Fachexperte für physische Sicherheit von Infrastrukturen
Kontakt:
+49 201 8999 634
E-Mail schreiben
Meine Tätigkeit ist vor allem geprägt durch die Analyse von gesetzlichen und normativen Anforderungen, die an Infrastrukturen – insbesondere an kritische Infrastrukturen – gestellt werden. Gerade an der Gesetzeslage ändert sich aktuell vieles, da auf Basis einer europäischen Richtlinie zum ersten Mal konkrete Anforderungen an die physische Sicherheit und Resilienz gestellt werden.
Meine Aufgabe ist es, diese Entwicklungen zu begleiten und spezifische Anforderungen in verschiedenen Branchen und Bereichen zusammenzutragen. Letztendlich bereite ich diese Erkenntnisse auf, vermittele mein Wissen sowohl extern im Rahmen von Tagungen und Konferenzen als auch direkten Hilfestellungen für Betreiber sowie intern in Form von Schulungen. Letztendlich muss die Absicherung von Infrastrukturen natürlich auch geprüft werden, was ich als Auditor regelmäßig tue und so über das Jahr eine Vielzahl an verschiedenen Branchen, Infrastrukturen und Lösungsmöglichkeiten bewerte.
Wenn man aus der Sicht der IT-Welt schaut, dann sind Rechenzentren natürlich sofort präsent. Auch wurden durch den Gesetzgeber bisher vor allem IT-Systeme bei kritischen Infrastrukturen betrachtet. Das ändert sich aktuell. Während IT-Sicherheit zweifelsohne wichtig ist, gibt es aber zahlreiche Infrastrukturen, die ebenfalls auch im Katastrophenfall funktionieren sollen und müssen. Darunter fallen z. B. Pumpenanlagen von Wasserversorgern, die Stromversorgung von Krankenhäusern oder die Absicherung von Lieferzentren großer Lebensmittelhandelsketten. Alle Infrastrukturen bieten zahlreiche Angriffspunkte und Ausfallmöglichkeiten in der „analogen“ Welt, die betrachtet und abgesichert werden müssen.
Beispiele, in denen genau dort die Ursache für den Ausfall lag, gibt es viele:
■ Durchbruch bis zum Rollfeld eines Flughafens
■ Stromausfälle in Kliniken
■ Brandanschläge auf Bahnstrecken
■ Ausfälle der Trinkwasserversorgung
■ Sabotage an Glasfaserkabeln der Bahn
Aktuell beschäftige ich mich vor allem mit der CER-Richtlinie der EU und der nationalen Umsetzung – dem KRITIS-Dachgesetz – in Deutschland. Über alle betroffenen 11 Sektoren hinweg gibt es aktuell einen komplett unterschiedlichen Stand, wie sehr Anforderungen an die physische Sicherheit gefordert und implementiert werden bzw. sind. Nun wird es zum ersten Mal Regelungen im Hinblick auf die physische Sicherheit und die Resilienz von Infrastrukturen geben, die von allen Sektoren eingehalten werden müssen.
Aktuell geht es darum, überhaupt erst einmal den Grundstein für verbindliche Anforderungen über alle Sektoren zu legen. Was im Rahmen der IT-Sicherheit in Deutschland bereits seit vielen Jahren gelebt wird, wird nun für die physische Sicherheit nachgeholt. Damit einhergehend werden sich viele Infrastrukturbetreiber in den nächsten Jahren teilweise zum ersten Mal systematisch mit Resilienzplänen und der Implementierung von Sicherungsmaßnahmen auseinandersetzen.
In den ersten Schritten wird das vor allem zu "analogen" Umsetzungen führen: Absicherung mit Zaunanlagen oder Mauern, Zutrittskontrollsysteme, Installation von Notstromanlagen, Sicherstellung von Redundanzen, Verwendung von Videotechnik, etc. Die Vorgaben werden aber nicht auf dem aktuellen Stand stehen bleiben, sondern sich in den nächsten Jahrzehnten konkret weiterentwickeln. So ist bereits jetzt gefordert, Risiken aufgrund des Klimawandels und von Extremwettereignissen zu erfassen und Maßnahmen dagegen zu implementieren.
Beides muss gemeinsam betrachtet werden und im Betrieb gut ineinandergreifen. Hier ist oft auch die Rede von "hybriden Bedrohungen", die Gefahren auf der IT-Ebene und der physischen Ebene gleichzeitig beschreiben. Dennoch handelt es sich um zwei komplett voneinander getrennte Fachgebiete, die unterschiedliches Wissen und Erfahrungen benötigen, um konsequent zu guten Lösungen zu führen. Es ist aus meiner Sicht daher wichtig, für die physische Sicherheit und Resilienz Stellen einzubinden, die genau dort langjährige Erfahrungen haben – wie wir mit der Trusted Site Infrastructure (TSI) Produktwelt. Ein Austausch mit den Kolleg:innen, die ihr Know-How in der IT-Sicherheitswelt haben, ist aber wichtig und wird bei uns auch schon firmenübergreifend gelebt und so ein wichtiger regelmäßiger Austausch geführt, der das Wissen in beiden Welten fördert.