Focus on Security 11-2013 - Securitas
Focus on Security 11-2013 - Securitas
Focus on Security 11-2013 - Securitas
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong><br />
Ausgabe <strong>11</strong>, November <strong>2013</strong>
2 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
Informati<strong>on</strong>en zur Unternehmenssicherheit<br />
Advanced Persistant Threats (APT) Seite 3<br />
Arbeitsschutz Seite 3<br />
Betrug Seite 3<br />
Biometrie Seite 4<br />
Brandanschläge Seite 4<br />
Brandschutz Seite 4<br />
Cloud Computing Seite 6<br />
Compliance Seite 7<br />
Datenschutz Seite 8<br />
Diebstahl Seite 8<br />
Einbruch Seite 9<br />
Explosi<strong>on</strong>sschutz Seite 9<br />
Falschgeld Seite 9<br />
Flughafensicherheit Seite 10<br />
Gebäudesicherheit Seite 10<br />
Gefängnissicherheit Seite 10<br />
Gefahrenmeldetechnik Seite <strong>11</strong><br />
Geldautomatensicherheit Seite 12<br />
Geld- und Werttransporte Seite 12<br />
Hotelsicherheit Seite 12<br />
IT-Sicherheit Seite 12<br />
IuK-Kriminalität Seite 16<br />
Kommunikati<strong>on</strong>ssicherheit Seite 17<br />
Krisenregi<strong>on</strong>en Seite 17<br />
Logistiksicherheit Seite 18<br />
Luftsicherheit Seite 19<br />
Metalldiebstahl Seite 19<br />
Mobile Endgeräte Seite 19<br />
Notfallmanagement Seite 20<br />
Perimeterschutz Seite 21<br />
Piraterie Seite 21<br />
Produktpiraterie Seite 22<br />
Rechenzentrumssicherheit Seite 22<br />
Risikomanagement Seite 23<br />
Schlüsselmanagement Seite 24<br />
Schwarzarbeit Seite 24<br />
Sicherheitsmarkt Seite 24<br />
Social Engineering Seite 25<br />
Spi<strong>on</strong>age Seite 25<br />
Terrorismus Seite 26<br />
Unternehmenssicherheit Seite 26<br />
Videoüberwachung Seite 27<br />
Zutrittsk<strong>on</strong>trolle Seite 31
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
3<br />
Advanced Persistant Threats (APT)<br />
Timo Steffens, BSI, behandelt in der Fachzeitschrift<br />
(Ausgabe 5-<strong>2013</strong>, S. 56–58)<br />
Möglichkeiten der Abwehr v<strong>on</strong> APT-Angriffen.<br />
Aus Sicht des BSI liege ein APT vor,<br />
wenn ein gut ausgebildeter Angreifer mit<br />
Rückgriff auf große Ressourcen sehr gezielt<br />
und mit großem Aufwand ein Netz oder<br />
System angreift, sich dann in dem System<br />
ausbreitet, weitere Hintertüren einbaut, und<br />
möglicherweise über längere Zeit Informati<strong>on</strong>en<br />
sammelt oder Manipulati<strong>on</strong>en<br />
vornimmt. Die Angreifer arbeiteten häufig in<br />
thematischen Kampagnen wie beispielsweise<br />
Luftfahrt oder Energie. APTs seien darauf<br />
ausgelegt, unter dem Radar der klassischen<br />
Antiviren-Lösungen zu bleiben. Generell<br />
zeige die Erfahrung, dass APTs nicht durch<br />
den Einsatz einzelner IT-Sicherheitsprodukte<br />
verhindert werden können. Und sie zeige,<br />
dass es den Angreifern zu einfach gemacht<br />
werde, weil die eigentlichen Basis-Sicherheitsmaßnahmen<br />
nicht durchgeführt wurden.<br />
Um gegen APTs stets auf dem Laufenden<br />
zu bleiben, sei es wichtig, dass sich Unter-<br />
nehmen gegenseitig über gezielte Angriffe<br />
informieren. Um die An<strong>on</strong>ymität der Unternehmen<br />
zu bewahren, baue das BSI derzeit<br />
eine Austauschplattform auf. Und auf Seiten<br />
der Allianz für Cybersicherheit stehe ein an<strong>on</strong>ymes<br />
Meldeportal zur Verfügung.<br />
Andres Wild, Redwood Shores (US/CA), geht<br />
in derselben Ausgabe (S. 10/<strong>11</strong>) der Frage<br />
nach: „Wie soll man APTs begegnen?“ Für<br />
die Implementierung eines starken risikobasierten<br />
Ansatzes gebe es eine ganze Menge<br />
passender Rahmenwerke: ISO 27000, NIST<br />
SP-800-53 & Co. seien keine Unbekannten.<br />
Ein möglicher Weg sei die Nutzung einer<br />
Methodik mit Überwachungs- und Steuerelementen,<br />
die sich bei der Minderung v<strong>on</strong> Risiken<br />
realer Bedrohungen als effektiv erwiesen<br />
haben. Die zwanzig „Critical C<strong>on</strong>trols for<br />
Effective Cyber Defense“ seien ein Ansatz,<br />
der dieser Methodik entspreche. Sie würden<br />
nach Bedarf aktualisiert und lägen aktuell im<br />
vierten Release (Versi<strong>on</strong> 4.1) vor.<br />
Arbeitsschutz<br />
Der Sicherheitsberater befasst sich am<br />
1. Oktober mit der Arbeitserg<strong>on</strong>omie in<br />
Leitstellen (S. 296–298). In Notruf- oder<br />
Serviceleitstellen, in denen sich üblicherweise<br />
mehrere Arbeitnehmer einen Arbeitsplatz<br />
teilen, sollten die Arbeitsmittel dynamisch<br />
und flexibel an die jeweiligen Bedürfnisse der<br />
Mitarbeiter anpassen lassen. Insgesamt seien<br />
die körpergerechten Abmessungen bei der<br />
Möblierung im Auge zu behalten. Arbeits-<br />
und Anzeigegeräte wie M<strong>on</strong>itore sollten erg<strong>on</strong>omisch<br />
justiert werden können. Beleuchtungs-/Reflexi<strong>on</strong>svorgaben<br />
seien einzuhalten.<br />
Die Temperatur solle bei mindestens 20 und<br />
maximal 26 Grad liegen. Für die Einhaltung<br />
der zulässigen Umgebungslautstärke müsse<br />
gesorgt werden. Vorzugsweise sollte die Belegschaft<br />
maximal 30–50 % der Arbeitszeit<br />
im Sitzen verbringen, den Rest abwechselnd<br />
im Stehen und in Bewegung.<br />
Betrug<br />
Nach einer Meldung der FAZ vom 18. Oktober<br />
warnt die Bundesagentur für Arbeit vor<br />
einer dreisten Masche im Internet: Demnach<br />
stellt ein fremder Anbieter Rechnungen an<br />
Arbeitgeber aus, die ihre Stellenangebote<br />
auf der kostenlosen Jobbörse der Arbeitsagentur<br />
im Internet einstellen. Der Anbieter<br />
„Jobdirect24“ verlange für die angebliche<br />
Veröffentlichung 580 Euro. Die Behörde<br />
weise darauf hin, dass es sich bei Jobdirect24
4 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
nicht um einen Kooperati<strong>on</strong>spartner handelt<br />
und rät allen betroffenen Arbeitgebern, die<br />
Rechnung nicht zu begleichen.<br />
Nach einer Mitteilung v<strong>on</strong> Securic<strong>on</strong> vom<br />
5. Oktober warnt die PD Aalen vor folgender<br />
Betrugsmasche: Deutsche Geschäftsleute<br />
haben Geschäftsverbindungen zu Partnern<br />
in der VR China. Bei Bestellung v<strong>on</strong> Waren<br />
leisten die deutschen Unternehmen eine<br />
Anzahlung. Nach Mitteilung der Warenversendung<br />
erfolgt die Restzahlung auf ein<br />
bekanntes K<strong>on</strong>to des Partnerunternehmens.<br />
In mehreren Fällen seien für diese Restzahlung<br />
in gefälschten E-Mails v<strong>on</strong> Betrügern<br />
neue Bankverbindungen in L<strong>on</strong>d<strong>on</strong>, Dubai,<br />
Bangkok und H<strong>on</strong>k<strong>on</strong>g angegeben worden.<br />
Biometrie<br />
Wie die Zeitschrift WiK in der Ausgabe<br />
5-<strong>2013</strong>, S. 10, mitteilt, haben Forscher der<br />
Universität v<strong>on</strong> Leicester eine neue Methode<br />
entwickelt, um Fingerabdrücke auf metallischen<br />
Oberflächen zu identifizieren. Anders<br />
als nach der klassischen Methode nutze die<br />
neue Technik die elektrischen Isoliereigenschaften<br />
der Fingerspuren. Der Abdruck wirke<br />
dabei wie eine Maske, die dafür sorgt, dass<br />
per elektrischem Strom farbige, elektroaktive<br />
Polymere auf die Flächen zwischen den<br />
Ablagerungen des Fingerabdrucks umgelenkt<br />
werden. So entstehe ein Negativbild des<br />
Fingerabdrucks. Allerdings würden isolierende<br />
Rückstände ab Nanometerdicke die<br />
Polymerablagerung verhindern. Bisher sei das<br />
Verfahren nur im Labor angewandt worden.<br />
Heise <strong>on</strong>line meldet am 17. Oktober, der<br />
Europäische Gerichtshof habe entschieden,<br />
dass die Speicherung digitaler Fingerabdrücke<br />
auf deutschen Reisepässen zulässig ist.<br />
Die gängige Praxis, biometrische Daten auf<br />
dem Ausweis zu speichern, entspreche dem<br />
europäischen Recht. Auf diese Weise könne<br />
Betrug bei der Verwendung v<strong>on</strong> Reisepässen<br />
verhindert werden.<br />
Brandanschläge<br />
Das BKA berichtet in der Wochenlage am<br />
6. Oktober, dass Unbekannte am 29. September<br />
auf dem Gelände eines Autohauses<br />
in Erfurt zur Auslieferung bereitgestellte<br />
Einsatzfahrzeuge der Polizei in Brand gesetzt<br />
haben. 15 Mannschaftswagen brannten aus,<br />
fünf weitere Fahrzeuge wurden beschädigt.<br />
Der Schaden wird auf insgesamt 750.000<br />
Euro geschätzt. In einem Selbstbezichtigungsschreiben<br />
wird die Tat v<strong>on</strong> der Gruppe<br />
„Abteilung bürgerlicher Ungehorsam im<br />
TRH“, die sich als Mitarbeiter des Landesrechnungshofes<br />
ausgibt, in ir<strong>on</strong>ischer Weise<br />
dahingehend begründet, dass die Thüringer<br />
Polizei durch „fehlende Ausschreibungen,<br />
Verstöße gegen Vergabe-Vorschriften, verschleierte<br />
Kreditfinanzierungen und serienmäßige<br />
Mängel bei angekauften Neufahrzeugen“<br />
die Täter zu der Tat gezwungen habe. Das BKA<br />
weist auf einen ähnlichen Fall am 23. Januar<br />
2012 in Magdeburg hin. Damals belief sich der<br />
Sachschaden auf ca. 500.000 Euro.<br />
Brandschutz<br />
Das VdS-Magazin s+s report enthält in seiner<br />
Ausgabe 3-<strong>2013</strong> mehrere für den Brandschutz<br />
in Unternehmen interessante Beiträge:<br />
Dipl.-Ing. Roland Motz, GDV, erläutert die<br />
VDI-Richtlinien zum Brand- und Explosi<strong>on</strong>sschutz<br />
an Sprühtrocknungsanlagen
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
5<br />
(S. 14–17). Die Brandgefährdung hänge v<strong>on</strong><br />
der Produktmenge und dem Brandverhalten<br />
des herzustellenden Produktes ab. Die Hauptursache<br />
für Brände und Explosi<strong>on</strong>en liege in<br />
der teils beträchtlichen Wärme- und Druckwirkung<br />
und in den Verbrennungsprodukten.<br />
Für den Explosi<strong>on</strong>sschutz fordere die BSVO<br />
v<strong>on</strong> Betreibern v<strong>on</strong> Sprühtrocknungsanlagen<br />
beim Auftreten gefährlicher explosi<strong>on</strong>sfähiger<br />
Atmosphäre ein Explosi<strong>on</strong>sschutzdokument.<br />
In den Richtlinien VDI 2263 Blatt 7 würden<br />
nun erstmals auch die Anforderungen an<br />
den Brandschutz berücksichtigt, die bei der<br />
Planung, Errichtung und dem Betrieb solcher<br />
Anlagen beachtet werden sollten. Nach Blatt<br />
7 seien insgesamt 13 mögliche Zündquellen –<br />
v<strong>on</strong> denen für den Brandschutz nur acht v<strong>on</strong><br />
Bedeutung seien – auf ihre Wirksamkeit zum<br />
Auslösen einer Staubexplosi<strong>on</strong>en zu beurteilen.<br />
Der Autor geht näher auf die möglichen<br />
Schutzmaßnahmen, eine mögliche Brandfrüherkennung<br />
und Brandbekämpfungsmaßnahmen<br />
ein. Die wichtigsten Maßnahmen,<br />
um im Brandfall ein Ausflühen v<strong>on</strong> Bauteilen<br />
der Sprühtrocknungsanlage zu verhindern,<br />
seien die sofortige Außerbetriebnahme der<br />
Luftzufuhr und das gleichzeitige Löschen und<br />
Kühlen. Der Einsatz v<strong>on</strong> speziell für solche<br />
Anlagen geplanten stati<strong>on</strong>ären Löschanlagen,<br />
die automatisch und manuell in Betrieb gesetzt<br />
werden können, sei zwingend erforderlich.<br />
Sie seien mit einem geeigneten Brandfrüherkennungssystem<br />
zu koppeln.<br />
Dr.-Ing. Mingyi Wang, GDV, gibt auf S. 18–22<br />
entsprechend VdS 3149 Hinweise zur<br />
Bewertung v<strong>on</strong> Abschnittsflächen, um<br />
einen technisch und wirtschaftlich optimalen<br />
Brandschutz zu ermöglichen. Gemäß dem<br />
Abschottungsprinzip sollten Gebäude nach<br />
Möglichkeit durch feuerwiderstandsfähige<br />
Wände und Decken baulich unterteilt werden,<br />
um eine Ausbreitung v<strong>on</strong> Feuer und Rauch<br />
zu verhindern oder wenigstens zu begrenzen.<br />
Abgesehen v<strong>on</strong> der Abtrennung v<strong>on</strong><br />
Nutzungseinheiten seien bei Industrie- und<br />
Gewerbebauten folgende Abschnittsbildungen<br />
bekannt: Komplex, Brandabschnitt<br />
(BA), Brandbekämpfungsabschnitt (BBA)<br />
und feuerbeständig abgetrennter Raum. Der<br />
Autor behandelt die typische Abschnittsbildung,<br />
Definiti<strong>on</strong>en der Abschnittsflächen in<br />
der Muster-Industriebaurichtlinie, die risikotechnische<br />
Bewertung der Abschnittsflächen<br />
und Empfehlungen der Versicherer. Diese<br />
hätten anhand ausgewerteter Schadenerfahrungen<br />
Empfehlungen zur Bewertung v<strong>on</strong><br />
Abschnittsflächen veröffentlicht. Mit ihnen<br />
solle die Praxis dabei unterstützt werden, die<br />
Brandgefahren und die damit verbundenen<br />
Risiken insbes<strong>on</strong>dere durch die Anordnung<br />
brandschutztechnisch abgetrennter Gebäudeabschnitte<br />
zu minimieren.<br />
Dr. Florian Irrek, VdS Schadenverhütung,<br />
befasst sich mit der Planung v<strong>on</strong> Gaslöschanlagen<br />
(S. 24–28). Sie sei eine äußerst<br />
komplexe Angelegenheit, bei der viele Faktoren<br />
in Betracht gezogen werden müssten.<br />
Erschwert werde die Planung dadurch, dass<br />
oft noch während des Baus Änderungen vorgenommen<br />
werden müssen, die nur schlecht<br />
vorauszuplanen sind. Dennoch könne auch<br />
ohne ausführliche hydraulische Berechnungen<br />
eine recht genaue Vorhersage getroffen<br />
werden, wie lang das Rohrnetz der Anlage<br />
maximal sein darf. Die Frage, wie viel Platz in<br />
der Löschgaszentrale für das Löschgas benötigt<br />
wird, könne noch relativ leicht mithilfe<br />
der VdS-Richtlinien Planung und Einbau für<br />
