Die Bedrohungslage für die Wirtschaft und Institutionen ist in den letzten Jahren deutlich gestiegen. Opfer von Sabotage, Wirtschaftsspionage oder Ransomware-Attacken zu werden, zählt mittlerweile zu den häufigsten Risiken. Gerade die Unternehmen, die zu den KRITIS-Einrichtungen gehören, müssen gesetzesseitig besondere Vorkehrungen treffen, um sich gegen Angriffe und Ausfälle aller Art zu schützen. Torsten Hiermann von CriseConsult gibt im Interview wichtige Einblicke in die Herausforderungen, denen sich Unternehmen in Bezug auf physische und Cybersicherheit gegenübersehen.

Warum ist ein 360-Grad-Sicherheitsansatz in KRITIS so entscheidend? Wo erleben Sie in der Praxis, dass Sicherheitsmaßnahmen isoliert betrachtet werden, ohne das große Ganze einzubeziehen?

Torsten Hiermann: Der 360-Grad-Ansatz ist immer entscheidend – besonders, wenn es um den Schutz von Unternehmenswerten oder sogar um die Sicherheit von Menschen geht. Dabei bedeutet 360 Grad nicht, dass alle Bereiche das gleiche Sicherheitsniveau benötigen. Schutzziele und Maßnahmen können durchaus unterschiedlich sein, selbst innerhalb eines Unternehmens oder Areals. Entscheidend ist jedoch, Sicherheit ganzheitlich und integriert zu betrachten. Ein Beispiel aus der Praxis wäre, dass Unternehmen umfangreich über Drohnendetektion und -abwehr nachdenken, andererseits aber die Fahrzeuge von Handwerksunternehmen mehr oder weniger unkontrolliert auf das Firmengelände gelassen werden. Das passt nicht zusammen und zeigt, warum eine isolierte Betrachtung von Sicherheitsmaßnahmen nicht zielführend ist.

Welche typischen Schwachstellen in der physischen Sicherheit haben Sie beobachtet? Wie oft sind diese auf fehlende Integration mit anderen Sicherheitsbereichen zurückzuführen?

Torsten Hiermann: Technisch gesehen gibt es ausreichend wirksame Maßnahmen zur physischen Absicherung. Schwachstellen entstehen in der Praxis häufig durch zwei Hauptfaktoren: mangelnde Security-Awareness und fehlende Investitionsbereitschaft. Die Awareness ist hier besonders entscheidend, denn sie bestimmt, ob und wie konsequent ein Unternehmen seine Werte professionell und auf zeitgemäßem Niveau schützt. Wichtig ist dabei, realistisch zu bleiben: Nicht alle theoretisch möglichen Maßnahmen sind wirtschaftlich sinnvoll. Ein 360-Grad-Ansatz bedeutet vielmehr, gezielt Risikobetrachtungen vorzunehmen.

Ein typisches Praxisbeispiel: Unternehmen sensibilisieren Mitarbeiter intensiv für Social Engineering. Gleichzeitig sind Mitarbeiterparkplätze offen zugänglich oder Parkausweise signalisieren potenziellen Angreifern, dass dieses Auto zu einem Beschäftigten der Firma XY gehört. Die Zuordnung eines privaten Fahrzeugs zu einem Mitarbeiter eines Unternehmens macht aus dem Fahrzeug ein Ziel: Firmenausweis, Transponder, Laptop . . .   Unternehmenssicherheit beginnt nicht am Perimeter, sondern samstags auf dem Parkplatz am Baumarkt. Hier wird nämlich im Zweifelsfall aus einer zufälligen Begegnung ein „Target“, weil der schwarze Audi A6 über die Parkplakette oder auch den beschrifteten Kennzeichenhalter signalisiert: Hier steht das Fahrzeug eines Mitarbeiters in gehobener Funktion der Firma XY. Oder aus der Täterperspektive betrachtet: Die Person, die in den Wagen ein- oder aussteigt, ist meine Person of Interest . . .

Wie gut sind KRITIS-Betreiber auf die neuen Anforderungen des KRITIS-Dachgesetzes und NIS2 vorbereitet? Wo sehen Sie die größten Herausforderungen in der Umsetzung?

Torsten Hiermann: Ich sehe hier weniger eine Herausforderung als vielmehr einen deutlichen Mehraufwand. Und wenn wir einen Blick werfen auf das, was geschützt werden soll, dann geht es letztlich um Business Continuity, also um die Absicherung unternehmerischer Aktivitäten. Wichtig wird daher sein, welche konkreten Vorgaben und Fristen seitens des Gesetzgebers gesetzt werden. Die Anforderungen des KRITIS-Dachgesetzes und von NIS2 sind verständlicherweise invasiv – dies ist angesichts vielfältiger aktueller Bedrohungslagen auch notwendig. Es muss aber ein angemessener Maßstab und ein angemessener Zeitraum zur Umsetzung von Maßnahmen zur Verfügung stehen.

