Focus on Security 11-2013 - Securitas

<strong>Focus</strong> on Security
Ausgabe 11, November 2013

2 <strong>Focus</strong> on Security 11-2013
Informationen zur Unternehmenssicherheit
Advanced Persistant Threats (APT) Seite 3
Arbeitsschutz Seite 3
Betrug Seite 3
Biometrie Seite 4
Brandanschläge Seite 4
Brandschutz Seite 4
Cloud Computing Seite 6
Compliance Seite 7
Datenschutz Seite 8
Diebstahl Seite 8
Einbruch Seite 9
Explosionsschutz Seite 9
Falschgeld Seite 9
Flughafensicherheit Seite 10
Gebäudesicherheit Seite 10
Gefängnissicherheit Seite 10
Gefahrenmeldetechnik Seite 11
Geldautomatensicherheit Seite 12
Geld- und Werttransporte Seite 12
Hotelsicherheit Seite 12
IT-Sicherheit Seite 12
IuK-Kriminalität Seite 16
Kommunikationssicherheit Seite 17
Krisenregionen Seite 17
Logistiksicherheit Seite 18
Luftsicherheit Seite 19
Metalldiebstahl Seite 19
Mobile Endgeräte Seite 19
Notfallmanagement Seite 20
Perimeterschutz Seite 21
Piraterie Seite 21
Produktpiraterie Seite 22
Rechenzentrumssicherheit Seite 22
Risikomanagement Seite 23
Schlüsselmanagement Seite 24
Schwarzarbeit Seite 24
Sicherheitsmarkt Seite 24
Social Engineering Seite 25
Spionage Seite 25
Terrorismus Seite 26
Unternehmenssicherheit Seite 26
Videoüberwachung Seite 27
Zutrittskontrolle Seite 31

<strong>Focus</strong> on Security 11-2013
3
Advanced Persistant Threats (APT)
Timo Steffens, BSI, behandelt in der Fachzeitschrift
(Ausgabe 5-2013, S. 56–58)
Möglichkeiten der Abwehr von APT-Angriffen.
Aus Sicht des BSI liege ein APT vor,
wenn ein gut ausgebildeter Angreifer mit
Rückgriff auf große Ressourcen sehr gezielt
und mit großem Aufwand ein Netz oder
System angreift, sich dann in dem System
ausbreitet, weitere Hintertüren einbaut, und
möglicherweise über längere Zeit Informationen
sammelt oder Manipulationen
vornimmt. Die Angreifer arbeiteten häufig in
thematischen Kampagnen wie beispielsweise
Luftfahrt oder Energie. APTs seien darauf
ausgelegt, unter dem Radar der klassischen
Antiviren-Lösungen zu bleiben. Generell
zeige die Erfahrung, dass APTs nicht durch
den Einsatz einzelner IT-Sicherheitsprodukte
verhindert werden können. Und sie zeige,
dass es den Angreifern zu einfach gemacht
werde, weil die eigentlichen Basis-Sicherheitsmaßnahmen
nicht durchgeführt wurden.
Um gegen APTs stets auf dem Laufenden
zu bleiben, sei es wichtig, dass sich Unter-
nehmen gegenseitig über gezielte Angriffe
informieren. Um die Anonymität der Unternehmen
zu bewahren, baue das BSI derzeit
eine Austauschplattform auf. Und auf Seiten
der Allianz für Cybersicherheit stehe ein anonymes
Meldeportal zur Verfügung.
Andres Wild, Redwood Shores (US/CA), geht
in derselben Ausgabe (S. 10/11) der Frage
nach: „Wie soll man APTs begegnen?“ Für
die Implementierung eines starken risikobasierten
Ansatzes gebe es eine ganze Menge
passender Rahmenwerke: ISO 27000, NIST
SP-800-53 & Co. seien keine Unbekannten.
Ein möglicher Weg sei die Nutzung einer
Methodik mit Überwachungs- und Steuerelementen,
die sich bei der Minderung von Risiken
realer Bedrohungen als effektiv erwiesen
haben. Die zwanzig „Critical Controls for
Effective Cyber Defense“ seien ein Ansatz,
der dieser Methodik entspreche. Sie würden
nach Bedarf aktualisiert und lägen aktuell im
vierten Release (Version 4.1) vor.