Gaslöschanlagen, VdS 2093/2380/2381,<br />
beantwortet werden. Sofern bereits die<br />
Löschk<strong>on</strong>zentrati<strong>on</strong> bekannt ist, könne sehr<br />
einfach v<strong>on</strong> Hand die Mindest-Vorratsmenge<br />
berechnet werden. Die Beantwortung der<br />
zweiten grundlegenden Frage, wie nah am<br />
Löschbereich die Löschgaszentrale positi<strong>on</strong>iert<br />
werden muss, setze üblicherweise<br />
eine hydraulische Berechnung voraus. Der<br />
Autor zeigt aber an einem Beispiel, dass eine<br />
brauchbare und belastbare Abschätzung der<br />
maximalen Entfernung zum Löschbereich<br />
auch in der Planungsphase möglich ist, in der<br />
noch keine vollständige hydraulische Berechnung<br />
möglich ist.<br />
Dipl.-Ing. (FH) Sven Reiske, AXA MATRIX<br />
Risk C<strong>on</strong>usltants, gibt eine aktuelle Übersicht
6 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
über Leistungsmerkmale und Anforderungen<br />
an den Brandschutz bei Wärmedämmverbundsystemen<br />
(WDVS). Bei WDVS mit<br />
brennbaren Dämmstoffen sei es wichtig,<br />
dass der Dämmstoff in die nichtbrennbaren<br />
Deckschichten eingepackt bzw. entsprechend<br />
geschützt ist. Den Flammen müsse möglichst<br />
lange der Zutritt zum Dämmstoff verwehrt<br />
bleiben. Das bauordnungsrechtliche Schutzziel<br />
an der Gebäudeaußenwand müsse somit<br />
darin bestehen, eine schnelle Brandausbreitung<br />
über mehr als zwei Geschosse oberhalb<br />
bzw. unterhalb der Brandausbruchstelle sowie<br />
einen Brandeintritt in die Dämmstoffebene<br />
vor dem Löschangriff der Feuerwehr zu<br />
verhindern, eine Gefährdung der Rettungskräfte<br />
zu vermeiden und die Rettung v<strong>on</strong> Pers<strong>on</strong>en<br />
zu ermöglichen. Bei der Verwendung<br />
v<strong>on</strong> Dämmstoffdicken oberhalb v<strong>on</strong> 10 cm<br />
seien zusätzliche Brandbarrieren erforderlich:<br />
alternativ ein Sturzschutz über jeder Öffnung<br />
oder ein umlaufender „Brandriegel“ in jedem<br />
zweiten Geschoss.<br />
Protector weist in seiner Ausgabe 10-<strong>2013</strong><br />
(S. 16/17) darauf hin, dass der ZVEI beim<br />
Brandschutztag am 16.01.2014 Ausblicke<br />
auf heutige und künftige Schwerpunkte<br />
des anlagentechnischen Brandschutzes<br />
gibt: Zunehmend würden Brandschutzmaßnahmen,<br />
die sich allein oder überwiegend<br />
mit bautechnischen Maßnahmen nicht<br />
optimal umsetzen ließen, als kombinierte<br />
bau- und anlagentechnische Maßnahmen<br />
realisiert. Seit am 1. Juli <strong>2013</strong> liege mehr<br />
Verantwortung bei Planern und Errichtern,<br />
denn sie müssten durch die neue<br />
europäische Bauproduktenverordnung bei<br />
Ausschreibungen viel intensiver als bisher<br />
prüfen, ob Bauprodukte für die Verwendung<br />
geeignet sind. Die Vernetzung und Dynamisierung<br />
gehe weiter. Aus der statischen<br />
Fluchtweglenkung werde eine dynamische.<br />
In der Brandalarmierung würden inzwischen<br />
auch vermehrt optische Signalgeber als<br />
Ergänzung zu den akustischen Signalen<br />
eingesetzt. Die Kabelindustrie habe neue<br />
Brandschutzkabel entwickelt, die sowohl<br />
die Brandausbreitung eindämmen und<br />
geringere Hitze entwickeln als auch weniger<br />
Rauch und giftige Gase entstehen lassen.<br />
Cloud Computing<br />
Dipl.-Inf. Maxim Schnjakin und Prof.Christoph<br />
Meinel, Hasso Plattner Institut für<br />
Softwaresystemtechnik GmbH (HPI), stellen<br />
in der Fachzeitschrift (Ausgabe<br />
5-<strong>2013</strong>, S. 78–85)einen Lösungsansatz<br />
vor, um auch bei Cloud-Speichern Zuverlässigkeit<br />
zu gewährleisten und das Risiko<br />
abzuwenden, in eine Abhängigkeit v<strong>on</strong><br />
einem einzelnen Dienstleister zu geraten.<br />
In einer Forschungsarbeit am HPI seien<br />
ausgewählte Cloud-Speicheranbieter in einer<br />
einheitlichen Plattform integriert worden.<br />
Das System überprüfe die Einhaltung der<br />
Anwenderanforderungen und garantiere,<br />
dass kein Dienstanbieter im alleinigen Besitz<br />
der Anwenderdaten ist. Diese letzte Komp<strong>on</strong>ente<br />
werde v<strong>on</strong> drei Diensten unterstützt:<br />
den Encoding-, Datenverteilungs- und<br />
Sicherheits-Services. Das System schaffe<br />
eine Metaebene zwischen Anwendern und<br />
Anbietern v<strong>on</strong> Cloud-Speicherressourcen.<br />
Bei der Übertragung der Anwenderdaten<br />
würden die einzelnen Datensätze mittels<br />
Erasure-Codes (Erasure-Algorithmen) fragmentiert<br />
und auf verschiedene, v<strong>on</strong>einander<br />
unabhängige Dienstleister verteilt. Die hierbei<br />
beteiligten Cloud-Ressourcen könnten<br />
nach den benutzerdefinierten Anforderungen<br />
an Leistungsfähigkeit, geografische Lage<br />
sowie etwaige technische Eigenschaften<br />
ausgewählt werden.<br />
Wer sich für „<strong>Security</strong> as a Service“ v<strong>on</strong> T-<br />
Systems entscheidet, erhalte professi<strong>on</strong>ellen<br />
Schutz aus der Cloud – zum Festpreis pro<br />
Nutzer und zugeschnitten auf den aktuellen<br />
Bedarf, erläutert Jürgen Harazim, T-Systems,<br />
in der Beilage zu , Ausgabe 5-<strong>2013</strong>,
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
7<br />
S. 48/49. T-Systems biete mit „Secure<br />
E-Mail Services“ und „Secure Web Access<br />
Services“ zwei neue <strong>Security</strong> as a Service-<br />
Module.<br />
Sichere Cloud-Dienste mit Active-Directory-Anbindung<br />
stellt in derselben Ausgabe<br />
(S. 53–54) Stefan Keller, noris network AG,<br />
vor. Die Vorteile v<strong>on</strong> Cloud-Services ließen<br />
sich mit Compliance- und Sicherheitsgedanken<br />
nur kombinieren, wenn diese Dienste<br />
aus inländischen Hochsicherheitsrechenzentren<br />
bezogen werden. Der Komfort müsse<br />
nicht leiden und ein effizientes Rechtemanagement<br />
lasse sich über die Kopplung der<br />
Dienste mit dem unternehmenseigenen<br />
Active Directory kombinieren. Eine solche<br />
Managed Cloud-Lösung verbinde ein On<br />
Demand-Angebot mit Sicherheitsgarantien<br />
und einfacher Administrierbarkeit.<br />
Dipl.-Informatiker Michael Herfert, Fraunhofer-Institut<br />
für Sichere Informati<strong>on</strong>stechnologie<br />
SIT, liefert in der Zeitschrift WiK<br />
(Ausgabe 5-<strong>2013</strong>, S. 27–29) Kriterien, die<br />
hilfreich sein sollen, um Schwächen bei verschiedenen<br />
Cloud-Lösungen zu erkennen.<br />
Für Cloud-Speicherdienste seien wichtige<br />
Eigenschaften die Verschlüsselung v<strong>on</strong><br />
Daten, bevor sie den Rechner des Nutzers<br />
verlassen, und das mit Schlüsseln, die in seiner<br />
alleinigen Verfügbarkeit liegen, und die<br />
Verwendung etablierter kryptographischer<br />
Mechanismen und Protokolle. Für Cloud-Verarbeitungsdienste<br />
seien die größten Sicherheitsrisiken<br />
die Registrierung, der Transport,<br />
die Deduplikati<strong>on</strong> und das Teilen v<strong>on</strong> Daten.<br />
Es gebe zwar verschiedene Siegel für Cloud-<br />
Computing, aber darunter seien einige mit<br />
fraglichem Hintergrund. Ein allgemein anerkanntes<br />
Siegel wäre ein Schritt in die richtige<br />
Richtung. Bei Diensten, die Daten auch<br />
verarbeiten, werde eine individuelle Prüfung<br />
des Dienstes notwendig bleiben.<br />
Die FAZ weist am 8. Oktober darauf hin,<br />
dass die Europäische Datenschutzrichtlinie<br />
nach ihrem aktuellen Diskussi<strong>on</strong>sstand<br />
die Forderung enthalte, dass Nutzer v<strong>on</strong> den<br />
Betreibern eines Rechenzentrums ausdrücklich<br />
darauf hingewiesen werden, wenn<br />
ihre Daten europäischen Boden verlassen<br />
und zum Beispiel in ein Rechenzentrum in<br />
den USA übertragen werden. Eine solche<br />
Übertragung solle verboten werden, wenn<br />
die entsprechenden Bedingungen zuvor<br />
nicht erfüllt werden. Darin eingeschlossen<br />
solle der Hinweis sein, dass persönliche<br />
Daten möglicherweise v<strong>on</strong> ausländischen<br />
Geheimdiensten oder Behörden dritter<br />
Staaten ausgewertet werden könnten. V<strong>on</strong><br />
einer Datenverlagerung solle zum einen der<br />
Inhaber der Daten selbst, zum anderen aber<br />
auch eine Überwachungsbehörde unterrichtet<br />
werden.<br />
Heise <strong>on</strong>line weist am 16. Oktober darauf<br />
hin, dass EU-Kommissarin Neelie Kroes<br />
fordert, Europa solle die führende „vertrauenswürdige<br />
Cloud-Regi<strong>on</strong>“ werden. Es seien<br />
mehr Transparenz und hohe Standards<br />
nötig. Kroes propagiere Verschlüsselung<br />
sowohl beim Transport als auch beim<br />
Speichern v<strong>on</strong> Daten und warne davor,<br />
dass Schlüssel entwendet und Algorithmen<br />
geknackt werden könnten.<br />
Compliance<br />
Wichtig sei Compliance auch für den Mittelstand,<br />
erläutert die FAZ am 26. September<br />
in einer Spezialausgabe. Kein Unternehmen<br />
könne es sich leisten, die drohenden Gefahren<br />
bei Compliance-Verstößen zu ignorieren.<br />
Es gelte, Compliance-Regelwerke und<br />
entsprechende Systeme zu individualisieren.<br />
Statt wahllos Workshops für Mitarbeiter<br />
anzubieten, sollten Geschäftsführer sich<br />
zunächst mal ihr Unternehmen ganz genau<br />
anschauen und sich fragen: „Wo liegen bei<br />
meinem Geschäftsmodell die Risiken?“. Maß<br />
halten, laute unis<strong>on</strong>o die Devise v<strong>on</strong> Experten.<br />
Für Geschäftsführer v<strong>on</strong> Unternehmen
8 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
gelte eine sogenannte Organisati<strong>on</strong>s- und<br />
Aufsichtspflicht: Sie müssten dafür sorgen,<br />
dass ihre Firma als Ganzes sowie jeder einzelne<br />
Mitarbeiter gesetzliche und unternehmensinterne<br />
Vorschriften einhält. Ebenso<br />
müssten sie regelmäßig k<strong>on</strong>trollieren und<br />
dokumentieren, inwieweit zum Beispiel<br />
hauseigene Compliance-Systeme Wirkung<br />
zeigen. Außerdem könnten Geschäftsführer,<br />
Vorstände und Aufsichtsräte seit einigen<br />
Jahren persönlich haftbar gemacht werden,<br />
wenn sie sich fahrlässig verhalten oder Entscheidungen<br />
treffen, die dem Unternehmen<br />
schaden. Die Haftungspflicht könne auch<br />
dann greifen, wenn einzelne Mitarbeiter<br />
gegen gesetzliche oder hausinterne Regeln<br />
verstoßen haben, die Führungskraft dav<strong>on</strong><br />
wusste – und nichts dagegen unternommen<br />
hat. Um Schadenersatzklagen zu vermeiden,<br />
sei die v<strong>on</strong> Beratern empfohlene Risikoanalyse<br />
wichtig.<br />
Heise <strong>on</strong>line berichtet am 10. Oktober, dass<br />
der Europäische Gerichtshof für Menschenrechte<br />
die Klage eines Nachrichtenportals<br />
zurückgewiesen hat, das v<strong>on</strong> einem estnischen<br />
Gericht zu einer Geldstrafe verurteilt<br />
worden war, weil es – trotz eindeutiger<br />
Warnungen an die Nutzer und automatischer<br />
Wortfilter – nicht genug getan habe,<br />
um beleidigende Kommentare, v<strong>on</strong> denen<br />
eine Fährgesellschaft betroffen war, schnell<br />
zu entfernen.<br />
Datenschutz<br />
In der Fachzeitschrift (Ausgabe 5-<strong>2013</strong>,<br />
S. 22–25) weist Rechtsanwalt Stefan Jaeger<br />
darauf hin, dass die Informati<strong>on</strong>spflicht v<strong>on</strong><br />
Unternehmen über Datenschutzverletzungen<br />
jetzt europaweit durch die VO Nr. 6<strong>11</strong>/<strong>2013</strong><br />
der EU-Kommissi<strong>on</strong> vereinheitlicht wurde.<br />
Die Informati<strong>on</strong>spflicht gelte in bestimmten<br />
Fällen gegenüber Aufsichtsbehörden und<br />
Betroffenen. Ungeklärt seien nach wie vor<br />
einige rechtliche Fragen. So sehe die VO selbst<br />
keinerlei Sankti<strong>on</strong> für den Fall des Verstoßes<br />
gegen die Meldepflicht vor. Zudem bleibe<br />
auch die Frage nach den Verpflichteten gemäß<br />
der EU-VO unklar.<br />
Diebstahl<br />
Das BKA hat nach einer Informati<strong>on</strong> v<strong>on</strong><br />
ASW-Securic<strong>on</strong> vom 12. Oktober darauf<br />
hingewiesen, dass seit etwa 2005 jährlich<br />
ca. zwei Dutzend Diebstähle v<strong>on</strong> Solarmodulen<br />
bekannt werden. Die Sachschäden<br />
lägen immer im fünfstelligen, manchmal<br />
sogar im sechsstelligen Euro-Bereich (bis zu<br />
500.000 €). Die Tatorte befänden sich meist<br />
in einsam gelegenen Gebieten außerhalb<br />
bebauter Ortschaften (Lagerhallen, Gehöfte,<br />
Stallungen, Solarparks). Die Gebäude und<br />
Parks seien in der Regel offen zugänglich,<br />
wobei die Parks inzwischen zunehmend<br />
mit einem Zaun umfriedet seien. Die<br />
Photovoltaik-Module oder Stromkollektoren<br />
sowie die Wechselrichter würden fachge-<br />
recht abm<strong>on</strong>tiert. Täterhinweise würden<br />
nur in ganz wenigen Fällen bekannt. Zur<br />
Abwehr solcher Diebstähle rät die Zentrale<br />
Geschäftsstelle des Programms Polizeiliche<br />
Kriminalpräventi<strong>on</strong> zu einer Kombinati<strong>on</strong> aus<br />
folgenden Komp<strong>on</strong>enten: Perimeterabsicherung,<br />
Zugangstorüberwachung, Videoüberwachung<br />
mit Detekti<strong>on</strong>, Bewegungsmelder<br />
zur Überwachung der Zaunanlage, „Technikhaus<br />
Einbruchshemmung nach RC 3 DIN<br />
EN 1627 komplett“. Die Alarmtechnik sollte<br />
auf einer ständig besetzten NSL auflaufen.<br />
Die Polizei sollte erst hinzugezogen werden,<br />
wenn v<strong>on</strong> einem Echtalarm ausgegangen<br />
werden muss.
