„Setzen Sie bei der Zutrittskontrolle auf Systeme, deren IT-Sicherheit kontinuierlich streng geprüft wird.“
Thomas Herling, Global Business Owner (GBO) Electronic Access and Data (EAD)
Hand aufs Herz – Können Sie mit Gewissheit sagen, dass Sie in Ihrem Unternehmen alle kritischen Punkte im Blick haben, um die IT-Sicherheit Ihrer Prozesse und Systeme dauerhaft zu gewährleisten?
Vier Augen sehen mehr als zwei. Deshalb setzen wir bei der Entwicklung und Pflege unserer Lösungen für Zutrittskontrolle und Zeiterfassung auf die Unterstützung unabhängiger IT-Experten. Dazu gehört das Schweizer Beratungsunternehmen Redguard, das sich auf IT- und Informationssicherheit spezialisiert hat. Sie haben dormakaba u. a. beim Entwicklungsprozess der cloud-basierten Zutrittslösung exivo begleitet und mit uns gemeinsam Richtlinien für die Entwicklung sichere Software erarbeitet. Software bleibt aber nur mit den neuesten Updates langfristig sicher. Dazu tragen regelmäßige Prüfungen im Rahmen eines Wartungsvertrags bei.
Wenn Sie mehr über die Bedrohungslage für Ihr Unternehmen und Ihre Zutrittslösungen erfahren wollen, lesen Sie unser Interview mit Dominique Meier, Partner & Head of Operations bei Redguard. Er gibt darin auch Einblicke, welche Faktoren für Ihre IT-Sicherheit entscheidend sind.
Interview mit Dominique Meier, Senior Security Consultant & Head of Operations bei Redguard
dormakaba: Wie gut sind aus Ihrer Sicht europäische Unternehmen in Bezug auf IT-Sicherheit aufgestellt?
Dominique Meier: Das ist sehr branchenabhängig und es gibt gewaltige Unterschiede. Großen Nachholbedarf sehe ich vor allem bei kleinen und mittleren Unternehmen. Eine wachsende Herausforderung ist die Digitalisierung. Dadurch wird IT-Sicherheit plötzlich für immer mehr Branchen und Firmen ein Thema. Dann ist auch klar, dass nicht jeder von Anfang an perfekt aufgestellt ist. Es bewegt sich extrem viel und es entstehen ganz neue Anforderungen – z. B. in der Gesundheitsbranche mit dem elektronischen Patientendossier oder durch die Industrie 4.0 mit der Vernetzung über das Firmennetzwerk hinaus. Studien zeigen, dass in vielen Unternehmen die fachlichen Kompetenzen noch nicht so ausgereift sind, um dieses Thema selbstständig zu bewältigen.
dormakaba: Wie real ist die Bedrohung durch Cyberangriffe?
Die ist leider sehr real – mit sehr realen Folgen. Mitte 2019 gab es z. B. in der Schweiz einen Hackerangriff auf den Gebäudetechnik-Spezialisten Meier Tobler. Das Unternehme hat den Schaden auf fünf Millionen Franken beziffert. Dazu kamen noch mal Sonderkosten in Höhe von ein bis zwei Millionen Franken zur Bewältigung der Attacke. Ein Mitarbeiter hatte online ein Hotel gebucht und der Virus kam über die Buchungsbestätigung ins Haus.
dormakaba: Und wie sieht es bei Zutrittslösungen aus?
Lösungen für Zutrittssysteme sind immer nur so sicher wie die aktuellen Sicherheitsstandards, die sich fortdauernd ändern. Deshalb lässt dormakaba seine Produkte und Prozesse von unabhängigen IT-Experten prüfen und hat zusammen mit uns Richtlinien für die Entwicklung sicherer Software erarbeitet. Ein aktuelles Beispiel gibt es bei RFID-Transponderkarten für die elektronische Zutrittskontrolle. Systeme älterer Generation wie Mifare Classic oder Legic Prime entsprechen nicht mehr den aktuellen Sicherheitsstandards, d. h. die Karten können ausgelesen oder kopiert werden. Es ist schon lange bekannt, dass es diese Sicherheitslücke gibt. Trotzdem sind diese RFID-Technologien noch vielfach im Einsatz.
dormakaba: Wo sehen Sie die größten Schwachstellen bei der IT-Sicherheit?
Natürlich liefert die Technik viele Angriffspunkte, aber das schwächste Glied in der Sicherheitskette ist meistens der Mensch. Deshalb ist es wichtig, Mitarbeiter und Kunden immer wieder für die Gefahren zu sensibilisieren.
dormakaba: Was ist Ihre Empfehlung an Unternehmen, wenn sie ihre IT-Sicherheit verbessern wollen?
Sie müssen das Thema ganzheitlich angehen und die technischen, menschlichen und organisatorischen Aspekte einbeziehen. Wer eine Firewall und einen Virusschutz gekauft hat, ist nicht automatisch auf der sicheren Seite. Nur wenn man die ganze Kette betrachtet, schafft man die Basis, um IT-Sicherheit nachhaltig zu etablieren. Es geht um die Definition von Prozessen und Verantwortlichkeiten. Und es gilt auf Basis der Geschäftsstrategie zu klären, welches Sicherheitsniveau überhaupt angestrebt wird.
dormakaba: Gibt es Checklisten, die dabei helfen, die richtigen Maßnahmen zu ergreifen?
Ja, es gibt viele verschiedene Umsetzungshilfen. Dazu gehören z. B. etablierte Standards wie die DIN 27001 Informationssicherheits-Managementsysteme oder in Deutschland das IT-Grundschutz-Kompendium des BSI. Das ist ein gutes Rahmenwerk, das helfen kann, relevante Bedrohungen und die passenden Maßnahmen zu identifizieren.
dormakaba: Wie wichtig ist die Prüfung und Wartung von Software – auch mit Blick auf Zutritts- und Zeitwirtschaftslösungen?
Das ist aus meiner Sicht ein Muss. Sonst öffnet man Kriminellen im wahrsten Sinne des Wortes Tür und Tor. Nur regelmäßige Sicherheitsupdates stellen sicher, dass man auf dem neuesten Stand bleibt und vor möglichen Angriffen gewappnet ist. Das gilt im Übrigen für alle Systeme. Im Jahr 2017 gab es eine kritische Schwachstelle bei Windows, die von vielen Unternehmen erst sehr spät gepatcht wurde. Deshalb hatte das eine sehr große Wirkung. Infolgedessen waren z. B. in England sechzehn Spitäler komplett offline und mussten Patienten ablehnen. Hacker hatten die Daten verschlüsselt und verlangten ein „Lösegeld” in Millionenhöhe.
IT-Sicherheit ist nichts, was man einmal macht und dann ist es gut. Es ist ein kontinuierlicher Prozess. Man muss immer wieder prüfen, ob sich die Bedrohungslage und das System verändert haben und dann die notwendigen Anpassungen vornehmen.