Arbeitsschutz
Der Sicherheitsberater befasst sich am
1. Oktober mit der Arbeitsergonomie in
Leitstellen (S. 296–298). In Notruf- oder
Serviceleitstellen, in denen sich üblicherweise
mehrere Arbeitnehmer einen Arbeitsplatz
teilen, sollten die Arbeitsmittel dynamisch
und flexibel an die jeweiligen Bedürfnisse der
Mitarbeiter anpassen lassen. Insgesamt seien
die körpergerechten Abmessungen bei der
Möblierung im Auge zu behalten. Arbeits-
und Anzeigegeräte wie Monitore sollten ergonomisch
justiert werden können. Beleuchtungs-/Reflexionsvorgaben
seien einzuhalten.
Die Temperatur solle bei mindestens 20 und
maximal 26 Grad liegen. Für die Einhaltung
der zulässigen Umgebungslautstärke müsse
gesorgt werden. Vorzugsweise sollte die Belegschaft
maximal 30–50 % der Arbeitszeit
im Sitzen verbringen, den Rest abwechselnd
im Stehen und in Bewegung.
Betrug
Nach einer Meldung der FAZ vom 18. Oktober
warnt die Bundesagentur für Arbeit vor
einer dreisten Masche im Internet: Demnach
stellt ein fremder Anbieter Rechnungen an
Arbeitgeber aus, die ihre Stellenangebote
auf der kostenlosen Jobbörse der Arbeitsagentur
im Internet einstellen. Der Anbieter
„Jobdirect24“ verlange für die angebliche
Veröffentlichung 580 Euro. Die Behörde
weise darauf hin, dass es sich bei Jobdirect24

4 <strong>Focus</strong> on Security 11-2013
nicht um einen Kooperationspartner handelt
und rät allen betroffenen Arbeitgebern, die
Rechnung nicht zu begleichen.
Nach einer Mitteilung von Securicon vom
5. Oktober warnt die PD Aalen vor folgender
Betrugsmasche: Deutsche Geschäftsleute
haben Geschäftsverbindungen zu Partnern
in der VR China. Bei Bestellung von Waren
leisten die deutschen Unternehmen eine
Anzahlung. Nach Mitteilung der Warenversendung
erfolgt die Restzahlung auf ein
bekanntes Konto des Partnerunternehmens.
In mehreren Fällen seien für diese Restzahlung
in gefälschten E-Mails von Betrügern
neue Bankverbindungen in London, Dubai,
Bangkok und Honkong angegeben worden.
Biometrie
Wie die Zeitschrift WiK in der Ausgabe
5-2013, S. 10, mitteilt, haben Forscher der
Universität von Leicester eine neue Methode
entwickelt, um Fingerabdrücke auf metallischen
Oberflächen zu identifizieren. Anders
als nach der klassischen Methode nutze die
neue Technik die elektrischen Isoliereigenschaften
der Fingerspuren. Der Abdruck wirke
dabei wie eine Maske, die dafür sorgt, dass
per elektrischem Strom farbige, elektroaktive
Polymere auf die Flächen zwischen den
Ablagerungen des Fingerabdrucks umgelenkt
werden. So entstehe ein Negativbild des
Fingerabdrucks. Allerdings würden isolierende
Rückstände ab Nanometerdicke die
Polymerablagerung verhindern. Bisher sei das
Verfahren nur im Labor angewandt worden.
Heise online meldet am 17. Oktober, der
Europäische Gerichtshof habe entschieden,
dass die Speicherung digitaler Fingerabdrücke
auf deutschen Reisepässen zulässig ist.
Die gängige Praxis, biometrische Daten auf
dem Ausweis zu speichern, entspreche dem
europäischen Recht. Auf diese Weise könne
Betrug bei der Verwendung von Reisepässen
verhindert werden.
Brandanschläge
Das BKA berichtet in der Wochenlage am
6. Oktober, dass Unbekannte am 29. September
auf dem Gelände eines Autohauses
in Erfurt zur Auslieferung bereitgestellte
Einsatzfahrzeuge der Polizei in Brand gesetzt
haben. 15 Mannschaftswagen brannten aus,
fünf weitere Fahrzeuge wurden beschädigt.
Der Schaden wird auf insgesamt 750.000
Euro geschätzt. In einem Selbstbezichtigungsschreiben
wird die Tat von der Gruppe
„Abteilung bürgerlicher Ungehorsam im
TRH“, die sich als Mitarbeiter des Landesrechnungshofes
ausgibt, in ironischer Weise
dahingehend begründet, dass die Thüringer
Polizei durch „fehlende Ausschreibungen,
Verstöße gegen Vergabe-Vorschriften, verschleierte
Kreditfinanzierungen und serienmäßige
Mängel bei angekauften Neufahrzeugen“
die Täter zu der Tat gezwungen habe. Das BKA
weist auf einen ähnlichen Fall am 23. Januar
2012 in Magdeburg hin. Damals belief sich der
Sachschaden auf ca. 500.000 Euro.