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
9<br />
Einbruch<br />
In der Fachzeitschrift s+s report (Ausgabe<br />
3-<strong>2013</strong>, S. 40–42) zieht Julia Christiani,<br />
Programm Polizeiliche Kriminalpräventi<strong>on</strong><br />
der Länder und des Bundes, nach einem<br />
Jahr der Öffentlichkeitskampagne K-<br />
Einbruch eine positive Bilanz. Die Zahl<br />
der fehlgeschlagenen Einbrüche sei v<strong>on</strong><br />
46.000 im Jahr 2010 über 51.000 im Jahr<br />
20<strong>11</strong> auf 56.000 im Jahr 2012 gestiegen.<br />
Viele Einbrüche könnten durch die richtige<br />
Sicherungstechnik verhindert werden. Eine<br />
Untersuchung des Bayerischen LKA habe<br />
ergeben, dass in Bayern im Jahre 2012 v<strong>on</strong><br />
insgesamt 5.709 Fällen 1.377 durch mechanische<br />
Sicherungen verhindert wurden.<br />
In 223 Fällen sei die Tat durch EMA vereitelt<br />
worden. Dies zeige zudem, dass die Einbruchmeldetechnik<br />
immer eine Ergänzung<br />
zur mechanischen Sicherungstechnik sein<br />
und nicht als Ersatz dafür angesehen werden<br />
sollte. Nach der Erhebung des Bayerischen<br />
LKA (S. 44/45) wurden 2012 im Gewerbebereich<br />
626 Einbrüche durch mechanische<br />
Sicherungen verhindert, und zwar 506<br />
durch Sicherungen an Türen (312 durch<br />
eine widerstandsfähige Türk<strong>on</strong>strukti<strong>on</strong> und<br />
geeignete Anbauteile, 194 durch Zusatzsicherungen)<br />
und 99 durch mechanische<br />
Sicherungen an Fenstern, Terrassen- und<br />
Balk<strong>on</strong>türen (65 durch Fensterzusatzsicherungen<br />
und 34 durch s<strong>on</strong>stige Sicherungen<br />
wie Gitter) sowie 21 durch Schaufenstersicherungen.<br />
Ebenfalls im Gewerbebereich<br />
k<strong>on</strong>nten durch 181 Alarme 28 Festnahmen<br />
erzielt werden. Die Festnahmequote betrug<br />
bei stillen Alarmierungen 57 %, bei örtlichen<br />
(akustischen oder optischen) Alarmen 7 %.<br />
Explosi<strong>on</strong>sschutz<br />
Eine Möglichkeit, Schutz vor Sprengstoffanschlägen<br />
auch bei Bestandsgebäuden<br />
zu erreichen, ist der Einsatz v<strong>on</strong> sprengwirkungshemmenden<br />
Sicherheitsfolien. Darauf<br />
weist der Sicherheitsberater am 1. Oktober<br />
(S. 300/301) hin. Ungeschütztes Einfachund<br />
Isolierglas erreiche durch die Beschichtung<br />
mit PROFILON ER1 folgende Widerstandsklassen:<br />
1. Sprengwirkungshemmung<br />
Klasse ER1 nach DIN EN 13541 (NS).<br />
2. Durchwurfhemmung Klasse A1 nach DIN<br />
52290 (alt) bzw. Klasse P2A nach EN 356<br />
(neu). Die Sicherheitsfolie sei im Druckstoßrohr<br />
getestet und nach Aussage des<br />
Herstellers Haverkamp die weltweit einzige<br />
Folie, deren sprengwirkungshemmende<br />
Eigenschaften in diesem Härtetest nach DIN<br />
EN 13541 bestätigt wurde.<br />
Falschgeld<br />
Wie die ASW am 27. September mitteilt,<br />
hat das LKA Schleswig-Holstein seit Juni<br />
<strong>2013</strong> ein plötzliches und k<strong>on</strong>zentriertes<br />
Anhalten v<strong>on</strong> Falsifikaten in Form v<strong>on</strong> 10-,<br />
20- und 50-Eurobanknoten, überwiegend<br />
im Raum Kiel, registriert. Nach einem vorübergehenden<br />
Rückgang seien die Fallzahlen<br />
seit August <strong>2013</strong> wieder angestiegen. Es<br />
handele sich um professi<strong>on</strong>elle, vermutlich<br />
in italienischen Fälscherwerkstätten hergestellte,<br />
Druckfälschungen. Die gefälschten<br />
50-Euro-Banknoten seien mit einem mangelhaft<br />
aufgedruckten Wasserzeichen versehen,<br />
das unabhängig vom Lichteinfall immer<br />
gleich ausschaue. Das echte Wasserzeichen<br />
entstehe durch eine unterschiedliche Papierdichte.<br />
Es werde sichtbar, wenn die Note<br />
gegen das Licht gehalten wird. Helle und<br />
dunkle Stellen gingen sanft ineinander über.<br />
Werde die Note auf eine dunkle Oberfläche<br />
gelegt, würden die hellen Stellen dunkel.<br />
Dieses Echtheitsmerkmal fehle der falschen
10 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
50-Euro-Banknote. Auch den Farbwechsel<br />
der auf der rechten unteren Rückseite der<br />
Banknote aufgebrachten Ziffer „50“ könnten<br />
die Fälscher nicht täuschend sicher<br />
nachempfinden. Beim Kippen der echten<br />
50-Euro-Banknote wechsele die Farbe v<strong>on</strong><br />
purpurrot zu olivgrün/braun.<br />
Flughafensicherheit<br />
Protector befasst sich in der Ausgabe<br />
10-<strong>2013</strong> in einer Reihe v<strong>on</strong> Beiträgen mit<br />
der Flughafensicherheit: Die verschiedenen<br />
Gefahrenquellen erforderten ganzheitliche<br />
Sicherheitsk<strong>on</strong>zepte. Dabei habe jeder Bereich<br />
seine ganz speziellen Anforderungen.<br />
Außenbereiche erforderten die Absicherung<br />
mithilfe v<strong>on</strong> Sicherheitszäunen, am besten<br />
mit Übersteigschutz und Freigeländeüberwachungssystemen.<br />
Durchfahrts- oder<br />
Durchgangssperren wie hydraulische oder<br />
starre Poller, Wege Barriers, aber auch<br />
Schrankenanlagen, Schnellfalttore und<br />
Schiebetore komplettierten die K<strong>on</strong>zepte<br />
(S. 28/29). In einem anderen Beitrag wird<br />
der Brandschutz für einen neuen Flugsteig<br />
mit sieben Gates für Großraumjets auf dem<br />
Frankfurter Flughafen behandelt (S. 36/37).<br />
Der Flugsteig A-Plus sei in Abschnitte<br />
unterteilt worden, die im Brandfall durch<br />
21 automatisch schließende Schiebetore<br />
getrennt werden. Angesteuert würden die<br />
Tore durch 129 optische Rauchschalter. Wo<br />
Fluchtwege durch die Tore führen, seien<br />
diese mit Fluchttüren versehen.<br />
Gebäudesicherheit<br />
Architektur und Sicherheit bildet den<br />
Schwerpunkt der Ausgabe des Sicherheitsberaters<br />
vom 1. Oktober (S. 282–295). Bewusste<br />
und frühzeitige Planung v<strong>on</strong> Sicherheit<br />
bringe dem Immobilienmanagement nur<br />
Vorteile. Durch intelligente Architektur könne<br />
man Flucht- und Rettungsversuche problemlos<br />
so planen, dass diese nicht in eine<br />
Nutzungseinheit hineinführen, s<strong>on</strong>dern nur<br />
in allgemein zugängliche Bereiche. Werde<br />
das Gewerk „Sicherheit“ sch<strong>on</strong> früh in einem<br />
Projekt berücksichtigt, so sei es möglich,<br />
die typischen Schutzz<strong>on</strong>en k<strong>on</strong>zepti<strong>on</strong>ell<br />
so umzusetzen, dass diese sich zum einen<br />
architekt<strong>on</strong>isch in das Gesamtbauwerk integrieren<br />
und zum anderen v<strong>on</strong> den Nutzern<br />
nicht als den Betriebsablauf störend empfunden<br />
werden. In einem guten Sicherheitsk<strong>on</strong>zept<br />
lasse sich auch eine spätere, anders<br />
gelagerte Nutzung des Gebäudes berücksichtigen.<br />
Auch im technischen Brandschutz<br />
fänden sich Möglichkeiten, die vorgeschriebene<br />
Technik der Branddetekti<strong>on</strong> unauffällig<br />
in die Innenarchitektur zu integrieren.<br />
Gefängnissicherheit<br />
Ministerialrat Wolfgang Suhrbier behandelt<br />
in Ausgabe 5-<strong>2013</strong> v<strong>on</strong> <strong>Security</strong> insight<br />
(S. 38–40) die Sicherheit im Justiz- und<br />
Maßregelvollzug der Sicherungsverwahrung.<br />
Immer mehr Bundesländer hätten<br />
auf Wachtürme verzichtet und sie durch<br />
technische Einrichtungen ersetzt. Die Zahl<br />
der Ausbrüche sei seit Jahrzehnten dank<br />
der sicherheitstechnischen Aufrüstung<br />
auf ein Minimum gesunken. Die Vorgaben<br />
des Bundesverfassungsgerichts zum<br />
Maßregelvollzug könne der Vollzug unter<br />
Berücksichtigung der Sicherheitsbelange<br />
nur durch ausgewogene Sicherheitstechnik<br />
und höheren Pers<strong>on</strong>aleinsatz erfüllen. Zur<br />
Technik zählten insbes<strong>on</strong>dere Kommu-
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
<strong>11</strong><br />
Protector befasst sich in der Ausgabe<br />
10-<strong>2013</strong> (S. 40/41) mit der Nichtauslönikati<strong>on</strong>sanlagen<br />
mit Notruffunkti<strong>on</strong> und<br />
Ortung, Überwachungsanlagen, Alarmmanagementsysteme,<br />
die den schnellen<br />
Einsatz weiterer Mitarbeiter im Krisenfall<br />
ermöglichen, sowie bezahlbare Systeme zur<br />
Verhinderung unerlaubter K<strong>on</strong>taktaufnahme<br />
der Inhaftierten zur Außenwelt. In derselben<br />
Ausgabe beschreibt Jens Aperdannier, Tyco<br />
Fire & <strong>Security</strong> Holding Germany GmbH,<br />
ein hochverfügbares System integrierter<br />
Sicherheits- und Kommunikati<strong>on</strong>stechnik<br />
in Justizvollzugsanstalten (S. 42/43). Ein<br />
effizientes Zusammenspiel der einzelnen<br />
integrierten Schwachstrom-Gewerke und<br />
-Technologien sei hierzu zwingend – v<strong>on</strong> Telekommunikati<strong>on</strong>s-,<br />
Intercom- und Sprachalarmierungsanlagen,<br />
Sicherheitstechnik wie<br />
Zutrittsk<strong>on</strong>trolle und Videoüberwachung,<br />
Zellenruf- und Pers<strong>on</strong>enschutzanlagen über<br />
sichere Daten- und Kommunikati<strong>on</strong>snetzwerke<br />
sowie Gebäude- und Sicherheits-Managementsysteme<br />
bis hin zur übergreifenden<br />
Leitstelle. Erst im intelligenten Verbund<br />
via offener Plattformen gewährleisteten die<br />
Einzelgewerke die durchgängige und flexible<br />
Kommunikati<strong>on</strong> und die effiziente Steuerung<br />
v<strong>on</strong> Prozessabläufen.<br />
Gefahrenmeldetechnik<br />
Im s+s report (Ausgabe 3-<strong>2013</strong>) weist<br />
Dipl.-Wirtschaftsjurist (FH) Sebastian Brose,<br />
VdS Schadenverhütung darauf hin, dass<br />
VdS nunmehr auch mobile Applikati<strong>on</strong>en<br />
in der Einbruchmeldetechnik anerkennt<br />
(S. 52–54). Die Anforderungen und Prüfmethoden<br />
für solche „EMA-Apps“ seien in<br />
den Richtlinien „Fernzugriff auf EMA mittels<br />
Smart Device-Applikati<strong>on</strong>“, VdS 3169, fixiert.<br />
Die Authentizität der Daten werde durch<br />
ein sogenanntes Pairing-Verfahren und die<br />
Ermittlung der Hashcodes sichergestellt.<br />
Im Master werde eine Liste der zulässigen<br />
Clients geführt, die z. B. anhand ihrer MAC-<br />
Adresse oder IMEI-Nummer identifiziert<br />
werden. Die Integrität der Daten werde durch<br />
verschiedene Mechanismen gewährleistet.<br />
Um die Vertraulichkeit der Daten zu wahren,<br />
müsse eine AES-Verschlüsselung mit 128 Bit<br />
mit Cipher Block Chaining Mode eingesetzt<br />
werden. Der Verbindungsaufbau gehe vom<br />
Client aus und durchlaufe die vier Stufen Nutzercode,<br />
Schlüsselprüfung, Pairing-Prüfung,<br />
Codeabfrage. Sobald die EMA extern scharf<br />
geschaltet ist, sei die Bedienung EMA-relevanter<br />
Funkti<strong>on</strong>en nicht möglich.<br />
Sebastian Brose und Wilfried Drzensky, VdS<br />
Schadenverhütung, befassen sich in der<br />
Zeitschrift WiK (Ausgabe 5-<strong>2013</strong>, S. 51–53)<br />
mit Problemen bei der Attestierung v<strong>on</strong><br />
EMA. Das Installati<strong>on</strong>sattest dokumentiere,<br />
dass es sich tatsächlich um eine VdS-anerkannte<br />
EMA handelt und stehe damit für die<br />
Vorteile die eine solche EMA bietet: Einhaltung<br />
der VdS-Richtlinien, Behebung v<strong>on</strong><br />
Mängeln auf Kosten des Errichters, jederzeit<br />
erreichbarer Instandhaltungsdienst, Vorhaltung<br />
eines Ersatzteillagers, Reparatur-/Instandhaltungsausrüstung<br />
beim Errichter und<br />
Störungsbeseitung innerhalb v<strong>on</strong> 24 h bei<br />
regelmäßiger Instandhaltung. Die Autoren behandeln<br />
einige der Fragestellungen rund um<br />
die Attestierung v<strong>on</strong> EMA in den Bereichen:<br />
Dokumentati<strong>on</strong> v<strong>on</strong> Änderungen, Gültigkeit<br />
des VdS-Attests bei „Wartungsverweigerungen“,<br />
Instandhaltung durch Dritte, Scannung<br />
des Attests und Vernichtung des Originals<br />
durch Versicherer, Bestandsschutz v<strong>on</strong> EMA.<br />
Wie Michael v<strong>on</strong> Foerster, Bosch-Sicherheitssysteme,<br />
in derselben Ausgabe<br />
(S. 57/58) berichtet, fordert Euroalarm v<strong>on</strong><br />
der EU-Kommissi<strong>on</strong> zusätzliche Aktivitäten<br />
zur Erhöhung der Wettbewerbsfähigkeit der<br />
europäischen Industrie für Gefahrenmeldetechnik.<br />
Es sollte Aufgabe der Politik sein,<br />
ein unabhängiges Prüfzentrum mit einem<br />
einheitlichen Prüfzeichen zu schaffen.
12 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
sung v<strong>on</strong> Bewegungsmeldern. Für die<br />
unterschiedlich schwierigen Anforderungsbedingungen<br />
an Bewegungsmelder gebe<br />
es eine Auswahl v<strong>on</strong> Kombinati<strong>on</strong>en in der<br />
Sensortechnologie. Komplett dichte Erfassungsvorhänge<br />
bildeten gegenüber einer<br />
Standarderfassung immer einen maximalen<br />
Detekti<strong>on</strong>sbereich. Bei größeren Überwachungsflächen,<br />
bei denen sich auch die<br />
räumliche Einrichtung ändern kann, böten<br />
sich Deckenmelder zur Flächenüberwachung<br />
an. Diese könnten mehrere Bewegungsmelder<br />
mit einer einzigen Deckenmelderinstallati<strong>on</strong><br />
ersetzen und somit auch zur wirtschaftlichen<br />
Lösung beitragen. Die kompletten<br />
Vorhänge mit einer 360 Grad-Erfassung<br />
detektierten bis zu 20 Meter Raumdiag<strong>on</strong>ale<br />
bei bis zu fünf Metern M<strong>on</strong>tagehöhe.<br />
Geldautomatensicherheit<br />
Wie das PP Nordhessen am 18. Oktober<br />
meldet, versuchten bislang unbekannte<br />
Täter, in einer Bankfiliale in Nieste nachts<br />
einen Geldautomaten aufzuschweißen. Vom<br />
Tatbeginn an habe die installierte Videoan-<br />
lage keine Bilder mehr geliefert. Alle Scheibenflächen<br />
des Automatenraumes seien<br />
v<strong>on</strong> den Tätern aufwändig tapeziert worden,<br />
damit sie ungestört „arbeiten“ k<strong>on</strong>nten.<br />
Geld- und Werttransporte<br />
Zwei schwere Raubüberfälle am 6. September<br />
vor einer Kreissparkassenfiliale auf zwei<br />
Mitarbeiterinnen, die für die Kreissparkasse<br />
ungepanzerte Geldtransporte in PKWs<br />
durchführten, und im August in Hamburg<br />
Wilhelmsburg auf einen Geldboten, der in<br />
einem ungepanzerten Firmenfahrzeug eines<br />
Sicherheitsunternehmens Geld transportierte,<br />
veranlassten den HGF der BDGW, Dr.<br />
Olschok, zu einem Appell an Kreditinstitute,<br />
Handelsunternehmen und Veranstalter,<br />
Geldtransporte nur in dafür vorgesehenen<br />
Spezialgeldtransportfahrzeugen durchzuführen.<br />
Verletzten Arbeitgeber ihre Sorgfaltspflicht,<br />
so drohten Nachforschungen durch<br />
die gesetzliche Unfallversicherung und<br />
durch Strafverfolgungsbehörden (WiK, Special<br />
Sicherheitslösungen für Banken, Oktober<br />
<strong>2013</strong>, S. 4).<br />
Hotelsicherheit<br />
Die Zeitschrift WiK (Ausgabe 5-<strong>2013</strong>,<br />
S. 7) meldet, heise <strong>Security</strong> habe ausprobiert,<br />
wie leicht Hotelsafes mit Codeschlössern<br />
geknackt werden können. Diese Tresore<br />
ließen sich meist mit einem selbst einzugebenden<br />
Code sichern. Sollte dieser vergessen<br />
werden, hätten die Hotels sowohl mechanische<br />
Schlüssel als auch Mastercodes, um die<br />
Tresore wieder zu öffnen. Doch oft werde<br />
sch<strong>on</strong> beim Einbau „geschlampt“: Viele<br />
Hotels würden vergessen, den vom Hersteller<br />
vorgegebenen Mastercode zu ändern. Diese<br />
Codes ließen sich aber über eine Suchmaschine<br />
herausfinden.<br />
IT-Sicherheit<br />
Die Fachzeitschrift enthält in ihrer<br />
Ausgabe 5-<strong>2013</strong> interessante Beiträge<br />
zur IT-Sicherheit: Als Schatten-IT bezeichnet<br />
Sebastian Broecker, Deutsche
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
13<br />
Flugsicherung (S. 16–20) generell alle<br />
Assets inklusive Hardware, Software und<br />
Projekten, die an den offiziellen Beschaffungs-<br />
und Implementierungswegen einer<br />
Firma vorbei in diese eingebracht werden.<br />
Die Schatten-IT könne entweder mit<br />
„eigentlich“ guten Absichten implementiert<br />
werden oder v<strong>on</strong> vornherein egoistischen<br />
oder kriminellen Zielen dienen. Der Autor<br />
behandelt Schatten-Hardware, Schatten-<br />
Software, Schatten-Dienste und Schatten-<br />
Projekte. Ansatzpunkte für eine Reduzierung<br />
solcher Vorgänge sieht er in folgenden<br />
Empfehlungen: 1. Halten Sie in Ihrer Rolle<br />
als <strong>Security</strong>verantwortlicher Augen und<br />
Ohren offen! 2. Behalten Sie „die üblichen<br />
Verdächtigen“ im Auge und suchen Sie<br />
den Dialog zu solchen Mitarbeitern! 3.<br />
Wecken Sie <strong>Security</strong>-Awareness! 4. Bieten<br />
Sie Lösungen an! 5. Versuchen Sie, neben<br />
aller notwendigen K<strong>on</strong>trolle in Fragen zur IT<br />
