Kommunen sind gemessen an ihrem Risikopotenzial schlecht geschützt, sagen Experten: Das betrifft IT-Systeme ebenso wie die physische Sicherheit. Was fehlt – und was bringt es, beide Seiten zusammenzudenken? Fachjournalist Manfred Godek hat beim BHE-Bundesverband Sicherheitstechnik nachgefragt.
Noch vor gar nicht langer Zeit war es der sportliche Ehrgeiz von Hackern, in Netzwerke von Behörden einzudringen und mit der Veröffentlichung sensibler Daten Verantwortliche in Verlegenheit zu bringen. Inzwischen beherrschen Kriminelle die Szene, um Netzwerke lahmzulegen und Lösegeld zu erpressen.
Hacker kommen übrigens auch zu Fuß. „Unbemerkt am Empfang vorbei, wenn dort zum Beispiel mehrere Personen Schlange stehen. Dann reicht es, in irgendeinem Büro einen USB-Stick mit Schadsoftware und Aufschrift ‚Gehaltstabelle‘ zu hinterlassen“, so Carl Becker-Christian, Geschäftsführer des BHE Bundesverband Sicherheitstechnik.
„Irgendjemand steckt das Stück früher oder später aus Neugier in einen Rechner.“ Das Beispiel zeigt: Physische und digitale Angriffe sind nicht scharf voneinander zu trennen. Diese Erkenntnis spiegelt auch das geplante KRITIS-Dachgesetz wider.
Umfassende kommunale Sicherheitskonzepte
Kommunen sollten die Zeit bis zur Verabschiedung nutzen und bereits jetzt Sicherheitskonzepte umsetzen, die gleichermaßen Wert auf Zutrittsschutz, robuste Infrastruktur und Notfallpläne legen wie auf IT-Abwehr, betont Jens Greiner, Chef der Konzernsicherheit bei PwC Deutschland.
Zutritt verschaffen sich Einbrecher vor allem an Wochenenden zu Verwaltungsstellen, Sport-, Kultur- oder Bildungseinrichtungen. Im Fokus: Geld, elektronische Geräte oder Identitätsformulare. Schon die Rote-Armee-Fraktion (RAF) nutzte Mitte der 1990er-Jahre vor allem die wenig gesicherten Rathäuser kleinerer Gemeinden zur Beschaffung von Ausweispapieren.
Einbruchschutz als Grundlage
„Zwar ist das Sicherheitsbewusstsein gewachsen. Es mangelt aber immer noch an den Grundlagen. Dies sind zum Beispiel einbruchhemmende Schlösser und Beschläge an Türen und Fenstern in Kombination mit Alarmanlagen, die sowohl die Außenhaut als auch die Innenräume überwachen, oder Zutrittssteuerung“, so Becker-Christian.
Einzelne Maßnahmen verbinden
Es gebe noch einen weiteren Knackpunkt: Sicherungsmaßnahmen würden meist dann installiert oder nachgerüstet, wenn Geld dafür vorhanden ist oder Vorschriften dies zwingend erfordern. Die Installationen, etwa zum Brand- oder Einbruchschutz, seien für sich genommen richtig und sinnvoll. Als „Insellösungen“ würden sie den Anforderungen an den Schutz kritischer Infrastrukturen nur zum Teil gerecht. Becker-Christian: „Da schrillt ein Alarm am Schulgebäude, aber niemand in der Nachbarschaft hört hin. Besser wäre es, wenn die Meldung bei einer Notrufzentrale aufläuft und von dort die erforderlichen Maßnahmen eingeleitet werden.“
Das Beispiel ist kein Einzelfall. In kritischen Situationen kommt es auf Minuten an. Feuer, Schadstoffaustritte, Amoklagen lassen sich durch vernetzte Systeme mit automatisierten Abläufen wirksam beherrschen.
Mehr als „nur“ ein Alarmsignal
Moderne Brandmeldeanlagen (BMA) können zum Beispiel weitere sicherheitstechnische Anlagen und Einrichtungen ansteuern. Dazu gehören Rauch- und Wärmeabzugsanlagen (RWA), die eine Ausbreitung giftiger Brandgase verhindern. Aufzüge können blockiert, Brandschutztüren geschlossen und Feuerwehrzufahrten geöffnet werden. Mitarbeiter und Besucher werden nicht nur durch Alarmsignale gewarnt. Ihnen wird auch durch Sprachalarmanlagen – in Verbindung mit einem LED-beleuchteten Fluchtwegleitsystem – der schnellste Weg aus der Gefahrenzone ins Freie gewiesen.
Eine integrierte Sicherheitsarchitektur kann zudem Gefahren begegnen, die aus einem unkontrollierten Publikumsverkehr resultieren: Täter, die ungehindert ein Büro betreten; Mitarbeiter, die Opfer von Beleidigungen oder körperlicher Gewalt werden.
Mitarbeiter werden geschützt
Zutrittssteuerungssysteme stellen sicher, dass Mitarbeiter oder Besucher nur für sie bestimmte oder freigegebene Bereiche betreten. Bei fehlgeschlagenen Identifikationen oder gewaltsamer Öffnung von Zugängen wird Alarm ausgelöst. Zudem wird registriert, wer sich wann in welchem Bereich aufgehalten hat.
Für Sicherheitskonzepte gibt es verbindliche Standards. Die wichtigste ist die DIN VDE 0833-1. Sie beinhaltet die „Gesamtheit der festgelegten organisatorischen, personellen, technischen und baulichen Maßnahmen zur Sicherung eines Objekts“. Sie ist Teil einer Normenreihe, die Planung, Einbau, Betrieb und Instandhaltung von Gefahrenmeldeanlagen regelt. Im Ernstfall dient sie auch als Referenzmaßstab für die Haftung von Verantwortlichen.
Worauf man unbedingt achten sollte: Die Planung und Umsetzung von Sicherheitstechnik einschließlich der vorgelagerten Risiko- und Schwachstellenanalyse braucht Fachfirmen für Sicherheitstechnik.
Manfred Godek
Der Autor
Manfred Godek ist PR-Berater, freier Journalist für Wirtschafts-, Finanz-und Managementthemen.
Cyberabwehr für Kommunen: Warum IT-Sicherheit jetzt Chefsache sein muss
Cybersicherheit muss weiter ausgebaut werden