Inwiefern stellt die Trennung zwischen IT-Sicherheit und physischer Sicherheit ein Problem dar? Sehen Sie hier ein strukturelles Defizit?

Torsten Hiermann: IT-Sicherheit und physische Sicherheit sind zwei eigenständige Bereiche mit unterschiedlichen Ansätzen und Anforderungen. Beide Bereiche verlangen spezifische Risikobewertungen, Maßnahmen und Reaktionsstrukturen. Entscheidend ist jedoch, dass diese Bereiche letztendlich ineinandergreifen müssen. Eine ganzheitliche Betrachtung bedeutet nicht, dass es eine allmächtige übergeordnete Corporate Security oder einen allmächtigen CISO (Chief Information Security Officer) geben muss. Unstrittig dürfte aber sein: Komplexen Bedrohungslagen begegnet man idealerweise mit integrierten Sicherheitskonzepten. Die Sicherheit einer Organisation wird bestimmt von einem ganzheitliche Ansatz. Sicherheit ist eine Gemeinschaftsaufgabe, die im Übrigen bereits damit beginnt, „Tailgating“ (unberechtigtes Zutrittserschleichen) zu verhindern.

Welche Best Practices haben Sie für die praktische Umsetzung eines ganzheitlichen Sicherheitsansatzes in KRITIS? Gibt es konkrete Maßnahmen oder Checklisten, die sich bewährt haben?

Torsten Hiermann: Ich empfehle einen Blick auf die Schutzmaßnahmen im Bundeskanzleramt. Aber ernsthaft: Je nach Bedrohungslage und Schutzzielen sind Sicherheitskonzepte so komplex, dass einfache Checklisten nicht mehr ausreichen. Je höher die Anforderungen, desto sinnvoller ist es, Sicherheitsberater oder Fachplaner einzubeziehen. Man kann das gut mit Spezialkliniken vergleichen: Die Erfahrung und Expertise unterscheiden sich erheblich zwischen Kliniken, die wenige und jenen, die viele spezialisierte Eingriffe durchführen.

Gibt es eine Fehleinschätzung, die Ihnen immer wieder begegnet, wenn es um Sicherheit in KRITIS geht?

Torsten Hiermann: Die grundlegendste Fehleinschätzung resultiert daraus, dass aufgrund fehlender Evidenz die Notwendigkeit von integrierten Sicherheitsmaßnahmen nicht gesehen wird, nach dem Motto „Es ist bisher ja nichts passiert“. Während diese Haltung in weniger kritischen Bereichen vertretbar sein mag, müssen KRITIS-Unternehmen deutlich strengere Maßstäbe anlegen. Sicherheit darf nicht reaktiv sein, sondern muss präventiv und strategisch geplant werden.

Welche Technologien oder neuen Sicherheitskonzepte halten Sie für besonders zukunftsweisend?

Torsten Hiermann: Entscheidend ist die Vernetzung und Integration von Systemen, Detektion und Aktion werden stärker miteinander verbunden, auch durch den Einsatz Künstlicher Intelligenz. Allerdings zeigen Erfahrungen, dass professionelle Angreifer immer neue Wege suchen und finden werden. Wenn die technischen Sicherheitsmaßnahmen sehr hoch sind, kann die Sicherheitskultur im Unternehmen zur Schwachstelle werden – und umgekehrt. Auch hier gilt erneut: Der 360-Grad-Ansatz ist alternativlos.

Was sind Ihre drei wichtigsten Empfehlungen für KRITIS-Betreiber, um ihre Sicherheitsstrategie nachhaltiger und effektiver zu gestalten?

Torsten Hiermann: Nachhaltig steht für dauerhaft wirksam. Und effektiv heißt: es muss auch wirken. Spontan agierende Täter lassen sich abschrecken. Professionell agierende Täter passen ihre Strategien an. Im Umkehrschluss bedeutet dies: Sicherheitsmaßnahmen müssen gespiegelt am jeweiligen Schutzziel State-of-the-Art sein und immer wieder neu an aktuellen Risikoanalysen und Bedrohungsszenarien ausgerichtet werden. Sicherheit ist ein Prozess. Keine Stand-alone-Technologie und kein statisches Konzept.

NOX SYSTEMS begleitet KRITIS-Betreiber, Planer und Errichter mit integrierbaren Sicherheitslösungen – für eine Sicherheitsarchitektur, die mitdenkt.  > Unsere Lösungen