auch als kooperativer Partner zu gelten, um<br />
die Bildung geschlossener Zirkel möglichst<br />
zu vermeiden!<br />
Dr. Frederico Crazzolara, krügernetwork<br />
GmbH, befasst sich mit der Sicherheitsinfrastruktur<br />
für „smarte“ Versorgungsnetze<br />
(S. 26–33). Intelligente Versorgungsnetze,<br />
so genannte Smart Grids, sollen flexibler<br />
auf Energieeinspeisungen und auftretende<br />
Spitzenlasten reagieren können. Dabei<br />
kämen für eine bessere Koordinierbarkeit<br />
v<strong>on</strong> Stromerzeugung und -bedarf intelligente<br />
Messsysteme zum Einsatz – Smart<br />
Meters. Solche Systeme führten pers<strong>on</strong>enbezogene<br />
Daten zusammen, verarbeiteten<br />
und leiteten aufbereitete Daten weiter. Für<br />
sie würden daher hohe Anforderungen an<br />
Datenschutz und Datensicherheit gelten.<br />
Der Autor behandelt das Prinzip <strong>Security</strong><br />
by Design, digitale Zertifikate, mehrseitige<br />
Hardware und ECC als <strong>Security</strong>-Grundlage,<br />
„hoheitliche Vertrauensanker“ (die Stammzertifizierungsstelle<br />
der Smart-Meter-PKI<br />
wird vom BSI implementiert und zentral zur<br />
Verfügung gestellt) und die Verantwortung<br />
der Gateway-Administratoren. Die Gateway-Administrati<strong>on</strong><br />
sei die bedeutendste<br />
technische Smart-Metering-Dienstleistung.<br />
Es bleibe noch viel zu klären und zu tun,<br />
bis ein „intelligentes“ Versorgungsnetz zur<br />
Verfügung steht.<br />
In derselben Ausgabe (S. 59/60) befasst<br />
sich Jens Mehrfeld, BSI, mit „eingebetteten<br />
Systemen“, die in unterschiedlichen Geräten,<br />
Maschinen und Anlagen zum Einsatz<br />
kommen, häufig an ein Netz angeschlossen<br />
sind und Zugang zum Internet besitzen.<br />
Ein großes Problem bilde neben den<br />
technischen Angriffspunkten das fehlende<br />
Sicherheitsbewusstsein. Was sei zu tun?<br />
Die Sicherheitshinweise des Herstellers<br />
müssten beachtet werden. Die Standardk<strong>on</strong>figurati<strong>on</strong><br />
der Geräte sei anzupassen.<br />
Die Verbindung mit dem Internet sollte<br />
möglichst nur anlassbezogen und für kurze<br />
Zeit hergestellt werden. Für den Fall der<br />
Internetverbindung sollten die Sicherheitsmechanismen<br />
des Routers genutzt werden.<br />
Thomas Kerbl und Amir Salkic, SEC C<strong>on</strong>sult,<br />
erläutern einen vom BSI zusammen<br />
mit SEC C<strong>on</strong>sult veröffentlichten Leitfaden<br />
zur Entwicklung sicherer Web-Anwendungen.<br />
Den Kerninhalt des Leitfadens<br />
für Auftragnehmer bildeten Vorgaben<br />
an den Entwicklungsprozess und an die<br />
Implementierung. Der vielleicht wichtigste<br />
Nutzen des Leitfadens liege jedoch in der<br />
Unterstützung des Auftraggebers bei der<br />
Überprüfung der Vorgaben an den Entwicklungsprozess<br />
(S. 70–72).<br />
In derselben Ausgabe kritisiert das<br />
Fehlen v<strong>on</strong> IT-Sicherheitsrichtlinien<br />
in vielen Unternehmen. Nach einer v<strong>on</strong><br />
Kaspersky und B2B durchgeführten Studie<br />
beklagen 57 % der deutschen „IT-Entscheider“<br />
das Fehlen v<strong>on</strong> Zeit und Budget. Eine<br />
Studie des IT-Dienstleisters Ir<strong>on</strong> Mountain<br />
habe gezeigt, dass viele Arbeitgeber<br />
Verhaltensweisen ihrer Mitarbeiter bei<br />
der Arbeit im Homeoffice tolerieren, die<br />
ihre Unternehmensinformati<strong>on</strong>en einem<br />
erheblichen Risiko aussetzten. 60 % der<br />
befragten Deutschen hätten angegeben,<br />
ihre privaten E-Mail-Accounts zum Senden
14 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
und Empfangen v<strong>on</strong> Arbeitsdokumenten<br />
zu verwenden. 35 % ließen ihre Arbeitsdokumente<br />
zu Hause liegen und 21 %<br />
entsorgten Geschäftsdokumente im Haushaltsabfall.<br />
7 % benutzten eine unsichere<br />
WLAN-Verbindung, um Arbeitsdokumente<br />
per E-Mail zu senden und zu empfangen.<br />
Eine Hauptursache seien die Unternehmen<br />
selbst. So würden lediglich 25 % der<br />
deutschen Unternehmen ihren Mitarbeitern<br />
Vorgaben machen, welche Papierakten und<br />
elektr<strong>on</strong>ischen Daten sie mit nach Hause<br />
nehmen dürfen. In 73 % der Fälle fehlten<br />
entsprechende Richtlinien, die das Arbeiten<br />
im Homeoffice regeln. Ein weiteres Problem<br />
sei die Infrastruktur: Bei 54 % der Arbeitgeber<br />
scheitere ein sicheres Arbeiten im<br />
Homeoffice an fehlender IT-Ausstattung,<br />
und 67 % stellten keinen sicheren Zugang<br />
zum Intranet zur Verfügung (S. 98/99).<br />
Die European Network and Informati<strong>on</strong><br />
<strong>Security</strong> Agency (ENISA) hat ihren Jahresbericht<br />
über IT- und Netzausfälle für 2012<br />
vorgelegt, meldet in der Ausgabe<br />
3-<strong>2013</strong> (S. 99). In 18 EU-Ländern sei<br />
es zu 79 signifikanten Vorfällen der vier<br />
Dienstekategorien Festnetz- und Mobilfunk,<br />
Internet und mobiles Internet gekommen.<br />
Die häufigsten Ursachen für die Ausfälle<br />
seien Hard- und Software-Fehler gewesen.<br />
Cyberattacken seien nur sechsmal ursächlich<br />
gewesen, und nach durchschnittlich<br />
drei Stunden seien die Dienste wieder gelaufen.<br />
Naturereignisse seien ebenfalls nur<br />
selten ursächlich gewesen. Allerdings habe<br />
die Beseitigung solcher Ausfälle bes<strong>on</strong>ders<br />
lange gedauert.<br />
In derselben Ausgabe (S. 100) weist <br />
darauf hin, dass fast jeder fünfte Mitarbeiter<br />
in KMUs sch<strong>on</strong> einmal Firmendaten mit Absicht<br />
zerstört habe. Das sei das Ergebnis der<br />
Studie „Datenzerstörung im Mittelstand“,<br />
für die Mozy 100 Manager und Mitarbeiter<br />
v<strong>on</strong> KMUs befragt habe. Der Grund für die<br />
absichtliche Zerstörung sei überwiegend<br />
harmlos: in 78 % handelten die Angestellten<br />
gemäß den Weisungen eines Vorgesetzten.<br />
Heise <strong>on</strong>line listet am 27. September 10<br />
Regeln für mehr Sicherheit im Netz auf,<br />
die das BSI als Sicherheitskompass in Zusammenarbeit<br />
mit der Polizeilichen Kriminalpräventi<strong>on</strong><br />
der Länder und des Bundes<br />
aufgestellt hat:<br />
1. Verwenden Sie sichere Passwörter!<br />
2. Schränken Sie Rechte v<strong>on</strong> PC-Mitbenutzern<br />
ein!<br />
3. Halten Sie Ihre Software immer auf<br />
dem aktuellen Stand!<br />
4. Verwenden Sie eine Firewall!<br />
5. Gehen Sie mit E-Mails und deren<br />
Anhängen sowie mit Nachrichten in<br />
Sozialen Netzwerken sorgsam um!<br />
6. Erhöhen Sie die Sicherheit ihres<br />
Internet-Browsers!<br />
7. Vorsicht beim Download v<strong>on</strong> Software<br />
aus dem Internet!<br />
8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung!<br />
9. Seien Sie zurückhaltend mit der Angabe<br />
persönlicher Daten im Internet!<br />
10. Schützen Sie Ihre Hardware gegen<br />
Diebstahl und unbefugten Zugriff!<br />
Auch in einem „special“ der Fachzeitschrift<br />
vom Oktober <strong>2013</strong> finden sich mehrere<br />
Beiträge zur IT-Sicherheit: Arved Graf<br />
v<strong>on</strong> Stackelberg, HP Software Deutschland,<br />
empfiehlt das System SIEM (<strong>Security</strong><br />
Incident and Event Management) als<br />
intelligentes Sicherheitsradar (S. 22–24).<br />
SIEM-Lösungen könnten die disparaten<br />
Log-Files sammeln und in Echtzeit miteinander<br />
abgleichen. Aus dem K<strong>on</strong>text heraus<br />
würden sie verborgene Angriffsmuster<br />
erkennen, sortieren und die Ergebnisse zu<br />
übersichtlichen Warnhinweisen und Reports
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
15<br />
zusammenstellen. Der Autor beschreibt die<br />
Leistungsmerkmale v<strong>on</strong> SIEM. Das Produkt<br />
müsse geschickt implementiert werden. Die<br />
Implementierung sei als Prozess zu verstehen,<br />
der Schritt für Schritt immer mehr<br />
kritische Sicherheitsmanagement-Aufgaben<br />
durch intelligente Software unterstützt.<br />
Michael Klatte, ESET Deutschland, fordert<br />
mehr Sicherheit am SharePoint<br />
(eine Webanwendung v<strong>on</strong> Microsoft, die<br />
folgende Anwendungsbereiche abdeckt:<br />
Intranetportal, Soziale Netzwerke, C<strong>on</strong>tent-<br />
Management, Koordinierungs- und Verwaltungsfunkti<strong>on</strong>en<br />
sowie Geschäftsanwendungen).<br />
Ein lascher Umgang in puncto<br />
Sicherheit könne den Sharepoint schnell<br />
in eine Virenschleuder verwandeln. Malware<br />
stelle für den SharePoint die aktuell<br />
größte Gefahr dar. Microsoft werde seine<br />
Antivirus-Lösung „Forefr<strong>on</strong>t Protecti<strong>on</strong> for<br />
SharePoint“ nicht mehr weiterführen. ESET<br />
zähle zu den wenigen Anbietern, die Malware-Schutz<br />
für Microsoft SharePoint <strong>2013</strong><br />
anbieten. Der Autor hat eine Checkliste für<br />
mehr Sicherheit am SharePoint aufgestellt<br />
(S. 26/27). Kathrin Beckert, G Data, stellt<br />
neue Netzwerklösungen für Unternehmen<br />
vor. Neben technologischen Neuerungen<br />
hätten Administratoren künftig auch<br />
alle Android-Devices fest im Griff. Die Lösung<br />
habe folgende Produkteigenschaften:<br />
Hybridschutz, Mobile Device-Management,<br />
einfache Administrati<strong>on</strong> und mobilen Zugriff<br />
(S. 343/35). Andreas Müller, Lumensi<strong>on</strong>,<br />
erläutert das professi<strong>on</strong>elle Patchmanagement<br />
für sichere Geschäftsprozesse. Es<br />
führe durch die hohen Aufwände an Mehrarbeit,<br />
die nötig sei, um schnell auf Gefahrenpunkte<br />
reagieren zu können, zu höheren<br />
Kosten. Das Unternehmen Lumensi<strong>on</strong> biete<br />
eine gute Alternative, die die Umsetzung<br />
einer holistischen Schwachstellen-Managementstrategie<br />
ermögliche. Der geringere<br />
Bedarf an punktorientierten Produkten und<br />
an Mitarbeiterressourcen ermöglichten eine<br />
Reduzierung der Betriebskosten (S. 40–42).<br />
Klaus Gheri, Barracuda Networks, fordert,<br />
dass Sicherheitslösungen für KMUs den<br />
gleichen Schutz bieten, wie bei Großunternehmen,<br />
aber sie müssten intuitiv und<br />
einfach einzusetzen sein. Wenn KMUs<br />
<strong>Security</strong>- und Backup-Lösungen einsetzen,<br />
die k<strong>on</strong>kret auf den unkomplizierten Betrieb<br />
ausgelegt sind, gleichzeitig aber den<br />
kompletten Schutz einer vollen Enterprise-<br />
Lösung böten und noch dazu mit datenschutzk<strong>on</strong>formen<br />
Cloud-Technologien die<br />
Infrastruktur des Unternehmens entlasten,<br />
könnten sie sich gegen Angriffe oder Datenverlust<br />
absichern (S. 50–52). Armin Sim<strong>on</strong>,<br />
SafeNet, beklagt, man sei trotz der Berichte<br />
über Datendiebstahl beim Schutz der Daten<br />
bisher nicht wirklich weiter gekommen.<br />
Daten ließen sich inzwischen mit modernen<br />
Verschlüsselungs- und IAM-Lösungen zuverlässig<br />
schützen. Es gebe eine Methodik,<br />
die sich auf einfache Hauptpunkte reduzieren<br />
lasse: Identifiziere die wichtigen Daten,<br />
verschlüssele sie, pass‘ auf die Schlüssel<br />
auf und regele zuverlässig den Zugriff<br />
durch Identity- and Access-Management.<br />
Ein Mindeststandard müsse nicht das sein,<br />
was der Begriff nahelegt. Wenn das BSI<br />
eine Norm definiert, dann handele es sich<br />
zunächst um eine „unverbindliche Empfehlung“.<br />
Das gelte auch v<strong>on</strong> dem jetzt vom<br />
BSI verlangten Einsatz v<strong>on</strong> TLS 1.2 als<br />
Transportverschlüsselung im Internet (heise<br />
<strong>on</strong>line v. 8. Oktober).<br />
In der Fachzeitschrift IT-<strong>Security</strong> (Ausgabe<br />
2-<strong>2013</strong>, S. 13–15) erläutert Urs Biggeli,<br />
United <strong>Security</strong> Providers AG, warum<br />
Network Access C<strong>on</strong>trol (NAC) mehr<br />
und mehr zu einem zentralen Element der<br />
IT-Infrastruktur wird. Neben der Sicherheit,<br />
dass keine fremden Endgeräte am<br />
Netzwerk angeschlossen werden, liege<br />
der Hauptnutzen einer NAC-Lösung darin,<br />
den Überblick im Netzwerk zu wahren und<br />
dessen Verwaltung in einem hohen Maße<br />
zu erleichtern. Dadurch reduzierten sich<br />
erwiesenermaßen auch die Betriebsaufwände.<br />
Heutige NAC-Lösungen würden bei der<br />
Umsetzung v<strong>on</strong> Mobile-<strong>Security</strong>strategien<br />
und BYOD-K<strong>on</strong>zepten helfen. In demselben<br />
Heft befasst sich Jochen Koehler, Cyber-Ark,
16 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
mit der Datenbank-Sicherheit<br />
(S. 23–25). Etliche Unternehmen versuchten,<br />
sie mit der Implementierung v<strong>on</strong><br />
Lösungen in den Bereichen Data Loss Preventi<strong>on</strong><br />
(DLP) oder Database Activity M<strong>on</strong>itoring<br />
(DAM) zu erreichen. Diese Ansätze<br />
seien zwar richtig, aber keineswegs ausreichend.<br />
Die Implementierung zuverlässiger<br />
Lösungen für die automatische Verwaltung<br />
v<strong>on</strong> privilegierten Benutzerk<strong>on</strong>ten sollte für<br />
jedes Unternehmen selbstverständlich sein,<br />
zumal das Gefahrenpotenzial k<strong>on</strong>tinuierlich<br />
steige. Die Unsicherheit v<strong>on</strong> E-Mails werde<br />
unterschätzt, ist Marian Spohn überzeugt<br />
(S. 33–35). Eine sichere Lösung stelle<br />
Managed File Transfer (MFT) dar, weil sie<br />
sicherstelle, dass alle Nachrichten codiert<br />
sowie k<strong>on</strong>trolliert am Zielort ankommen<br />
und nur berechtigte Empfänger darauf<br />
zugreifen können. Dabei bleibe die Datei sicher<br />
im MFT-System hinterlegt. Es würden<br />
nur in einer ersten E-Mail die dazugehörige<br />
Download-Berechtigung und in einer<br />
zweiten ein Passwort für den Download-<br />
Link versendet. In Verbindung mit einer<br />
zentralen Datendrehscheide ermögliche<br />
die Lösung ein umfassendes M<strong>on</strong>itoring<br />
sämtlicher unternehmensinterner und<br />
externer Datentransferaktivitäten, mit dem<br />
sich Nachrichten v<strong>on</strong> der Anfangs- bis zur<br />
Zieladresse überwachen und vollständig<br />
bis auf die IP-Adresse genau zurückverfolgen<br />
ließen. Eine MFT-Lösung müsse so<br />
beschaffen sein, dass ein Anwender die<br />
Bequemlichkeit und Schnelligkeit eines<br />
normalen E-Mail-Versands nicht vermisst.<br />
Heise <strong>on</strong>line meldet am 15. Oktober, der Industrieausschuss<br />
des EU-Parlaments habe<br />
den Weg frei gemacht für einen Verordnungsentwurf<br />
der EU-Kommissi<strong>on</strong>, mit dem<br />
die Nutzung elektr<strong>on</strong>ischer Signaturen<br />
und vergleichbarer Identifikati<strong>on</strong>ssysteme<br />
vereinfacht und harm<strong>on</strong>isiert werden<br />
solle. Die Abgeordneten möchten damit<br />
Unternehmen, Behörden und Bürgern die<br />
Möglichkeit geben, Dokumente elektr<strong>on</strong>isch<br />
zu unterzeichnen und zu zertifizieren. Die<br />
Mitgliedstaaten sollten verpflichtet werden,<br />
eID-Systeme anderer EU-Länder offiziell<br />
anzuerkennen. Das neue deutsche E<br />
Government-Gesetz lasse neben der qualifizierten<br />
elektr<strong>on</strong>ischen Signatur alternative<br />
Technologien für den elektr<strong>on</strong>ischen Ersatz<br />
der Schriftform zu und wolle so weitere<br />
Einsatzmöglichkeiten für die eID-Funkti<strong>on</strong><br />
des neuen Pers<strong>on</strong>alausweises und De-Mail<br />
schaffen.<br />
IuK-Kriminalität<br />
Die Zeitschrift weist in ihrer Ausgabe<br />
3-<strong>2013</strong> (S. 100) darauf hin, BITKOM habe<br />
berichtet, dass die Zahl der gemeldeten<br />
Phishing-Fälle 2012 deutlich abgenommen<br />
habe. Nach Angaben des BKA habe<br />
sich die Zahl 2012 nahezu halbiert (-46<br />
%). Die verursachten Schäden seien 2012<br />
ebenfalls um 46 % auf 13,8 Milli<strong>on</strong>en Euro<br />
gesunken. Allerdings würden die Betrüger<br />
zunehmend raffinierter vorgehen und<br />
verstärkt auf Phishing-Malware setzen.<br />
Die Zahl der Sicherheitsvorfälle insgesamt<br />
sei in den letzten 12 M<strong>on</strong>aten um 25 %<br />
gestiegen, meldet das Handelsblatt am 1.<br />
Oktober unter Hinweis auf die Beratungsgesellschaft<br />
PwC. Im Durchschnitt hätten<br />
die befragten Sicherheits- und IT-Manager<br />
globaler Unternehmen über 3.700 Attacken<br />
pro Firma und Jahr verzeichnet.<br />
Jeder dritte Manager vermute Hacker hinter<br />
den Angriffen, 14 % verdächtigten Wettbewerber<br />
als Drahtzieher, und 4 % nähmen<br />
an, dass ausländische Staaten versuchen,<br />
auf die Daten des Unternehmens zuzugreifen.<br />
Budgets für IT-Sicherheit seien binnen<br />
Jahresfrist massiv aufgestockt worden, v<strong>on</strong><br />
durchschnittlich 2,8 auf heute 4,3 Milli<strong>on</strong>en<br />
