Integrierte Sicherheit: IT und Physik

Deutsche Rahmenbedingungen

Das BSI veröffentlicht mit dem IT-Grundschutz-Kompendium ein umfassendes Rahmenwerk, das physische und digitale Sicherheit in einem Modell vereint (Bausteine INF und SYS). Die NIS2-Richtlinie (umgesetzt im KRITIS-Dachgesetz und im aktualisierten BSIG) verpflichtet wesentliche und wichtige Einrichtungen ausdrücklich zu Maßnahmen sowohl im Bereich der physischen als auch der digitalen Sicherheit. Das UP KRITIS (Umsetzungsplan KRITIS) gibt konkrete Empfehlungen zur Sicherung kritischer Infrastrukturen einschließlich physischer Zugangskontrolle. Der BDSW hat gemeinsam mit dem Bitkom Empfehlungen zur Konvergenz physischer und digitaler Sicherheit publiziert.

Schlüsselbegriffe

Converged Security

Organisationsmodell, bei dem physische Sicherheit und IT-Sicherheit unter einer Verantwortung vereint und in gemeinsamen Prozessen betrieben werden.

PSIM (Physical Security Information Management)

Plattform, die Informationen aus physischen Sicherheitssystemen (Zutritt, Kameras, Alarm) mit IT-Sicherheitsdaten zu einem einheitlichen Lagebild zusammenführt.

Social Engineering

Manipulationstechnik, bei der ein Angreifer menschliches Vertrauen ausnutzt, um physischen oder digitalen Zugang zu erlangen. Überbrückt die Grenze zwischen physischer und digitaler Sicherheit.

Insider-Bedrohung

Sicherheitsrisiko von innen: ein Mitarbeitender oder Auftragnehmer, der autorisierte physische und digitale Zugänge missbraucht.

So funktioniert es

Integrierte Sicherheit beginnt mit einer gemeinsamen Risikoanalyse. Inventarisieren Sie die unternehmenskritischen Assets – Informationen, Systeme, Einrichtungen, Personen – und bewerten Sie Bedrohungen und Schwachstellen aus sowohl physischer als auch digitaler Perspektive. Ein Serverraum ohne angemessene physische Zugangskontrolle ist ein IT-Risiko. Ein Netzwerk ohne Segmentierung ist ein physisches Risiko, wenn es Kameras und Zugangskontroller bedient.

Die organisatorische Umsetzung bedeutet, die Verantwortlichen zusammenzubringen. Im Modell der Converged Security berichten CISO und Sicherheitsmanager an denselben Direktor. In der Praxis ist ein weniger weitreichender Schritt oft realistischer: ein gemeinsames Gremium, abgestimmte Störfallprozeduren und eine koordinierte Risikoregistrierung. Wichtiger als das Organigramm ist, dass physische und digitale Vorfälle in ihrem Zusammenhang analysiert werden.

Technisch wächst die Konvergenz durch die Digitalisierung physischer Sicherheitssysteme. Zugangskontroller, Kameras und Alarmsysteme laufen auf dem IP-Netzwerk und sind damit anfällig für Cyberangriffe. Ein gehacktes Kamerasystem kann abgeschaltet oder manipuliert werden. Behandeln Sie physische Sicherheitssysteme wie IT-Assets: Spielen Sie Patches ein, segmentieren Sie sie im Netzwerk und überwachen Sie sie auf abweichendes Verhalten.