im Vorfeld aufzudecken und abzustellen. Auch die Sparmaßnahmen und die reine Vergabe nach Preis, ohne Rücksicht auf den Betrieb des Systems, stellen häufig eine Gefahrenstelle dar.
Herr Gause möchte daraufhin wissen, welche Forderungen und Lösungsmöglichkeiten es für diese komplexen Wege gibt.
Hr. Puppel: In der frühen Phase, d.h. am besten noch vor der genauen Planung, sollte die Abstimmung bereits zwischen den involvierten Parteien erfolgen. Dies sollte in ähnlicher Weise wie bei Brandmeldeanlage erfolgen. Hier gibt es die normative Anforderung, noch vor der Planung ein Brandmelde- und Alarmierungskonzept zu erstellen. Es müssen dann die Fragen gestellt werden, was alles dazu gehört, welche Bedrohungen denkbar sind, welche Schutzziele es gibt, was die Anforderungen des Objektes sind, usw., um eine Risikobewertung zu erstellen. Darauf sollte dann ein Konzept mithilfe der ISO-31000 entwickelt werden. Diese typischen Planungsschritte vorherzusehen, spart am Ende viel Arbeit.
Auf welche Bedrohungen müssen sich Nutzer und Betreiber von Sicherheitsanlagen im vernetzten Gebäude denn einrichten?
Hr. Puppel: Es gibt keine statische Definition hierfür. Bedrohungen können sich schnell und dynamisch verändern. Diese Dynamik bedeutet, dass auch zu Videosicherheitssystemen regelmäßige Begehungen durchgeführt werden sollten, um zu bewerten, inwiefern das Konzept weiterhin Sinn ergibt und wie sich baulich oder in der Nutzung ggf. seit der letzten Begehung Änderungen ergeben haben. Diese Begehungen sind bereits für Gefahrenmeldeanlagen in der DIN VDE 0833-1 definiert. In der Praxis geschehen sie jedoch nur selten. Hier brauchen wir Betreiberpflichten. Im Bereich der Sicherheitstechnik würde ich mir persönlich mehr Normenvorgaben wünschen.
Es gibt aber doch schon so viele Normen. Können noch mehr die Lösung sein?
Hr. Krapp: Ein wichtiger Punkt. Es gibt bereits sehr viele Normen und Standards sowie Merkblätter und ähnliches zur Interpretation ihrer Umsetzung. Aber letztere ist oft schwierig. Ein Beispiel ist unser Merkblatt für Betreiber von Gefahrenmeldeanlagen. Häufig scheitert die Umsetzung an der Frage der Verantwortung – ist die Zentrale oder die Filiale für die Umsetzung verantwortlich? Keiner möchte sich wirklich darum kümmern. Gleichzeitig erleben wir einen sich beschleunigenden, technologischen Fortschritt. Immer feiner ziselierte Normen sind hier aus meiner Sicht nicht unbedingt die Lösung. Vielmehr muss man Planer dazu bringen, aus den bestehenden Normen mehr herauszuholen und sie gezielter in der Praxis anzuwenden.
Hr. Sauer: Klar, wir sollten, können und müssen Standards zukünftig besser leben. Bauprojekte mit großen Verzögerungen und zusätzlichen Kosten wie der BER oder die Elbphilharmonie entstehen nicht dadurch, dass uns der Rahmen für die Standardisierung fehlt. Alle Projektbeteiligten müssen sich daher im Vorfeld die Frage stellen, welches Schutzziel besteht. In welche Richtung soll das Projekt laufen? Dafür müssen aber alle Stakeholder an einen gemeinsamen Tisch, um die Betriebsanforderung, die notwendig ist, zu erstellen. Die Gesamtkostenbetrachtung und der Nutzen der Anlage über die komplette Nutzungsphase hinweg müssen im Zentrum der Überlegungen stehen. Aktuell befinden wir uns leider oft in einer Situation, in der das Anforderungsprofil nicht genau genug gefasst wird.
Wie sieht die Zukunft aus: Was sind die Treiber der Sicherheitstechnik?
Hr. Sauer: Für mich gibt es drei große Treiber der Sicherheitstechnik in der Zukunft. Einerseits ist es das Vertrauen in die Planung, das Unternehmen und das Produkt. Zweitens ist es die künstliche Intelligenz und drittens eine höhere Rechenleistung. Denn noch mehr Rechenleistung erhöht den Wert des Devices. Außerdem benötigen wir die Leistung on the edge. Die Lösungen müssen Kapazitäten bereitstellen, um eine bessere „Feind-/Freunderkennung“ durchzuführen. Auch die Unterscheidung zwischen einer Szene, die Standard ist, und einer Szene, die analysiert und bewertet werden muss, wird in der Zukunft wichtiger werden.
Hr. Rothmann: Auch ich sehe die KI als Treiber. Darüber hinaus stehen uns in der Videokameratechnik immer mehr Informationen aus unterschiedlichsten Sensoren oder auch Wärmebildern zur Verfügung. Wir können also beispielsweise Umgebungstemperaturen und Tag/Nacht-Analysen durchführen. All diese Informationen aus dem Device und den Sensoren können zukünftig zusammen aggregiert werden. In der IT-Security führt diese Fülle an Informationen dazu, dass auf Alarme schnell reagiert werden kann. Regelwerke lassen erkennen, was ein Standard, was eine Anomalie bzw. was kritisch ist. Wir haben somit bessere Analysewege und Entscheidungen, die uns einen großen Mehrwert bieten.
Hr. Gleich: Ich könnte provokant sein und sagen, dass es in fünf Jahren keine Planer mehr geben wird, weil sie durch KI ersetzt wurden, aber ich glaube nicht, dass das passieren wird. Stattdessen wird sich viel konsolidieren, das Zusammenspiel zwischen Herstellern, Anwendern, Betreibern und Generalunternehmern wird zu neuen Netzwerken führen. Wir haben es zukünftig eher mit einem Wertschöpfungsnetzwerk statt mit einer Wertschöpfungskette zu tun.
Bildquelle: Axis