EU-Dollar pro Unternehmen. Dennoch<br />
mangele es an Abwehrkraft. Das Hauptproblem:<br />
Die Zahl der möglichen Einfallstore<br />
steige rasch. Mobile Geräte eröffneten neue<br />
Zugangspunkte auf die Firmen-IT, private
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
17<br />
Geräte entsprächen nicht dem Sicherheitsstandard<br />
des K<strong>on</strong>zerns und Cloud Computing-Lösungen<br />
stellten die IT parallel vor<br />
zahlreiche neue Herausforderungen.<br />
Der Diebstahl v<strong>on</strong> Kundendaten oder<br />
Geschäftsgeheimnissen Dritter sowie<br />
die Weiterverbreitung v<strong>on</strong> Viren oder<br />
Schadprogrammen können zu Schadenersatzklagen<br />
führen, erläutern Rechtsanwälte<br />
Stefan Schuppert und Markus Burckhardt<br />
in der FAZ am 2. Oktober Kunden oder<br />
Mitarbeiter eines Unternehmens, die durch<br />
dessen IT-Systeme geschädigt werden,<br />
könnten grundsätzlich vertragliche Schadenersatzansprüche<br />
geltend machen. Auch<br />
Dritten gegenüber sei eine Deliktshaftung<br />
nicht ausgeschlossen. Dies gelte auch für<br />
mögliche Sammelklagen. Ferner drohten<br />
bei bestimmten Verstößen erhebliche Geldbußen.<br />
Ein umfassendes IT-Sicherheitsk<strong>on</strong>zept<br />
müsse neben technischen Maßnahmen<br />
auch die betriebliche Organisati<strong>on</strong>,<br />
die Überprüfung v<strong>on</strong> Mitarbeitern und<br />
Dienstleistern sowie die Vertragsgestaltung<br />
miteinbeziehen. Zudem sollten Notfallpläne<br />
mit klaren Handlungsanweisungen<br />
und Verantwortlichkeiten erstellt und<br />
kommuniziert werden. Die Einhaltung v<strong>on</strong><br />
Sicherheitsstandards habe auch für eine<br />
mögliche Haftung gegenüber Dritten große<br />
Bedeutung. Die Einhaltung vorhandener<br />
Normen führe zwar nicht zu einem gesetzlichen<br />
Haftungsausschluss. In aller Regel<br />
werde man in diesem Fall aber eine Pflichtverletzung<br />
verneinen können. Die Durchsetzung<br />
v<strong>on</strong> Regressansprüchen gegen die<br />
Cyberkriminellen sei schwierig, denn die<br />
Angriffe erfolgten oft aus dem Ausland. Bei<br />
effektiver Einbindung v<strong>on</strong> IT-Forensikern<br />
und Behörden in den Zielländern ließen<br />
sich Ansprüche unter Umständen vorläufig<br />
sichern und Vermögenswerte einfrieren.<br />
Der Sicherheitsberater weist am 15. Oktober<br />
auf Versicherungen hin, die Policen<br />
zur Absicherung v<strong>on</strong> Cyberrisiken und IT-<br />
Schäden anbieten. Neben dem Angebot der<br />
Axa-Versicherung seien dies folgende Produkte:<br />
„ITSafeCare 2.0“ der Zurich Gruppe,<br />
„Allianz Cyber Protect“ der Allianz Global<br />
Corporate & Speciality sowie „Cyber+“ v<strong>on</strong><br />
HDI Gerling (S. 3<strong>11</strong>/312).<br />
Kommunikati<strong>on</strong>ssicherheit<br />
Der Sicherheitsberater weist am 1. Oktober<br />
darauf hin, dass das BSI offiziell die Zulassung<br />
des Handys SiMKo 3 für die Geheimhaltungsstufe<br />
„Verschlusssache – Nur<br />
für den Dienstgebrauch“ (VS-NfD) erteilt<br />
hat. Im Unterschied zu einem herkömmlichen<br />
Android-Handy sitze im SiMKo3 ein<br />
alternatives Betriebssystem, der sogenannte<br />
L4-Hochsicherheits-Mikrokern. Dieser<br />
bietet laut Telekom den Hackern kein<br />
Versteck mehr für Überraschungen. An der<br />
Entwicklung seien durchgängig deutsche<br />
Firmen beteiligt gewesen. Die Entwicklung<br />
des SiMKo3 gehe weiter. Es solle in den<br />
nächsten M<strong>on</strong>aten zusätzliche Produktmerkmale<br />
bieten: verschlüsselte Voice over<br />
IP-Telef<strong>on</strong>ie mit hochsicheren Verschlüsselungsverfahren,<br />
sichere netzübergreifende<br />
Sprachverschlüsselung, SiMKo-Produktfamilie<br />
mit Tablets und Notebooks für den<br />
Heimarbeitsplatz und Unterstützung des<br />
schnellen LTE-Funkstandards (S. 299/300).<br />
Krisenregi<strong>on</strong>en<br />
Logistiksicherheit PD Dr. Markus Ritter,<br />
Bundespolizei, beschreibt in einem Beitrag<br />
in <strong>Security</strong> Insight (Ausgabe 5-<strong>2013</strong>,<br />
S. 12–17) das minimale Grundgerüst für<br />
die Entsendung v<strong>on</strong> Mitarbeitern in<br />
Risiko- und Krisengebiete. Das Gastland
18 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
Protector beschreibt in der Ausgabe<br />
10-<strong>2013</strong> (S. 36/37) den Brandschutz<br />
im größten Distributi<strong>on</strong>szentrum Norddeutschlands.<br />
Beim Schutzk<strong>on</strong>zept der<br />
Hochregallager habe sich Minimax an dem<br />
Regelwerk VdS CEA 4001 orientiert, das<br />
neben einer klassischen Deckensprinklerung<br />
auch eine Sprinklerung in den Regalen<br />
vorschreibt. In diesem Projekt seien die<br />
insgesamt 238.000 Palettenstellplätze in<br />
15 Sprinklerebenen unterteilt und mit über<br />
<strong>11</strong>0.000 Sprinklern geschützt worden.<br />
Dagegen seien im Bereich des Blocklagers<br />
nach den FM-Richtlinien sogenannte – SFR<br />
(Early Suppressi<strong>on</strong> – Fast Resp<strong>on</strong>se)-<br />
Sprinkler eingesetzt worden. Sie würden,<br />
an der Decke m<strong>on</strong>tiert, dem Betreiber eine<br />
flexible Lagerung ermöglichen. Sensible Bereiche<br />
(Serverraum, elektrische Schalt- und<br />
Betriebsräume) seien mit Oxeo Inertgas-<br />
Löschanlagen versehen worden. Acht<br />
Brandmeldezentralen vom Typ FMZ 5000<br />
seien mit den 255 Meldepunkten durch vier<br />
Kilometer Kabel verbunden worden.<br />
Protector beschreibt in der Ausgabe 10-<br />
<strong>2013</strong> (S. 38/39) das Gefahrenmanagement<br />
beim Versender Netrada. Am Standort<br />
Lehrte komme das Siemens-Gefahrenmahabe<br />
auf jeden Fall eine „Garantenstellung“,<br />
aus der sich eine Schutzpflicht gegenüber<br />
den ausländischen Unternehmen im Lande<br />
ergibt. Bei der diplomatischen oder k<strong>on</strong>sularischen<br />
Vertretung Deutschlands sollten<br />
sich die entsandten Mitarbeiter registrieren<br />
lassen. Der Schutz v<strong>on</strong> UZNB-, EU- oder<br />
NATO-Vertretungen im Gastland werde<br />
nicht automatisch gestellt, s<strong>on</strong>dern müsse<br />
durch ein Technical Agreement oder ein<br />
Memorandum of Understanding vorab<br />
vereinbart werden. Familienangehörige<br />
seien als „weiche Ziele“ oft mehr gefährdet<br />
als der eigentliche Expatriate. In Risiko- und<br />
Krisengebieten müsse ein hauptamtlicher<br />
Sicherheitsverantwortlicher eingesetzt<br />
werden, der über einschlägige Erfahrungen<br />
verfügt. In Ländern mit Entführungsrisiko<br />
sei das Vorhalten vorbereiteter Proof of life-<br />
Fragen und -Antworten wichtig. Fahrzeuge<br />
sollten mit GPS, Track 24 und gegebenenfalls<br />
auch mit Funk und einem Jammer<br />
ausgestattet sein. Wenn man sich auf die<br />
örtliche Stromversorgung nicht verlassen<br />
kann, sollten Dieselgeneratoren und zur<br />
Vermeidung v<strong>on</strong> Computerabsturz und Datenverlust<br />
unbedingt Uninterruptable Power<br />
Supply-Einheiten beschafft werden. Wichtig<br />
sei auch der garantierte Zugang zu Kliniken<br />
mit westlichem Standard oder die Möglichkeit<br />
einer umgehenden medizinischen Evakuierung<br />
aus dem Land. Zur Vorbereitung<br />
für den Krisenfall gehöre auch die Bildung<br />
eines Critical Incident Management Team.<br />
Logistiksicherheit<br />
nagementsystem (GMS) SiNVR-Command<br />
mit dem netzwerkbasierten Videosystem<br />
SiNVR zum Einsatz. Die GMS-Softwarte<br />
führe verschiedene Subsysteme für<br />
Sicherheit und Gebäudebetrieb auf einer<br />
einheitlichen Plattform zusammen (BMA<br />
und EMA, Videosystem, Sprinklerzentrale,<br />
automatische Evakuierungsanlage sowie<br />
den „BOS-Gebäudefunk“. Daten aus den<br />
Inhouse-Logistiksystemen seien über TCP/<br />
IP direkt im System verfügbar. Ein wichtiges<br />
Element der Gesamtlösung sei eine Client/<br />
Server-basierte Software zur Verarbeitung<br />
v<strong>on</strong> digitalen Videobildern. Sie erlaube eine<br />
vielseitige Darstellung v<strong>on</strong> Videobildern<br />
und unterstütze Recherchemöglichkeiten.<br />
In einem weiteren Beitrag (S. 42/43) beschreibt<br />
Protector die Eignung v<strong>on</strong> Videosicherheitssystemen<br />
zur Prozessdokumentati<strong>on</strong><br />
und -optimierung für Unternehmen<br />
innerhalb jeder Lieferkette. Die Dokumentati<strong>on</strong><br />
des Haftungsübergangs werde zur<br />
Wahrung v<strong>on</strong> Rechtsansprüchen gegenüber<br />
Dritten durch die Verknüpfung v<strong>on</strong> Prozessdaten<br />
und Videosystem erheblich vereinfacht.<br />
Idealerweise würden Kameras entlang<br />
der gesamten Prozesskette platziert,<br />
meist ab der Anlieferung. Während der
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
19<br />
Videoaufzeichnung verknüpfe das System<br />
die Videodaten erstmalig automatisch und<br />
in Echtzeit mit den Barcode- oder RFID-<br />
Daten. Werden kleine Artikel v<strong>on</strong> Hand ausund<br />
eingepackt oder sortiert, sei die Dokumentati<strong>on</strong><br />
mit Überkopfkameras hilfreich.<br />
Hier seien hochauflösende IP-Kameras<br />
zweckmäßig, da sie auch Details über den<br />
Zustand der bearbeiteten Artikel liefern.<br />
Gleichzeitig werde mit Übersichtskameras<br />
die Umgebung erfasst. Eine leistungsstarke<br />
Datenbank garantiere den schnellen Zugriff<br />
auf die relevanten Videoaufzeichnungen<br />
anhand der Prozessdaten oder v<strong>on</strong> Datum<br />
und Uhrzeit als Suchkriterium.<br />
Die Güterverkehrs- und Logistiksicherheit<br />
als Aufgabe für die Sicherheitswirtschaft<br />
beschreibt Manfred Buhl, <strong>Securitas</strong>. In<br />
einem ersten Teil (S. 50/51) geht er auf die<br />
vom Bundesministerium für Verkehr, Bau<br />
und Standentwicklung entwickelte Sicherheitsstrategie<br />
für die Güterverkehrs- und<br />
Logistikwirtschaft ein. Dann benennt er die<br />
relevanten technischen und organisatorischen<br />
Standards, einschließlich der Norm<br />
des Authorised Ec<strong>on</strong>omic Operator (AEO),<br />
die auf EU-Verordnungen beruht und die<br />
Sicherheit in der internati<strong>on</strong>alen Lieferkette<br />
zum Ziel hat. Schließlich behandelt er<br />
das noch weithin ungelöste Problem des<br />
Mangels an sicheren LKW-Stellplätzen an<br />
Autobahnen und die maritime Sicherheit<br />
als Grundvoraussetzung für funkti<strong>on</strong>sfähige<br />
internati<strong>on</strong>ale Transportketten.<br />
Luftsicherheit<br />
Während das Luftfahrtbundesamt im<br />
Februar 2012 v<strong>on</strong> 40.000 Unternehmen<br />
ausgegangen sei, die ihre Produkte über<br />
Luftfrachtversand an die jeweiligen Empfänger<br />
bringen, seien bis heute v<strong>on</strong> diesen<br />
Unternehmen nur ca. 2.900 als bekannte<br />
Versender zertifiziert, stellt Philip Buse,<br />
Geschäftsführer des VSWN, fest. Da viele<br />
Produkte der Luftfracht nicht oder nur<br />
sicher gemacht werden könnten, komme<br />
es beim Versand zu hohen Zeitverlusten.<br />
Das Luftfahrtbundesamt habe 267 Stellen<br />
besetzt, die Unternehmen als bekannte Versender<br />
auditieren und zertifizieren sollten.<br />
Am wahrscheinlichsten sei, dass sie nun<br />
vor allem die „reglementierten Beauftragten“<br />
häufiger k<strong>on</strong>trollieren (WiK, Ausgabe<br />
5-<strong>2013</strong>, S. 38/39).<br />
Metalldiebstahl<br />
Die FAZ berichtet am 8. Oktober, dass vor<br />
allem in östlichen Regi<strong>on</strong>en Metalldiebe<br />
Bahntrassen „plünderten“. Ursachen seien<br />
unter anderem Täter aus Osteuropa und<br />
viele Baustellen. Obwohl die Deutsche<br />
Bahn im ersten Halbjahr <strong>2013</strong> mit rund 820<br />
Diebstählen etwa 40 % weniger Taten als<br />
im Vorjahreszeitraum gezählt habe, sei das<br />
Problem immer noch erheblich. Die Deutsche<br />
Bahn gehe mit verdeckten Einsätzen,<br />
künstlicher DNA und Informati<strong>on</strong>sakti<strong>on</strong>en<br />
gegen Metalldiebe vor. Während andere<br />
Betroffene wie der Stromk<strong>on</strong>zern Vattenfall<br />
unter anderem mit Flugrobotern Langfingern<br />
das Handwerk legen wollten, setze die<br />
Bahn auf Polizeiarbeit und Vorbeugung.<br />
Mobile Endgeräte<br />
Die FAZ befasst sich am 24. September mit<br />
dem Scanner für Fingerabdrücke beim<br />
iPh<strong>on</strong>e 5S. Man lege den Finger nur auf<br />
und ziehe ihn nicht, wie bei Notebooks,
20 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
über eine Fläche. Vermessen würden<br />
untere Hautschichten. Auf diese Weise sei<br />
auch eine Lebenderkennung implementiert.<br />
Apple speichere so die biometrischen Daten<br />
in einem separaten Bereich des Geräts,<br />
der v<strong>on</strong> außen nicht lesbar sei, nicht in<br />
eine iTunes-Synchr<strong>on</strong>isati<strong>on</strong> übernommen<br />
werde und nicht auf Apple-Server übertragen<br />
werde. Das alles verspreche einzigartige<br />
Sicherheit, zumal auch kein Abbild des<br />
Fingerabdrucks gespeichert werde, s<strong>on</strong>dern<br />
eine Art K<strong>on</strong>densat („Hash“), aus dem sich<br />
das Original nicht wiederherstellen lasse.<br />
Damit verspreche Apple mehr Schutz der<br />
Privatsphäre, der Fingerscan sei einfacher<br />
als die Kennworteingabe. Wer diese lieber<br />
meide, werde jenen mögen. Zum anderen<br />
Diebstahlschutz: In Verbindung mit<br />
dem neuen Betriebssystem iOS 7 könne<br />
ein gestohlenes Gerät nicht mehr in den<br />
Auslieferungszustand versetzt werden. Das<br />
Diebesgut werde wertlos. Das werde sich<br />
herumsprechen.<br />
In der Zeitschrift (Ausgabe 3-<strong>2013</strong>,<br />
S. 12–15) sieht Rüdiger Trost, F-Secure,<br />
in der mobilen Malware eine Bedrohung<br />
mit Zukunftspotential. Wenn immer mehr<br />
professi<strong>on</strong>elle Anwendungen über mobile<br />
Geräte laufen, würden sie auch interessanter<br />
für Entwickler mobiler Malware.<br />
Dabei sei das Betriebssystem mit dem<br />
größten Marktanteil auch das Angriffsziel<br />
Nummer 1: Malware werde vor allem für<br />
Android entwickelt. Ein weiterer wichtiger<br />
Trend sei die Zunahme v<strong>on</strong> Malware, die<br />
eine Verbindung zu Command and C<strong>on</strong>trol<br />
(C & C)-Servern erstellt: 123 der 149 v<strong>on</strong><br />
Januar bis März <strong>2013</strong> v<strong>on</strong> F-Secure neu<br />
entdeckten Bedrohungen sendeten über<br />
eine solche Verbindung Kommandos an das<br />
mobile Gerät, ohne dass der rechtmäßige<br />
Besitzer etwas dav<strong>on</strong> merke. Habe man erst<br />
einmal die K<strong>on</strong>trolle über ein Handy übernommen,<br />
so lasse sich ohne Weiteres damit<br />
Profit generieren – etwa durch die Veranlassung<br />
v<strong>on</strong> L<strong>on</strong>g Distance-Calls, während der<br />
Handy-Besitzer schläft. Mit dem „Online-<br />
Bankraub“ sei auch sch<strong>on</strong> eine noch lukrativere<br />
Disziplin der profitmotivierten Malware<br />
belegt. Malware werde zwar komplexer, lasse<br />
sich aber durch ein Angebot an Malware-<br />
Kits dennoch schnell entwickeln. Botnets<br />
würden mittlerweile auch zur Verbreitung<br />
mobiler Malware benutzt. Zugleich würden<br />
Aktivitäten immer zielgerichteter: Targeted<br />
Attacks seien im Windows-Bereich sch<strong>on</strong><br />
lange verbreitet, spielten aber nun auch im<br />
mobilen Malware-Markt eine große Rolle.<br />
Der Trend gehe zu immer leistungsfähigeren<br />
und kleineren mobilen Geräten, stellt<br />
Armin Leinfelder, baramundi software AG,<br />
im „special“ v<strong>on</strong> im Oktober <strong>2013</strong><br />
fest (S. 38/39). Die Grenzen zwischen den<br />
Geräteklassen würden unscharf. An diese<br />
Entwicklung müsse sich die IT-Administrati<strong>on</strong><br />
anpassen. Auch das Arbeitsverhalten<br />
ändere sich. So würden Dokumente<br />
unterwegs auf einem Mobilgerät beg<strong>on</strong>nen<br />
und später auf dem PC fertiggestellt, E-<br />
Mails und Kalender sollten überall verfügbar<br />
sein. Die Folge für die IT-Administrati<strong>on</strong>:<br />
Es müssten alle Geräte mit den nötigen<br />
Programmen, Daten und Rechten versorgt<br />
werden – und es müssten alle Geräte zuverlässig<br />
abgesichert werden.<br />
Notfallmanagement<br />
In der Zeitschrift (Ausgabe 3-<strong>2013</strong>,<br />
S. 74–76) befassen sich Manuela Reiss und<br />
Marco Sportelli, dokuit, mit der Notfallorganisati<strong>on</strong><br />
der IT. Aus den Ausführungen<br />
des BSI in dem 2008 veröffentlichten<br />
BSI-Standard 100-4 „Notfallmanagement“<br />
lasse sich klar ableiten, dass die Erstellung<br />
eines Notfallhandbuchs keine alleinige<br />
Aufgabe der IT-Organisati<strong>on</strong> sein könne,<br />