Brandschutz
Das VdS-Magazin s+s report enthält in seiner
Ausgabe 3-2013 mehrere für den Brandschutz
in Unternehmen interessante Beiträge:
Dipl.-Ing. Roland Motz, GDV, erläutert die
VDI-Richtlinien zum Brand- und Explosionsschutz
an Sprühtrocknungsanlagen

<strong>Focus</strong> on Security 11-2013
5
(S. 14–17). Die Brandgefährdung hänge von
der Produktmenge und dem Brandverhalten
des herzustellenden Produktes ab. Die Hauptursache
für Brände und Explosionen liege in
der teils beträchtlichen Wärme- und Druckwirkung
und in den Verbrennungsprodukten.
Für den Explosionsschutz fordere die BSVO
von Betreibern von Sprühtrocknungsanlagen
beim Auftreten gefährlicher explosionsfähiger
Atmosphäre ein Explosionsschutzdokument.
In den Richtlinien VDI 2263 Blatt 7 würden
nun erstmals auch die Anforderungen an
den Brandschutz berücksichtigt, die bei der
Planung, Errichtung und dem Betrieb solcher
Anlagen beachtet werden sollten. Nach Blatt
7 seien insgesamt 13 mögliche Zündquellen –
von denen für den Brandschutz nur acht von
Bedeutung seien – auf ihre Wirksamkeit zum
Auslösen einer Staubexplosionen zu beurteilen.
Der Autor geht näher auf die möglichen
Schutzmaßnahmen, eine mögliche Brandfrüherkennung
und Brandbekämpfungsmaßnahmen
ein. Die wichtigsten Maßnahmen,
um im Brandfall ein Ausflühen von Bauteilen
der Sprühtrocknungsanlage zu verhindern,
seien die sofortige Außerbetriebnahme der
Luftzufuhr und das gleichzeitige Löschen und
Kühlen. Der Einsatz von speziell für solche
Anlagen geplanten stationären Löschanlagen,
die automatisch und manuell in Betrieb gesetzt
werden können, sei zwingend erforderlich.
Sie seien mit einem geeigneten Brandfrüherkennungssystem
zu koppeln.
Dr.-Ing. Mingyi Wang, GDV, gibt auf S. 18–22
entsprechend VdS 3149 Hinweise zur
Bewertung von Abschnittsflächen, um
einen technisch und wirtschaftlich optimalen
Brandschutz zu ermöglichen. Gemäß dem
Abschottungsprinzip sollten Gebäude nach
Möglichkeit durch feuerwiderstandsfähige
Wände und Decken baulich unterteilt werden,
um eine Ausbreitung von Feuer und Rauch
zu verhindern oder wenigstens zu begrenzen.
Abgesehen von der Abtrennung von
Nutzungseinheiten seien bei Industrie- und
Gewerbebauten folgende Abschnittsbildungen
bekannt: Komplex, Brandabschnitt
(BA), Brandbekämpfungsabschnitt (BBA)
und feuerbeständig abgetrennter Raum. Der
Autor behandelt die typische Abschnittsbildung,
Definitionen der Abschnittsflächen in
der Muster-Industriebaurichtlinie, die risikotechnische
Bewertung der Abschnittsflächen
und Empfehlungen der Versicherer. Diese
hätten anhand ausgewerteter Schadenerfahrungen
Empfehlungen zur Bewertung von
Abschnittsflächen veröffentlicht. Mit ihnen
solle die Praxis dabei unterstützt werden, die
Brandgefahren und die damit verbundenen
Risiken insbesondere durch die Anordnung
brandschutztechnisch abgetrennter Gebäudeabschnitte
zu minimieren.
Dr. Florian Irrek, VdS Schadenverhütung,
befasst sich mit der Planung von Gaslöschanlagen
(S. 24–28). Sie sei eine äußerst
komplexe Angelegenheit, bei der viele Faktoren
in Betracht gezogen werden müssten.