s<strong>on</strong>dern sich in ein übergeordnetes Notfallmanagement<br />
einbinden müsse. Die<br />
Autoren behandeln das Zusammenspiel im
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
21<br />
Notfallmanagement und mit den Inhalten<br />
des Notfallhandbuchs: Organisati<strong>on</strong>, Sofortmaßnahmen<br />
und Notfallbewältigung. Es sei<br />
ein zentrales Notfallhandbuch zu erstellen,<br />
das in der Verantwortung einer ebenso<br />
zentralen Notfallorganisati<strong>on</strong> liege und das<br />
durch Geschäftsfortführungs- und Wiederherstellungspläne<br />
ergänzt werde, welche<br />
die jeweiligen Fachbereiche erstellen.<br />
Nach der ASW-Mitteilung 054/13 hat das<br />
BSI eine Studie zum Thema „Notfallmanagement<br />
mit der Cloud für KMU“ veröffentlicht.<br />
Die Studie beleuchte Potenziale<br />
v<strong>on</strong> Cloud-Techniken für die Absicherung<br />
eines Ausfalls IT-gestützter Geschäftsprozesse<br />
in KMU. Ziel der Studie sei es,<br />
praxisnahe Methoden zur Notfallpräventi<strong>on</strong><br />
und -reakti<strong>on</strong> aufzuzeigen, die mithilfe moderner<br />
Virtualisierungs- und Cloud-Technologien<br />
umgesetzt werden können. Im Fokus<br />
stünde dabei eine Betrachtung der auf dem<br />
Markt verfügbaren Cloud-Angebote für<br />
das Notfallmanagement v<strong>on</strong> KMU sowie<br />
deren Einsatz in drei typischen Szenarien.<br />
Die Studie zeige, dass der Einsatz v<strong>on</strong><br />
Cloud-Techniken das Notfallmanagement<br />
sowie verschiedene K<strong>on</strong>tinuitätsstrategien<br />
v<strong>on</strong> Unternehmen verbessern können. Die<br />
Studie verdeutliche, dass in KMU durch den<br />
Einsatz v<strong>on</strong> Virtualisierungstechniken sowie<br />
v<strong>on</strong> Cloud-Diensten fast automatisch eine<br />
höhere Verfügbarkeit und Ausfallsicherheit<br />
der IT-gestützten Geschäftsprozesse<br />
erreicht wird.<br />
Perimeterschutz<br />
Peter Niggl, <strong>Security</strong> insight, stellt in Ausgabe<br />
5-<strong>2013</strong> (S. 52/53) ein „intelligentes“<br />
Zaunsystem mit Sensorik vor, das Eindringliche<br />
detektiert. Die Sicherheitstechnik<br />
sei unsichtbar. Eine gebe keine auffällige<br />
Infrastruktur. Bestandszäune ließen sich<br />
kostengünstig nachrüsten. Das modular<br />
aufgebaute Detekti<strong>on</strong>ssystem bestehe aus<br />
einem zurücksetzbaren Kippausleger sowie<br />
Claus Schaffner, WiK (Ausgabe 5-<strong>2013</strong>,<br />
S. 12–15), erläutert die im Juni vorgestellte<br />
Studie „The Human Cost of Maritime<br />
Piracy 2012“ v<strong>on</strong> „One Earth Future“. Es sei<br />
gelungen, die Gefahr der Überfälle durch somalische<br />
Piraten um etwa 78 % zu reduzieren,<br />
aber das Piraten-Risiko habe sich nun an<br />
die westafrikanische Küste verlagert. Der<br />
Golf v<strong>on</strong> Guinea sei inzwischen gefährlicher<br />
einzuschätzen als Somalia. Die finanziellen<br />
Einsatzkosten allein für die Somalia-Regi<strong>on</strong><br />
beziffere die Studie für 2012 mit rund 6<br />
Milliarden $, im Golf v<strong>on</strong> Guinea mit ca. 1<br />
Milliarde $. Die Dauer v<strong>on</strong> Geiselnahmen<br />
durch somalische Piraten habe im Durcheinem<br />
3D-Beschleunigungssensor der<br />
Firma Sysco. In den Zaunpfosten lägen die<br />
Nervenstränge des Systems. Die Sensoren<br />
registrierten nicht nur Körperschall, s<strong>on</strong>dern<br />
auch Erschütterung, Neigung und andere<br />
Bes<strong>on</strong>derheiten. Jeder Sensor habe eine<br />
Adresse, die im Managementsystem sofort<br />
die Alarmauslösung exakt lokalisiere.<br />
Piraterie<br />
schnitt <strong>11</strong> M<strong>on</strong>ate betragen. Abgesehen<br />
v<strong>on</strong> der psychischen Belastung bestünde<br />
die größte Gefahr für körperliche Gewalt und<br />
Folter vor allem für Besatzungen, die länger<br />
als Geiseln gehalten wurden. Insgesamt<br />
hätten seit 2009 vor den Küsten Somalias<br />
über 600 Menschen ihr Leben verloren. Für<br />
den Golf v<strong>on</strong> Guinea liste das Internati<strong>on</strong>al<br />
Maritime Bureau (IMB) die Küsten v<strong>on</strong> Nigeria,<br />
Benin, Togo und der Elfenbeinküste als<br />
bes<strong>on</strong>ders piratengefährdet auf. Geiselnahme<br />
und Entführung seien nicht das primäre<br />
Ziel der westafrikanischen Piraten. Ihnen<br />
gehe es eher um die Ladung. Das IMB habe<br />
2012 insgesamt 43 Meldungen v<strong>on</strong> Schiffen
22 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
erhalten, die im Golf v<strong>on</strong> Guinea attackiert<br />
wurden. 800 Seeleute seien dort v<strong>on</strong> einer<br />
Enterung betroffen gewesen, 206 als Geiseln<br />
genommen worden. 83 % der Attacken<br />
im Golf v<strong>on</strong> Guinea hätten mit der Enterung<br />
geendet. Schiffe würden meist vor Anker<br />
angegriffen oder während der Umladungen.<br />
Insgesamt verhielten sich laut Studie die<br />
Piraten vor Westafrika gewalttätiger als vor<br />
Somalia. Die Qualität der eingesetzten Waffen<br />
sei jener der Sicherheitskräfte überlegen.<br />
Immer weniger Piratenangriffe, titelt die<br />
FAZ am 18. Oktober. Ihre Zahl habe nach<br />
Angaben des Internati<strong>on</strong>alen Schifffahrtsbüros<br />
(IMB) den niedrigsten Stand seit<br />
sieben Jahren erreicht. Gleichwohl sei die<br />
Gefahr solcher Überfälle nach wie vor sehr<br />
groß. Laut dem Bericht seien in den ersten<br />
9 M<strong>on</strong>aten des Jahres <strong>2013</strong> insgesamt 188<br />
Piratenangriffe registriert worden. Im gleichen<br />
Vorjahreszeitraum seien es noch 233<br />
gewesen. 10 Schiffe seien in diesem Jahr<br />
bislang gekapert worden, 17 beschossen<br />
und 140 geentert. Dabei seien 266 Seeleute<br />
vorübergehend als Geisel genommen und<br />
34 entführt worden. Drastisch gesunken sei<br />
die Zahl der Angriffe vor Somalia. Lediglich<br />
10 der registrierten Fälle seien somalischen<br />
Piraten zugerechnet worden. Vor einem Jahr<br />
seien es noch 70 gewesen. Immer noch in<br />
der Hand v<strong>on</strong> somalischen Piraten seien<br />
Ende September zwei Schiffe mit 15 Seeleuten<br />
an Bord. 49 entführte Besatzungsmitglieder<br />
würden an Land festgehalten, 37 v<strong>on</strong><br />
ihnen bereits länger als zwei Jahre.<br />
Heise <strong>on</strong>line meldet am 16. Oktober, dass<br />
das Schiffsüberwachungssystem AIS v<strong>on</strong><br />
außen ohne Probleme manipuliert werden<br />
könne. Weder werde eine Authentifizierung<br />
eingefordert, noch würden AIS-Nachrichten<br />
verschlüsselt oder signiert. Praktisch ließen<br />
sich hierdurch Meldungen zu Schiffspositi<strong>on</strong>,<br />
Route, Name, Landeszugehörigkeit und<br />
Ladung verändern. Hacker könnten etwa<br />
gefälschte Datenpakete an die zentralen AIS-<br />
Server senden, um so die Fernüberwachung<br />
zu stören. Vorstellbar sei, dass Piraten vor<br />
Somalia dafür sorgen, dass Schiffe aus der<br />
AIS-Überwachung verschwinden.<br />
Produktpiraterie<br />
ASW-Securic<strong>on</strong> weist am 15. Oktober auf<br />
eine Pressek<strong>on</strong>ferenz im Zollkriminalamt<br />
hin, in der die europäische Kampagne gegen<br />
Produktpiraterie „Zu schön, um wahr zu<br />
sein?“ vorgestellt wurde, mit der die EU-Kommissi<strong>on</strong><br />
auf die Bedeutung der Marken- und<br />
Produktpiraterie als weltweit ernstes Problem<br />
für Verbraucher und Wirtschaft aufmerksam<br />
mache. Der weltweite Handel mit gefälschten<br />
Waren mache über 200 Milliarden Euro aus.<br />
Allein der deutsche Zoll habe 2012 Warenfälschungen<br />
im Wert v<strong>on</strong> fast 130 Milli<strong>on</strong>en Euro<br />
beschlagnahmt. Dabei handele es sich längst<br />
nicht mehr nur um Fälschungen v<strong>on</strong> Luxusgütern<br />
wie Markenuhren oder teure Designertextilien.<br />
Auch Güter des täglichen Bedarfs<br />
wie Arzneimittel, Elektrogeräte, Werkzeug und<br />
Maschinen würden gefälscht. In den vergangenen<br />
Jahren hätten sich dazu auch die Vertriebswege<br />
geändert. Fälscher nutzten heute<br />
moderne Internetplattformen, um ihre Waren<br />
möglichst an<strong>on</strong>ym aus dem nichteuropäischen<br />
Ausland unmittelbar an den Endverbraucher<br />
zu vertreiben.<br />
Rechenzentrumssicherheit<br />
Dipl.-Ing. Thomas Hübler, MPA Dresden<br />
GmbH, befasst sich in der Zeitschrift WiK<br />
(Ausgabe 5-<strong>2013</strong>, S. 60/61) mit dem physischen<br />
Schutz v<strong>on</strong> Daten in Rechenzentren.<br />
Eine Brandfrüherkennung mit aufgeschalteter<br />
automatischer Löschung des Entste-
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
23<br />
hungsbrandes sei immens wichtig. Um die<br />
Brandbeständigkeit der Datencenter gegenüber<br />
einem v<strong>on</strong> außen einwirkenden Brand<br />
nachzuweisen, könnten sich Betreiber an den<br />
Vorgaben der europäischen „IT-Brandnorm“<br />
EN 1047 für Wertbehältnisse Teil 1 (Datensicherungsschränke)<br />
und Teil 2 (Datensicherungsräume<br />
und –c<strong>on</strong>tainer) orientieren.<br />
Mit dem „Multi-Sensor“ zum Erkennen<br />
potenzieller Gefahren für den Serverraum wie<br />
Wassereinbruch, Überhitzung und Sabotage<br />
befasst sich Jörn Wehle, Kentix GmbH, in<br />
derselben Zeitschrift (S. 62–64). Eine Umfrage<br />
bei ca. 200 Behörden und KMU belege,<br />
dass solche Risiken vernachlässigt werden.<br />
80 % aller Serverräume und Racks seien<br />
physikalisch nicht adäquat abgesichert. Dabei<br />
könnten moderne Sensoren heute in einem<br />
Gerät kombiniert werden. Die Sensoren seien<br />
softwarebasiert. Die Schwellwerte der verschiedenen<br />
Sensoren für die Alarmauslösung<br />
seien in der Regel voreingestellt, könnten<br />
bei Bedarf aber auch individuell bestimmt<br />
werden. Entsprechende Algorithmen würden<br />
Risiken wie Brand, Überhitzung, Betauung,<br />
Sabotage oder den Verlust der Spannungsversorgung<br />
erkennen und berechnen. Der<br />
ideale Einbauort dieser Multisensoren sei v<strong>on</strong><br />
den räumlichen Gegebenheiten abhängig. In<br />
typischen Serverräumen würden diese rauchmeldergroßen<br />
Sensoren an der Decke des<br />
Raumes angebracht. Bei größeren Räumen<br />
würden mehrere Multisensoren eingesetzt.<br />
„Wie modular dürfen USV-Anlagen für Serverräume<br />
sein?“, fragt Oliver Woll, v<strong>on</strong> zur<br />
Mühlen‘sche GmbH, in der Fachzeitschrift<br />
IT-<strong>Security</strong> (Ausgabe 2-<strong>2013</strong>, S. 16/17). Die<br />
Entscheidung für das richtige USV-System<br />
im Serverraum werde im unteren Teillastbereich<br />
(20 bis 30 %) und unter schwierigsten<br />
Lastbedingungen getroffen. Der Betrieb einer<br />
einzigen – wenn auch in sich N+1-redundanten<br />
– modularen USV sei nur für Verbraucher<br />
mit geringeren Verfügbarkeitsansprüchen<br />
zu empfehlen. Würden zwei unabhängige<br />
Einzelblock-USV-Anlagen installiert, so<br />
könnten diese auch parallel geschaltet und<br />
somit erweitert werden. Im demselben Heft<br />
behandeln Ernesto Hartmann, InfoGuard AG,<br />
und Albert Brauchli, Juniper Networks Switzerland<br />
GmbH, die Sicherheit der nächsten<br />
Generati<strong>on</strong> für Rechenzentren (S. 20/21).<br />
Es sei heutzutage für businesskritische<br />
Internet-Services unerlässlich, einen DDoS-<br />
Schutz vorzusehen. Im zweiten Schritt identifiziere<br />
eine Intrusi<strong>on</strong>-Detecti<strong>on</strong>-Lösung den<br />
Hacker in Echtzeit und ermögliche flexible<br />
Reakti<strong>on</strong>sszenarien sowohl auf der Anwendungsebene<br />
als auch an der Netzwerk-<br />
Firewall. Die Autoren empfehlen die globale<br />
Junos-Spotlight Secure Hacker-Datenbank.<br />
Angreifer würden durch die Junos WebApp<br />
Secure-Plattform eindeutig identifiziert. Dies<br />
geschehe anhand eines Fingerabdrucks des<br />
Hackers mit über 200 einzigartigen Merkmalen.<br />
Jedes neue Profil werde sogleich global<br />
verfügbar gemacht.<br />
Risikomanagement<br />
In der Fachzeitschrift (Ausgabe<br />
3-<strong>2013</strong>, S. 88–92) gibt Roland Erben, Risk<br />
Management Associati<strong>on</strong> e.V., einen Überblick<br />
über Gesetze, Standards und Methoden<br />
zum Risikomanagement. Gesetze,<br />
Standards und Begrifflichkeiten erschwerten<br />
die Auswahl einer geeigneten Methodik,<br />
aber diese Herausforderung sei zu meistern.<br />
Entscheider müssten das Risikomanagement<br />
heute als einen integralen Bestandteil<br />
v<strong>on</strong> Organisati<strong>on</strong>sprozessen verstehen und<br />
Methoden in diesem Sinne systematisch,<br />
strukturiert und zeitgemäß auswählen. In<br />
diesem K<strong>on</strong>text zählten Frühwarnsysteme als<br />
zusätzliche und probate Mittel der Unternehmenssteuerung.<br />
Wichtig sei eine v<strong>on</strong> der<br />
Firmenleitung vorgelebte Unternehmenskultur<br />
in puncto Prozesse, Risikowahrnehmung<br />
und Awareness.<br />
In derselben Ausgabe fordern Dipl.-Ingenieur<br />
Dirk Kalinowski, AXA Versicherung AG, Dr.
24 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
Keye Moser, SIZ GmbH, und Götz Schartner,<br />
8com GmbH, die Integrati<strong>on</strong> v<strong>on</strong> IT-Risiken<br />
in das ganzheitliche Risikomanagement.<br />
Für die Definiti<strong>on</strong> des Risikomanagementprozesses<br />
bevorzugen die Autoren eine<br />
Orientierung an der sehr generischen ISOP<br />
31000, da sie übergreifend anwendbar sei<br />
und internati<strong>on</strong>ale Akzeptanz erfahren habe.<br />
Sie lasse sich auch auf IT- und Informati<strong>on</strong>srisiken<br />
übertragen. Behandelt werden<br />
der Risikomanagementprozess, die Bedrohungsanalyse,<br />
die Risikoanalyse sowie die<br />
Aggregati<strong>on</strong> v<strong>on</strong> Risiken und Bewältigungsmaßnahmen.<br />
Die Integrati<strong>on</strong> v<strong>on</strong> IT-Risiken<br />
in ein unternehmerisches, wertorientiertes<br />
Risikomanagementsystem fördere das Verständnis<br />
zwischen IT- und kaufmännischen<br />
Fachkräften und erlaube es, angemessene<br />
Maßnahmen zu bestimmen und entsprechend<br />
zu budgetieren.<br />
Schlüsselmanagement<br />
<strong>Security</strong> insight weist in der Ausgabe<br />
3-<strong>2013</strong> (S. 58/59) auf den 2010 in Kraft<br />
getretenen „Cruise Vessel <strong>Security</strong> & Safety<br />
Act“ (CVSSA) – auch bekannt als „Kerry Bill“ -<br />
hin, das für jedes Kreuzfahrtschiff gelte, das<br />
in einen amerikanischen Hafen einläuft. Unter<br />
den zahlreichen Vorgaben des Gesetzes<br />
fänden sich auch signifikante Anforderungen<br />
an die Zugangs- und K<strong>on</strong>trollverfahren für<br />
Besatzungsmitglieder. Gefordert werde ein<br />
System, das den Zugriff auf jeden einzelnen<br />
Schlüssel sowohl pers<strong>on</strong>en- als auch<br />
zeitbezogen k<strong>on</strong>trolliert, dokumentiert sowie<br />
definierte Zeitfenster überwacht. Der Anbieter<br />
Traka erfülle dieses Ziel mit Hilfe seiner<br />
netzwerkgesteuerten elektr<strong>on</strong>ischen Schlüsselschränke.<br />
Aufgrund der intuitiv bedienbaren,<br />
mit einer interaktiven realgrafischen<br />
Oberfläche ausgestatteten Software sei der<br />
zuständige Sicherheitsoffizier in kürzester<br />
Zeit in der Lage, das Gesamtsystem zu verwalten.<br />
Über die Datenbank-Kommunikati<strong>on</strong><br />
würden ihm Status und Alarme unmittelbar<br />
gemeldet.<br />
Schwarzarbeit<br />
Rechtsanwalt Dr. Wolfgang Frisch erläutert in<br />
WiK (Ausgabe 5-<strong>2013</strong>, S. 54–56) ein neues<br />
BGH-Urteil (v. 1.8.<strong>2013</strong>) zur rechtlichen<br />
Beurteilung v<strong>on</strong> Schwarzarbeitsverträgen.<br />
Er geht in dieser Entscheidung v<strong>on</strong> der<br />
Nichtigkeit des Gesamtvertrages aus. Bei<br />
einseitigem Verstoß gegen das Schwarzarbeitsgesetz<br />
habe der Besteller einen Anspruch<br />
auf ordnungsgemäße Erfüllung durch<br />
den Errichter und dieser dann auch Anspruch<br />
auf Leistung der vereinbarten Vergütung. Bei<br />
beiderseitigem Verstoß habe der Errichter<br />
dagegen keinen Anspruch auf den vertraglichen<br />
Werklohn und könne nur Wertersatz für<br />
seine Leistung verlangen. Bei der Bemessung<br />
des Wertersatzes seien erhebliche Abschläge<br />
als Ausgleich für die nicht bestehenden<br />
Gewährleistungsansprüche vorzunehmen.<br />
Hierbei seien Abschläge v<strong>on</strong> 15 bis 50 %<br />
anzusetzen.<br />
Sicherheitsmarkt<br />
WiK weist in der Ausgabe 5-<strong>2013</strong> (S. 50)<br />
darauf hin, dass der US-Sicherheitsmarkt<br />
2012 rund 350 Milliarden $ schwer gewesen<br />
sei. 202 Milliarden $ seien auf die<br />
„klassische“ Sicherheit, 80 auf die IT-Sicherheit<br />
entfallen, mit erwarteten Zuwächsen<br />
<strong>2013</strong> bei der klassischen Sicherheit v<strong>on</strong> 5 %,<br />
bei der IT-Sicherheit v<strong>on</strong> 9 %. Eine Studie<br />
v<strong>on</strong> RNCOS erwartet für den weltweiten<br />
Videoüberwachungsmarkt zwischen <strong>2013</strong>
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
25<br />
und 2017 ein durchschnittliches Wachstum<br />
v<strong>on</strong> jährlich 14 %. Dabei würden IP-basierte<br />
Systeme und die Datenspeicherung in IP<br />
Storage Are-Netzwerken die wichtigsten<br />
Umsatzträger sein.<br />
Social Engineering<br />
Dr. Carsten Hesse, Riskworkers GmbH, analysiert<br />
in der WiK (Ausgabe 5-<strong>2013</strong>, S. 22–26)<br />
Tricks der Angreifer beim Social Engineering.<br />
Manipuliert werde, seit es Geheimnisse<br />
gibt, die andere erfahren wollen. Neu seien<br />
Effizienz und Zielgenauigkeit der Manipulati<strong>on</strong>en,<br />
das Social Engineering. Psychologisch<br />
betrachtet gebe es drei motivati<strong>on</strong>ale Faktoren,<br />
die eine Manipulati<strong>on</strong> begünstigen: Angst,<br />
Gier und Dezifizite im Selbstk<strong>on</strong>zept. Eine<br />
Manipulati<strong>on</strong>smöglichkeit bestehe im Vortäuschen<br />
des Anrufs eines Headhunters, der eine<br />
attraktive Positi<strong>on</strong> offeriert. Der Autor schildert<br />
verschiedene Gesprächstechniken. Bei der<br />
ersten K<strong>on</strong>taktsituati<strong>on</strong> täusche der Agent<br />
oft vor, die Zielpers<strong>on</strong> zufällig zu treffen. Sie<br />
werde oft im vertrauten Umfeld angesprochen,<br />
in der sie sich sicher fühlt und eine zufällig<br />
Unterhaltung zwischen Fremden normal ist.<br />
Günstig sei es, wenn der Agent über eine<br />
gewisse Ähnlichkeit zur Zielpers<strong>on</strong> hinsichtlich<br />
Auftreten, Physiognomie, Dialekt, Sprachstil<br />
und Herkunft verfügt. Beim Erstk<strong>on</strong>takt<br />
werde so Akzeptanz erzeugt. Als Manipula-<br />
tive Gesprächstechnik werde oft das K<strong>on</strong>zept<br />
der Reziprozität angewandt: Im Verlauf<br />
eines Gesprächsk<strong>on</strong>takts erwähne der Agent<br />
beiläufig, dass er aktuell bestimmte Schwierigkeiten<br />
habe. Gemäß der Reziprozität fühle<br />
sich der Gesprächspartner verpflichtet, auf die<br />
Preisgabe einer persönlichen Informati<strong>on</strong> mit<br />
einer vergleichbaren Offenbarung seinerseits<br />
zu reagieren. Eine andere Gesprächstechnik<br />
sei das „Cold-Reading“: Unter Verwendung<br />
v<strong>on</strong> allgemeingültigen Halbwahrheiten, denen<br />
praktisch jeder zustimmen kann, werde ein<br />
tiefer gehendes Verständnis des Gesprächspartners<br />
suggeriert. Dieser werde dann auf<br />
Basis einer angenommenen Vertrautheit dazu<br />
verleitet, dem Manipulator weitere persönliche<br />
Informati<strong>on</strong>en mitzuteilen. Hilfreich sei auch<br />
die Gesprächstechnik des sogenannten „Synchr<strong>on</strong>isierens“:<br />
Mitteilungen des Gesprächspartners<br />
würden dabei in verschiedenen Variati<strong>on</strong>en<br />
wiederholt. Man höre nur die eigenen<br />
Worte in immer anderer Abwandlung. Der<br />
Gesprächspartner empfinde ein hohes Maß<br />
an Verständnis und Akzeptanz.<br />
Spi<strong>on</strong>age<br />
Für den Schutz der IT-Infrastruktur vor<br />
Spi<strong>on</strong>ageangriffen empfiehlt Thorsten Urbanski,<br />
G Data Software AG, in der Fachzeitschrift<br />
(Ausgabe 5-<strong>2013</strong>, S. 40/41),<br />
IT <strong>Security</strong>-Hersteller auszuwählen, die das<br />
Teletrust T-Qualitätssiegel „IT-<strong>Security</strong> made<br />
in Germany“ tragen und sich zur Erfüllung<br />
folgender 5 Kriterien verpflichtet haben:<br />
1. Der Unternehmenshauptsitz muss in<br />
Deutschland liegen.<br />
2. Das Unternehmen muss vertrauenswürdige<br />
IZT-Sicherheitslösungen anbieten.<br />
3. Die angebotenen Produkte dürfen keine<br />
versteckten Zugänge enthalten.<br />
4. Die IT-Sicherheitsforschung und -entwicklung<br />
des Unternehmens muss in<br />
Deutschland stattfinden.<br />
5. Das Unternehmen muss sich verpflichten,<br />
den Anforderungen des deutschen<br />
Datenschutzrechts zu genügen.<br />
Der Autor behandelt folgende Probleme<br />
und Handlungsempfehlungen: 1. Cloud-<br />
Nutzung vorab regeln, 2. Cyberspi<strong>on</strong>age
26 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
v<strong>on</strong> innen vermeiden, 3. Software-Sicherheitslücken<br />
schließen, 4. Patch-Management<br />
in den Grundschutz-Katalogen<br />
beachten.<br />
Jan Roßmann, n.runs professi<strong>on</strong>als, behandelt<br />
in der WiK (Ausgabe 5-<strong>2013</strong>, S. 30–32)<br />
die Sicherheit v<strong>on</strong> Videok<strong>on</strong>ferenzen. Eine<br />
abgesicherte Implementierung erfordere<br />
die detaillierte Betrachtung sowohl der<br />
Infrastruktur als auch der einzelnen Komp<strong>on</strong>enten<br />
der Lösung. Es empfehle sich,<br />
möglichst frühzeitig Spezialisten einzubinden,<br />
die den Blickwinkel eines Angreifers<br />
einbringen und so potenzielle Schwachstellen<br />
frühzeitig erkennen. Anhand der<br />
Komp<strong>on</strong>enten des Marktführers Polycom<br />
würden für einen sicheren Aufbau der<br />
Videok<strong>on</strong>ferenzlösung mindestens vier Sicherheitsz<strong>on</strong>en<br />
benötigt: externe, direkt mit<br />
dem Internet verbundene Systeme; Systeme,<br />
die aus dem Internet direkt angespro-<br />
chen werden; interne Serversysteme, deren<br />
Funkti<strong>on</strong>alitäten auch für externe Benutzer<br />
zur Verfügung stehen und rein interne<br />
Systeme. Nur mit einem derart segmentierten<br />
„Defense in Depth“-Ansatz ließen sich<br />
die Verbindungen zwischen den Systemen<br />
mit unterschiedlicher Sicherheitseinstufung<br />
entsprechend k<strong>on</strong>trollieren.<br />
Die FAZ meldet am 14. Oktober, die Deutsche<br />
Telekom wolle den deutschen Internetverkehr<br />
innerhalb der Landesgrenzen<br />
belassen, um die Kunden vor Spi<strong>on</strong>age zu<br />
schützen. Zu diesem Zweck solle die Telekom<br />
mit allen wichtigen Geschäftspartnern<br />
in Deutschland vereinbaren, dass E-Mails<br />
und anderer Informati<strong>on</strong>saustausch<br />
nur noch über deutsche Knotenpunkte<br />
geleitet werden. Beim Transport zwischen<br />
Sendern und Empfängern in Deutschland<br />
solle garantiert werden, dass kein Byte<br />
Deutschland verlässt.<br />
Terrorismus<br />
Die Zeitschrift WiK (Ausgabe 5-<strong>2013</strong>,<br />
S. 8) weist auf den jährlichen US-Bericht<br />
zum Terrorismus hin. Danach habe es im<br />
Jahr 2012 insgesamt 6.771 Terroranschläge<br />
gegeben. Die Hälfte habe sich in Pakistan,<br />
im Irak und in Afghanistan ereignet.<br />
V<strong>on</strong> den weltweit ca. <strong>11</strong>.000 Toten und<br />
21.600 Verletzten entfielen auf diese drei<br />
Länder 62 %. Als aktuell gefährlichste<br />
Länder würden Syrien und Nigeria genannt.<br />
V<strong>on</strong> rund 160 bekannten Terror-Organisati<strong>on</strong>en<br />
seien die Taliban am aktivsten, gefolgt<br />
v<strong>on</strong> Boko Haram und Al-Qaida. 62 % der<br />
Anschläge seien mit Sprengstoff verübt<br />
worden, 25 % mit Waffengewalt.<br />
Unternehmenssicherheit<br />
„Was sind die typischen Sicherheitslecks<br />
bei Unternehmen?“, fragt die FAZ am<br />
26. September in einem Verlagsspezial für den<br />
Mittelstand. 1. Unternehmen nähmen allzu<br />
häufig Risiken in Kauf. 2. Selbst langjährige<br />
Mitarbeiter, die als sehr vertrauenswürdig<br />
gelten, gehörten zum Kreis derer, die<br />
geheime Informati<strong>on</strong>en für sich nutzen und<br />
bewusst an die K<strong>on</strong>kurrenz weitergeben<br />
würden. 3. Wenn die Produkti<strong>on</strong>sanlagen<br />
mit dem Internet verbunden sind, seien sie<br />
den gleichen Gefahren ausgesetzt wie der<br />
PC im Büro. 4. Vertriebsmitarbeiter, Sekretäre<br />
und Ingenieure würden als die besten<br />
Quellen für K<strong>on</strong>kurrenzbeobachter gelten,<br />
um an geheime Infos zu kommen. 5. Websites,<br />
soziale Netzwerke und Datenbanken<br />
seien wahre Goldgruben für findige Analysten.<br />
Bei der Vorstellung v<strong>on</strong> Produkten sollte<br />
man nur die nötigsten Informati<strong>on</strong>en zu Bauund<br />
Funkti<strong>on</strong>sweise preisgeben. 6. Wenn<br />
das Unternehmen den Mitarbeitern erlaubt,
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
27<br />
private Laptops auch bei der betrieblichen<br />
Arbeit zu benutzen, könne es passieren,<br />
dass aus Versehen bei der privaten Nutzung<br />
Viren eingeschleust werden und so geheime<br />
Daten auf dem Gerät in Gefahr kommen<br />
könnten. 7. Weil es immer wieder passiere,<br />
dass Mitarbeiter Unterlagen aus dem<br />
Unternehmen versehentlich irgendwo liegen<br />
lassen, sollten sie darin geschult werden,<br />
keine geheimen Unterlagen ausgedruckt<br />
mitzunehmen.<br />
Nach Überzeugung v<strong>on</strong> Michael Helisch,<br />
HECOM <strong>Security</strong>-Awareness C<strong>on</strong>sulting, zielt<br />
<strong>Security</strong>-Awareness auf Verhaltensänderung<br />
ab. Und umfassende <strong>Security</strong> Awareness-Aktivitäten<br />
enthielten zudem wesentliche Elemente<br />
v<strong>on</strong> Organisati<strong>on</strong>sentwicklungsprojekten.<br />
Indem sich der Einzelne verändere, verändere<br />
sich auch das System (Ausgabe 3-<strong>2013</strong> der<br />
Zeitschrift , S. 86/87).<br />
Neue Wege zur <strong>Security</strong> Awareness<br />
empfiehlt Sven Leidel, ASI Europe, in der<br />
Ausgabe 5-<strong>2013</strong> der Zeitschrift WiK<br />
(S. 46/47). Bei der Methodenwahl helfe<br />
es, zwei grundlegende Voraussetzungen<br />
für ein langfristiges Sicherheitsbewusstsein<br />
näher zu betrachten: die nachhaltige<br />
Wissensvermittlung und den standardisierten<br />
Trainingserfolg. Beide Faktoren<br />
sollten berücksichtigt werden. Die Form<br />
des Präsenztrainings „Face to face“ gelange<br />
schnell an ihre Grenzen. Bei größerer Mitarbeiterzahl<br />
seien hohe Kosten zu erwarten,<br />
und der persönliche Charakter des Präsenzunterrichts<br />
gehe verloren. Als methodische<br />
Alternativen empfiehlt der Autor das<br />
multimediale E-Learning und das integrierte<br />
Lernen. Das sogenannte „blended Learning“<br />
vereine sowohl die klassische Methode des<br />
>Präsenz-Unterrichts als auch das moderne<br />
E-Learning.<br />
Videoüberwachung<br />
Die Fachzeitschrift Protector hat im September<br />
das Special Videoüberwachung mit<br />
vielen interessanten Beiträgen herausgegeben.<br />
Den Schwerpunkt bildet das „9. PRO-<br />
TECTOR Forum Videoüberwachung <strong>2013</strong>“.<br />
Nachfolgend werden Äußerungen einzelner<br />
Diskussi<strong>on</strong>steilnehmer wiedergegeben.<br />
1. Zunächst sei es darum gegangen, wie<br />
sich die Überwachungskameras in den letzten<br />
Jahren hin zu immer höheren Auflösungen<br />
und zunehmend smarten Komp<strong>on</strong>enten<br />
entwickelt haben und welchen<br />
Nutzen dies heute in der Praxis bringe<br />
(S. 10–16). „720p“ habe sich quasi als Standard<br />
für Überwachungskameras etabliert. Auch<br />
„1080p“ spiele eine wachsende Rolle. Aber<br />
in den höheren Megapixel-Bereich dringe<br />
man nur vor, wenn es die Anforderungen<br />
ausdrücklich voraussetzen – etwa wenn es<br />
auf extreme Detailgenauigkeit ankomme<br />
oder es in die Flächenüberwachung hineingehe.<br />
Die digitale VGA-Kamera sei abseits<br />
der Low Budget-Lösung kaum noch lebensfähig,<br />
da seien sich die Experten einig. Was<br />
trotz jahrelanger Grabesreden noch recht<br />
lebendig sei, sei die Analogtechnik. Hinsichtlich<br />
der „1080p-Kameras“ dürfe man auch<br />
nicht vergessen, dass es hierbei hauptsächlich<br />
um den sogenannten Upgrade-Markt<br />
gehe. Der habe noch andere Technologien<br />
hervorgebracht, die eine Brücke schlagen<br />
zwischen analogen Altsystemen und der<br />
hochauflösenden digitalen Welt v<strong>on</strong> heute.<br />
HD-SDI benötige hochwertige Koaxial-Netze.<br />
Natürlich könne es vereinzelt Probleme<br />
mit der vorhandenen Koaxialverkabelung<br />
geben, aber trotzdem sei die Umrüstung v<strong>on</strong><br />
analogen Anlagen auf Full-HD eine interessante<br />
und kostensparende Alternative zu IP.<br />
Was bei HD-SDI öfter bemängelt werde, sei<br />
die Deckelung der Auflösung – bei 1080p sei<br />
Schluss. Oberhalb dav<strong>on</strong> beginne die Liga<br />
der ausschließlich IP-basierten Megapixelkameras.<br />
Sie hätten vor allem in speziellen<br />
Anwendungen ihren Markt. Überall dort, wo<br />
es um die Überwachung v<strong>on</strong> großen Arealen<br />
geht, könnten solche Systeme ihre Stärken
28 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
bes<strong>on</strong>ders gut ausspielen, wie zum Beispiel<br />
große Werkshallen, Schwimmbäder, Logistikunternehmen,<br />
Bahnhöfe und dergleichen.<br />
Als vermeintliche Nischentechnik und als<br />
Trendprodukte würden die heute in vielfältiger<br />
Form erhältlichen Panorama- und<br />
Fisheye-Modelle gelten. Fisheyes seien nur<br />
bedingt für die Identifikati<strong>on</strong> einsetzbar. Die<br />
3D-Videotechnik scheine momentan noch<br />
wenig Relevanz zu besitzen. Neue Verfahren<br />
und Standards stünden sch<strong>on</strong> in den<br />
Startlöchern. Man beobachte bereits die<br />
Potenziale der neuen 4K-Auflösung, die aus<br />
der Digitalkino-Technik komme.<br />
2. Im Anschluss diskutierten die Experten<br />
über die Auswirkungen v<strong>on</strong> HD und<br />
Megapixel auf Peripherie und Netzwerk.<br />
Dabei habe das reibungslose Zusammenspiel<br />
verschiedener Komp<strong>on</strong>enten im Fokus<br />
gestanden (S. 18–23). Wenn man in den<br />
hochauflösenden Bereich gehe, dann bitteschön<br />
nicht nur in der Kamera, s<strong>on</strong>dern bei<br />
allen Komp<strong>on</strong>enten. Das sei aber längst nicht<br />
allen Anwendern bewusst. Das Objektiv sei<br />
ein wesentlicher Faktor, der die Bildqualität<br />
enorm beeinflusse. Und daher nütze<br />
es natürlich nichts, wenn die Kamera fünf<br />
Megapixel liefern könnten, man dav<strong>on</strong> aber<br />
ein minderwertiges Kunststoffobjektiv, zum<br />
Beispiel ohne asphärische Linsenelemente,<br />
habe, das diese Auflösung gar nicht abbilden<br />
könne. Es sei auch eine Erkenntnis der<br />
letzten Jahre, dass sogenannte Megapixel-<br />
Objektive durchaus megapixeltauglich seien,<br />
aber oft nur in der Bildmitte, nicht an den<br />
Rändern. Auch an der M<strong>on</strong>itorfr<strong>on</strong>t halte<br />
sich mancher gerne mit Investiti<strong>on</strong>en zurück.<br />
Dem C<strong>on</strong>sumer-M<strong>on</strong>itor fehlten meistens<br />
die wesentlichen Eigenschaften, die einen<br />
<strong>Security</strong>-M<strong>on</strong>itor auszeichnen. Das betreffe<br />
neben der allgemeinen Bildqualität zum<br />
Beispiel den Einbrennschutz und natürlich<br />
vorrangig den „24/7-Betrieb“. Ein sehr starker<br />
Trend seien heute integrierte IR-Strahler<br />
in Kameras. Die Netzwerkinfrastruktur sei ein<br />
nicht zu vernachlässigender Faktor bei der<br />
Implementierung v<strong>on</strong> Videolösungen. Mit<br />
steigenden Sensorauflösungen stiegen auch<br />
die benötigten Bandbreiten im Netzwerk.<br />
Es mache aber keinen großen Unterschied<br />
mehr, ob man an ein Netzwerkkabel eine<br />
VGA-Kamera oder eine Megapixelkamera anschließt.<br />
Selbst die höhere Bandbreite habe<br />
in heutigen Zeiten kaum eine Auswirkung,<br />
weil häufig bereits Gigabit-Switche installiert<br />
seien. Bei bestehenden Netzwerken, die<br />
man für Video mit benutzen möchte, sollte<br />
man vorher immer eine Netzwerkanalyse<br />
machen. Ebenfalls nicht zu vernachlässigen<br />
seien die Kompressi<strong>on</strong>smethoden für HD-<br />
Formate. Eine weitere wesentliche Frage<br />
sei, wie viel einer Megapixelauflösung durch<br />
starke Kompressi<strong>on</strong> verloren gehe. Mit dem<br />
Stichwort Speicherung sei der letzte Aspekt<br />
angesprochen, der mit zunehmender Auflösung<br />
kritisch werden könne. Ein Engpass<br />
liege auch bei den Festplatten selbst.<br />
3. Im dritten Teil des Forums ging es um<br />
die grundsätzlichen Philosophien v<strong>on</strong><br />
zentralen und dezentralen Systemen<br />
sowie um ihre k<strong>on</strong>kreten Vor- und Nachteile<br />
(S. 24–35). Viele Videoanalysefunkti<strong>on</strong>en,<br />
v<strong>on</strong> der Bewegungsdetekti<strong>on</strong> bis hin<br />