Erschwert werde die Planung dadurch, dass
oft noch während des Baus Änderungen vorgenommen
werden müssen, die nur schlecht
vorauszuplanen sind. Dennoch könne auch
ohne ausführliche hydraulische Berechnungen
eine recht genaue Vorhersage getroffen
werden, wie lang das Rohrnetz der Anlage
maximal sein darf. Die Frage, wie viel Platz in
der Löschgaszentrale für das Löschgas benötigt
wird, könne noch relativ leicht mithilfe
der VdS-Richtlinien Planung und Einbau für
Gaslöschanlagen, VdS 2093/2380/2381,
beantwortet werden. Sofern bereits die
Löschkonzentration bekannt ist, könne sehr
einfach von Hand die Mindest-Vorratsmenge
berechnet werden. Die Beantwortung der
zweiten grundlegenden Frage, wie nah am
Löschbereich die Löschgaszentrale positioniert
werden muss, setze üblicherweise
eine hydraulische Berechnung voraus. Der
Autor zeigt aber an einem Beispiel, dass eine
brauchbare und belastbare Abschätzung der
maximalen Entfernung zum Löschbereich
auch in der Planungsphase möglich ist, in der
noch keine vollständige hydraulische Berechnung
möglich ist.
Dipl.-Ing. (FH) Sven Reiske, AXA MATRIX
Risk Conusltants, gibt eine aktuelle Übersicht

6 <strong>Focus</strong> on Security 11-2013
über Leistungsmerkmale und Anforderungen
an den Brandschutz bei Wärmedämmverbundsystemen
(WDVS). Bei WDVS mit
brennbaren Dämmstoffen sei es wichtig,
dass der Dämmstoff in die nichtbrennbaren
Deckschichten eingepackt bzw. entsprechend
geschützt ist. Den Flammen müsse möglichst
lange der Zutritt zum Dämmstoff verwehrt
bleiben. Das bauordnungsrechtliche Schutzziel
an der Gebäudeaußenwand müsse somit
darin bestehen, eine schnelle Brandausbreitung
über mehr als zwei Geschosse oberhalb
bzw. unterhalb der Brandausbruchstelle sowie
einen Brandeintritt in die Dämmstoffebene
vor dem Löschangriff der Feuerwehr zu
verhindern, eine Gefährdung der Rettungskräfte
zu vermeiden und die Rettung von Personen
zu ermöglichen. Bei der Verwendung
von Dämmstoffdicken oberhalb von 10 cm
seien zusätzliche Brandbarrieren erforderlich:
alternativ ein Sturzschutz über jeder Öffnung
oder ein umlaufender „Brandriegel“ in jedem
zweiten Geschoss.
Protector weist in seiner Ausgabe 10-2013
(S. 16/17) darauf hin, dass der ZVEI beim
Brandschutztag am 16.01.2014 Ausblicke
auf heutige und künftige Schwerpunkte
des anlagentechnischen Brandschutzes
gibt: Zunehmend würden Brandschutzmaßnahmen,
die sich allein oder überwiegend
mit bautechnischen Maßnahmen nicht
optimal umsetzen ließen, als kombinierte
bau- und anlagentechnische Maßnahmen
realisiert. Seit am 1. Juli 2013 liege mehr
Verantwortung bei Planern und Errichtern,
denn sie müssten durch die neue
europäische Bauproduktenverordnung bei
Ausschreibungen viel intensiver als bisher
prüfen, ob Bauprodukte für die Verwendung
geeignet sind. Die Vernetzung und Dynamisierung
gehe weiter. Aus der statischen
Fluchtweglenkung werde eine dynamische.
In der Brandalarmierung würden inzwischen
auch vermehrt optische Signalgeber als
Ergänzung zu den akustischen Signalen
eingesetzt. Die Kabelindustrie habe neue
Brandschutzkabel entwickelt, die sowohl
die Brandausbreitung eindämmen und
geringere Hitze entwickeln als auch weniger
Rauch und giftige Gase entstehen lassen.
Cloud Computing
Dipl.-Inf. Maxim Schnjakin und Prof.Christoph
Meinel, Hasso Plattner Institut für
Softwaresystemtechnik GmbH (HPI), stellen
in der Fachzeitschrift (Ausgabe
5-2013, S. 78–85)einen Lösungsansatz
vor, um auch bei Cloud-Speichern Zuverlässigkeit
zu gewährleisten und das Risiko
abzuwenden, in eine Abhängigkeit von
einem einzelnen Dienstleister zu geraten.
In einer Forschungsarbeit am HPI seien
ausgewählte Cloud-Speicheranbieter in einer
einheitlichen Plattform integriert worden.
Das System überprüfe die Einhaltung der
Anwenderanforderungen und garantiere,
dass kein Dienstanbieter im alleinigen Besitz
der Anwenderdaten ist. Diese letzte Komponente
werde von drei Diensten unterstützt:
den Encoding-, Datenverteilungs- und
Sicherheits-Services. Das System schaffe
eine Metaebene zwischen Anwendern und
Anbietern von Cloud-Speicherressourcen.