zur Kennzeichenerkennung, seien auf der<br />
Kamera heute sehr gut und auch günstiger<br />
zu betreiben als auf einem Server. Dennoch<br />
müsse man dabei auch die Qualität bedenken.<br />
Unter Umständen reiche es auch, auf<br />
den Kameras eine Voranalyse zu machen.<br />
Die nötige Rechenleistung sei dort ohnehin<br />
vorhanden. Ganz dav<strong>on</strong> abgesehen würden<br />
als Videoanalyse zum Beispiel auch Verdrehschutz,<br />
Blendungserkennung oder auch<br />
Rauscherkennung definiert. Videoanalyse<br />
werde in der Kamera heute nicht nur zur<br />
Alarmierung genutzt, s<strong>on</strong>dern auch zur Verbesserung<br />
des Bildes. Wenn beispielsweise<br />
ein Objekt erkannt wird, werde es mittels<br />
dynamischer Kompressi<strong>on</strong> besser dargestellt,<br />
während der Hintergrund weniger detailliert<br />
wiedergegeben werde. Egal, welche<br />
System architektur man wähle, ihr müsse<br />
immer eine sorgfältige Planung zugrunde<br />
liegen. Dezentrale und zentrale Systeme<br />
seien nicht messerscharf zu trennen. Im<br />
Grunde gebe es in jedem System Teilberei-
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
29<br />
che, die man besser zentral organisiert, und<br />
es gebe Funkti<strong>on</strong>en, die man dezentralisiert.<br />
Ein dezentrales System lasse sich relativ<br />
leicht erweitern. Bei einem zentralen System<br />
komme man je nach Größenordnung der<br />
Erweiterung um die Hinzunahme weiterer<br />
kostenintensiver Server nicht herum. Die<br />
Verfügbarkeit könne durch eine dezentrale<br />
Intelligenz deutlich erhöht werden. Dagegen<br />
sei eine zentrale Lösung meist einfacher zu<br />
sichern als eine dezentrale – vor allem, was<br />
die Aufzeichnung betrifft. Falle der Server<br />
aus, seien die Aufzeichnungen aller Kameras<br />
verschwunden. Hier liege der Ausweg in<br />
einer angemessenen Redundanz. Wenn man<br />
Videoanalyse auf Servern betreibe, brauche<br />
man entsprechend hohe Rechenleistung.<br />
Plane man seriös, liefen die Server mit<br />
maximal 70 % Auslastung. Kaum ein Aspekt<br />
v<strong>on</strong> dezentralen Lösungen werde so leidenschaftlich<br />
debattiert wie die lokale Speicherung<br />
v<strong>on</strong> Videobildern auf der Kamera. Für<br />
die einen sei dies ein absolutes No-Go, für<br />
andere ein Gimmick, und für andere wiederum<br />
eine nützliche Funkti<strong>on</strong> für bestimmte<br />
Anwendungen. Bei wachsenden Videoanlagen<br />
sei der clevere und investiti<strong>on</strong>ssch<strong>on</strong>ende<br />
Umgang mit bestehenden Komp<strong>on</strong>enten<br />
wichtig. Encoder seien nur dazu da, vorübergehend<br />
die existierenden Kameras in das<br />
neue System zu integrieren. Ein K<strong>on</strong>zept,<br />
das die Investiti<strong>on</strong>en des Kunden wirklich<br />
schützt, sei der Ansatz einer Softwareoberfläche,<br />
die vorhandene analoge Technik<br />
aufnimmt und vollumfänglich unterstützt.<br />
Ein anderer Beitrag in dem „Special“ behandelt<br />
die Lichtempfindlichkeit aktueller IP-<br />
Überwachungskameras. Moderne, höchst<br />
lichtempfindliche IP-Kameras böten sich als<br />
leistungsfähigere und finanzierbare Alternative<br />
zu bisheriger analoger Kamera- und<br />
Aufzeichnungstechnik an. Hochauflösende<br />
Tag-/Nacht-Netzwerkkameras vereinten<br />
neben der Gewinnung eines scharfen Bildes<br />
für eine verwertbare Analyse die Funkti<strong>on</strong>en<br />
Bildverarbeitung, Bildanalyse, Kompressi<strong>on</strong>,<br />
Speicherung und sichere Übertragung der<br />
Bilddaten. Die Bilderfassung in HD(720p)<br />
und Full-HD(1080p) übernähmen CMOS-<br />
Sensoren mit äußerst hoher Lichtempfindlichkeit.<br />
Nachtaufnahmen, bei denen das<br />
Bildsignal mit nur geringer Lichtmenge auf<br />
die einzelnen Bildpunkte des CMOS-Sensors<br />
trifft, seien geprägt v<strong>on</strong> einem starken Rauschen.<br />
Die nötige Verstärkung des Bildsignals<br />
produziere eine große Datenmenge mit<br />
nur geringem Anteil an nutzbarem Inhalt.<br />
Hier setzten die jeweiligen Rauschunterdrückungs-<br />
und Rauschfilteralgorithmen an, um<br />
neben der Erhöhung des Nutzsignals die<br />
Kostenfaktoren Rechenkapazität, Übertragungsbandbreite<br />
und Speicherbedarf zu<br />
reduzieren. Die technologisch führenden<br />
Anbieter hoch-lichtempfindlicher IP-Kameras<br />
nutzten ihre jeweiligen Stärken und Erfahrungen<br />
bei der Neu- und Weiterentwicklung<br />
der Komp<strong>on</strong>enten zu ihren aktuellen<br />
Gesamtlösungen. Vorgestellt werden in<br />
dem Beitrag das System Ipela Engine v<strong>on</strong><br />
S<strong>on</strong>y, die Lightfinder-Technologie v<strong>on</strong> Axis<br />
Communicati<strong>on</strong>s, die Starlight-Technologie<br />
der Bosch-Entwickler und Super Lolux HD<br />
v<strong>on</strong> JVC. Selbst wenn verschieden gewichtete<br />
Lösungsansätze zur Verbesserung der<br />
Lichtempfindlichkeit verfolgt würden, das<br />
Zusammenspiel der Komp<strong>on</strong>enten im Gesamtsystem<br />
sichere letztlich das Qualitätsniveau<br />
(S. 40–43).<br />
In derselben Ausgabe der Zeitschrift beschreibt<br />
Ludwig Bergschneider, ASP AG,<br />
die verbesserte analoge Videoqualität durch<br />
den neuen 960H-Standard (S. 44/45). Die<br />
analoge Videotechnik werde noch über viele<br />
Jahre auf steigendem Niveau weiter verwendet<br />
werden. Die wichtigsten Gründe hierfür<br />
seien einerseits die bereits verlegten Koaxialkabel<br />
und andererseits die relativ günstigen<br />
Komp<strong>on</strong>enten der Systeme. Um aber<br />
dennoch mit den steigenden Anforderungen<br />
an Qualität und Auflösung Schritt halten<br />
zu können, bedürfe es neuer technischer<br />
Ansätze. Mit dem Standard 960H (oder<br />
auch HD-Analog) gelinge dies ohne massive<br />
Neuinvestiti<strong>on</strong>en. Aus technologischer<br />
Sicht liege der Hauptvorteil des Standards<br />
in der höheren Auflösung. Aber auch der
30 <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
weite Dynamikbereich und eine k<strong>on</strong>stante<br />
Leistung bei schlechten Lichtverhältnissen<br />
zählten zu den Vorteilen. Aus Sicht<br />
v<strong>on</strong> Anwendern und Errichtern sei 960H<br />
ebenfalls unkompliziert zu nutzen, denn es<br />
sei voll abwärtskompatibel zum herkömmlichen<br />
PAL-Standard. Steve Ma, Vivotek<br />
Inc., befasst sich mit Fischaugen-Kameras<br />
zur Überwachung (S. 46/47). Der Vorteil<br />
eines Fischaugen-Objektivs im Vergleich zu<br />
anderen 360 Grad-Kameras seien die geringeren<br />
Kosten und die niedrigere Anfälligkeit<br />
für Fehler aufgrund der angeschlossenen<br />
Hardware. Auch gebe es keine Datenverluste<br />
und toten Winkel, die durch ein ungenaues<br />
Zusammenfügen v<strong>on</strong> Bildern entstehen.<br />
Eine für einen 180 Grad-Panoramablick<br />
ausgestattete Fischaugen-Kamera oder<br />
eine 360 Grad-Fischaugen-Kamera ohne<br />
tote Winkel hätten ein achtmal breiteres<br />
Blickfeld als herkömmliche VGA-Kameras,<br />
so dass weniger Kameras installiert werden<br />
müssten. Sie böten für unterschiedliche<br />
Einsatzformen verschiedene Darstellungsmöglichkeiten<br />
wie die ursprüngliche<br />
Rundumsicht, den Panoramablick sowie<br />
Bereichsansichten. Hochauflösende Fischaugen-Kameras<br />
hätten eine breite Bereichsabdeckung<br />
und eine hohe Auflösung, eine<br />
hervorragende Bildqualität, ein robustes<br />
Design, benutzerfreundliche Anwendungen<br />
für die Steuerung über Handheld-Geräte<br />
und eine dem Branchenstandard entsprechende<br />
Verschlüsselung. Zudem seien sie<br />
kostengünstig und unauffällig. In derselben<br />
Ausgabe erläutert Rudolf Rohr, Barox<br />
Kommunikati<strong>on</strong> GmbH, das interaktive<br />
Strommanagement (S. 48/49). Es sei<br />
ein generelles Anliegen der PoE (Power<br />
over Ethernet)-Industrie, die vielen kleinen<br />
Netzteile zu reduzieren mit dem Ziel, ein<br />
intelligentes, interaktives Strommanagement<br />
einzuführen, bei dem die Quelle mit<br />
der Senke in einem ständigen Austausch<br />
stehe. Praktisch alle neuen Kamerasysteme<br />
seien mit PoE ausgestattet. PoE erlaube es,<br />
Kameras direkt über bestehende Koaxial-<br />
Kabel oder neue UTP-Kabel mit PoE v<strong>on</strong> bis<br />
zu einem Kilometer zu speisen. Dies biete<br />
einen ganz neuen Ansatz: Kameras könnten<br />
mit über das Datenkabel autark versorgt<br />
werden. Wenn in der Zentrale eine USV-Anlage<br />
mit m<strong>on</strong>tiert werde, könnten Kameras<br />
auch bei Stromausfall im Gebäude weiterlaufen.<br />
Das Special Videoüberwachung enthält<br />
ferner Marktübersichten zu CCTV-Kameras<br />
(S. 60/61), zu Video-Encodern (S. 62/63),<br />
zu Netzwerkkameras (S. 64/65), zu digitalen<br />
Speichersystemen (S. 66/67), zu Videomanagement-Software<br />
(S. 68/69) und zu<br />
M<strong>on</strong>itoren (S. 70/71).<br />
In der Fachzeitschrift s+s report (Ausgabe<br />
3-<strong>2013</strong>, S. 55–59) behandelt Rechtsanwältin<br />
Petra Menge Haftungsrisiken des<br />
Errichters einer Videoüberwachungsanlage<br />
anhand v<strong>on</strong> Beispielfällen.<br />
Die Fachzeitschrift Protector beschreibt<br />
in der Ausgabe 10-<strong>2013</strong> (S. 52/53) die<br />
audiovisuelle Fernüberwachung als Dienstleistung.<br />
Sie beschere dem Sicherheitsunternehmen<br />
Protecti<strong>on</strong> One eine Erfolgsquote<br />
v<strong>on</strong> 95 %, in denen die Täter die<br />
Flucht ergreifen, ohne weiteren Schaden<br />
anzurichten.<br />
In der Fachzeitschrift <strong>Security</strong> insight (Ausgabe<br />
5-<strong>2013</strong>, S. 22/23) erläutert Winfried<br />
Holzapfel, AVT Alarm- und Video Technik<br />
GmbH, wie mit innovativer Technik datenschutzrechtliche<br />
Anforderungen erfüllt<br />
werden können. Eine wirklich sichere Lösung<br />
beginne bei der Aufzeichnung, indem<br />
ein intelligentes Video-Managementsystem<br />
(VMS) zum Einsatz kommt, das in Echtzeitz<br />
unterscheiden kann, ob es sich bei der Aufnahme<br />
um statische Räume handelt oder<br />
um Pers<strong>on</strong>en. Idealerweise verfüge dieses<br />
VMS über zusätzliche Algorithmen, die in<br />
Echtzeit alle Pers<strong>on</strong>enbilder verschlüsselt<br />
und die so geschützten Daten im öffentlich<br />
zugänglichen Speicher ablegt. Bestehe<br />
ein berechtigtes Interesse daran, einen<br />
aufgezeichneten Vorgang in einem klaren<br />
Videostream anzuzeigen, so könne über ein<br />
mehrschichtiges Authentifizierungsverfahren<br />
der Rückverrechnungsvorgang gestartet
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> <strong>11</strong>-<strong>2013</strong><br />
31<br />
werden. Dabei sei darauf zu achten, dass<br />
der Zugriff immer nur für eine klar begrenzte<br />
Periode gilt und daher nur der betreffende<br />
Zeitraum geöffnet und protokolliert wird.<br />
Dem Verfahren der pers<strong>on</strong>enbezogenen<br />
Verpixelung sei auf jeden Fall gegenüber<br />
der Maskierung v<strong>on</strong> Teilbereichen des<br />
Bildes der Vorzug zu geben. In derselben<br />
Ausgabe behandelt Katharina Geutebrück<br />
die Funkti<strong>on</strong>smöglichkeiten eines Video-<br />
Managementsystems (S. 24/25). Es analysiere<br />
Bilder auf ihre Gefährdungswahrscheinlichkeit,<br />
auf ihre Legitimität und darauf, ob<br />
weitere Informati<strong>on</strong>en enthalten sind, etwa<br />
ein Nummernschild. Verknüpft werde das<br />
Ganze dann mit anderen Gewerken wie Zutrittsk<strong>on</strong>trolle,<br />
Brandmeldetechnik oder der<br />
Rollladen-Steuerung, woraus sich wiederum<br />
weitere Prozesse in Gang setzen und neue<br />
Informati<strong>on</strong>en generieren ließen. Die Autorin<br />
bezeichnet als wesentlichen Vorteil des G-<br />
SIM v<strong>on</strong> Geutebrück, dass es einem kleinen<br />
Team v<strong>on</strong> Bedienern ermögliche, weitläufige<br />
und komplexe Videosysteme effizient und<br />
komfortabel zu handhaben.<br />
G-SIM berichte automatisch, was wo<br />
passiert und was man sehen muss, um<br />
die Vorfälle effektiv beurteilen zu können.<br />
Schlage eine Kamera Alarm, dann ziehe der<br />
Bediener per Maus die Meldung auf den<br />
hinterlegten Lageplan-Viewer. Der Plan der<br />
auslösenden Kamera werde sofort aufgerufen<br />
und das Bild auf die Vergrößerungsstufe<br />
eingestellt. Auch Markus Strübel,<br />
Securit<strong>on</strong>, befasst sich mit intelligenter<br />
Videoüberwachung (S. 28–30). Intelligente<br />
Videobildanalysen seien softwarebasierte<br />
Algorithmen zur automatischen<br />
Auswertung digitaler Bilder. Mit Hilfe der<br />
unterschiedlichen Verfahren ermöglichten<br />
sie die Erkennung definierter Objekte und<br />
Ereignisse. Die Objektklassifizierung erlaube<br />
die Unterscheidung definierter Objektarten,<br />
spezifischer Objekteigenschaften und<br />
spezifischer Objektzustände. Der anwendungsorientierte<br />
Ansatz führe zu einer sehr<br />
hohen Detekti<strong>on</strong>swahrscheinlichkeit und<br />
einer äußerst geringen Fehlalarmrate auch<br />
bei schwierigen Umgebungsbedingungen.<br />
Zutrittsk<strong>on</strong>trolle<br />
Ulrich Sobers, Redakti<strong>on</strong> WiK (Ausgabe<br />
5-<strong>2013</strong>, S. 65/66) empfiehlt die Zutrittsk<strong>on</strong>trolle<br />
via Cloud als kostengünstig und komfortabel.<br />
Für Unternehmen, die das Ausspähungsrisiko<br />
als gering einstufen, bedeute eine<br />
externe Lösung für Zeit oder Zutritt keine<br />
Erhöhung der Sicherheitsgefährdung. Zudem<br />
könne durch vergleichsweise einfache Maßnahmen<br />
ein Mehr an Sicherheit für die Zutrittsk<strong>on</strong>trolle<br />
erreicht werden, etwa durch ein<br />
Splitting bei der Datenhaltung. Kostengünstig<br />
sei vor allem die Nutzung einer public Cloud.<br />
Für Störfälle wie ein Stromausfall im Objekt<br />
oder eine Kabelstörung im Netzwerk müssten<br />
die Komp<strong>on</strong>enten vor Ort stand al<strong>on</strong>e-fähig<br />
sein. Für die Zutrittsk<strong>on</strong>trolle müssten an<br />
den Türen oder zumindest bei den nachgelagerten<br />
Steuereinheiten auch hardwareseitig<br />
Voraussetzungen für den Zugang zum Web<br />
bereitgestellt werden.<br />
Der Wandel bei Identitätsausweisen weg<br />
vom Magnetstreifen hin zu Smartcards,<br />
sei unumstritten, schreibt Protector in der<br />
Ausgabe 10-<strong>2013</strong>, S. 30/31). Die Vorteile<br />
der smarten Lösung sprächen vielfach für<br />
sich, weil pers<strong>on</strong>alisierte Daten wie PIN und<br />
PUK eingebracht werden können. Außerdem<br />
sei sie multifunkti<strong>on</strong>al einsetzbar<br />
durch die Integrati<strong>on</strong> v<strong>on</strong> Bezahl-, Signier-,<br />
Verschlüsselungs- und Ausweisfunkti<strong>on</strong> für<br />
die Zutrittsk<strong>on</strong>trolle sowie PC-Anmeldung<br />
auf nur einer Karte. Die Vorteile beschreibt<br />
Protector näher an dem Zutrittsk<strong>on</strong>trollsystem<br />
der Norwegischen Post mit der iClassSE<br />
Zutrittsk<strong>on</strong>trollplattform v<strong>on</strong> HID Global,<br />
die auf einer offenen Umgebung mit Secure<br />
Identity Objects basiere – einer neuen portablen<br />
Ausweismethodik. Die Lesegeräte seien<br />
im Innen- wie im Außenbereich vandalismusresistent.
Impressum<br />
<str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> enthält Informati<strong>on</strong>en zum Unternehmensschutz und wird m<strong>on</strong>atlich<br />
herausgegeben. Der <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong> erscheint per elektr<strong>on</strong>ischem Newsletter, der an<br />
1.800 Ab<strong>on</strong>nenten verteilt wird.<br />
Hinweis der Redakti<strong>on</strong>:<br />
Sämtliche Pers<strong>on</strong>enbezeichnungen im Plural gelten auch ohne ausdrückliche Nennung<br />
gleichermaßen für männliche und weibliche Pers<strong>on</strong>en.<br />
Herausgeber:<br />
Manfred Buhl, Vorsitzender der Geschäftsführung, Düsseldorf<br />
Verantwortlicher Redakteur:<br />
Thomas Mensinger, Leiter Unternehmenskommunikati<strong>on</strong>, Berlin<br />
Beratender Redakteur:<br />
Reinhard Rupprecht, B<strong>on</strong>n<br />
focus.securitas.de<br />
K<strong>on</strong>takt<br />
<strong>Securitas</strong> Holding GmbH<br />
Redakti<strong>on</strong> <str<strong>on</strong>g>Focus</str<strong>on</strong>g> <strong>on</strong> <strong>Security</strong><br />
Hallesches Ufer 74–76<br />
D-10963 Berlin<br />
Sitz: Düsseldorf, Amtsgericht Düsseldorf HRB 33348<br />
Geschäftsführer: Manfred Buhl (Vors.), Jens Müller,<br />
René Helbig, Elke Hollenberg, Gabriele Biesing<br />
Vorsitzender des Aufsichtsrates: Dr. Carl A. Schade<br />
E-Mail: info@securitas.de