Bei der Übertragung der Anwenderdaten
würden die einzelnen Datensätze mittels
Erasure-Codes (Erasure-Algorithmen) fragmentiert
und auf verschiedene, voneinander
unabhängige Dienstleister verteilt. Die hierbei
beteiligten Cloud-Ressourcen könnten
nach den benutzerdefinierten Anforderungen
an Leistungsfähigkeit, geografische Lage
sowie etwaige technische Eigenschaften
ausgewählt werden.
Wer sich für „Security as a Service“ von T-
Systems entscheidet, erhalte professionellen
Schutz aus der Cloud – zum Festpreis pro
Nutzer und zugeschnitten auf den aktuellen
Bedarf, erläutert Jürgen Harazim, T-Systems,
in der Beilage zu , Ausgabe 5-2013,

<strong>Focus</strong> on Security 11-2013
7
S. 48/49. T-Systems biete mit „Secure
E-Mail Services“ und „Secure Web Access
Services“ zwei neue Security as a Service-
Module.
Sichere Cloud-Dienste mit Active-Directory-Anbindung
stellt in derselben Ausgabe
(S. 53–54) Stefan Keller, noris network AG,
vor. Die Vorteile von Cloud-Services ließen
sich mit Compliance- und Sicherheitsgedanken
nur kombinieren, wenn diese Dienste
aus inländischen Hochsicherheitsrechenzentren
bezogen werden. Der Komfort müsse
nicht leiden und ein effizientes Rechtemanagement
lasse sich über die Kopplung der
Dienste mit dem unternehmenseigenen
Active Directory kombinieren. Eine solche
Managed Cloud-Lösung verbinde ein On
Demand-Angebot mit Sicherheitsgarantien
und einfacher Administrierbarkeit.
Dipl.-Informatiker Michael Herfert, Fraunhofer-Institut
für Sichere Informationstechnologie
SIT, liefert in der Zeitschrift WiK
(Ausgabe 5-2013, S. 27–29) Kriterien, die
hilfreich sein sollen, um Schwächen bei verschiedenen
Cloud-Lösungen zu erkennen.
Für Cloud-Speicherdienste seien wichtige
Eigenschaften die Verschlüsselung von
Daten, bevor sie den Rechner des Nutzers
verlassen, und das mit Schlüsseln, die in seiner
alleinigen Verfügbarkeit liegen, und die
Verwendung etablierter kryptographischer
Mechanismen und Protokolle. Für Cloud-Verarbeitungsdienste
seien die größten Sicherheitsrisiken
die Registrierung, der Transport,
die Deduplikation und das Teilen von Daten.
Es gebe zwar verschiedene Siegel für Cloud-
Computing, aber darunter seien einige mit
fraglichem Hintergrund. Ein allgemein anerkanntes
Siegel wäre ein Schritt in die richtige
Richtung. Bei Diensten, die Daten auch
verarbeiten, werde eine individuelle Prüfung
des Dienstes notwendig bleiben.
Die FAZ weist am 8. Oktober darauf hin,
dass die Europäische Datenschutzrichtlinie
nach ihrem aktuellen Diskussionsstand
die Forderung enthalte, dass Nutzer von den
Betreibern eines Rechenzentrums ausdrücklich
darauf hingewiesen werden, wenn
ihre Daten europäischen Boden verlassen
und zum Beispiel in ein Rechenzentrum in
den USA übertragen werden. Eine solche
Übertragung solle verboten werden, wenn
die entsprechenden Bedingungen zuvor
nicht erfüllt werden. Darin eingeschlossen
solle der Hinweis sein, dass persönliche
Daten möglicherweise von ausländischen
Geheimdiensten oder Behörden dritter
Staaten ausgewertet werden könnten. Von
einer Datenverlagerung solle zum einen der
Inhaber der Daten selbst, zum anderen aber
auch eine Überwachungsbehörde unterrichtet
werden.
Heise online weist am 16. Oktober darauf
hin, dass EU-Kommissarin Neelie Kroes
fordert, Europa solle die führende „vertrauenswürdige
Cloud-Region“ werden. Es seien
mehr Transparenz und hohe Standards
nötig. Kroes propagiere Verschlüsselung
sowohl beim Transport als auch beim
Speichern von Daten und warne davor,
dass Schlüssel entwendet und Algorithmen
geknackt werden könnten.
Compliance
Wichtig sei Compliance auch für den Mittelstand,
erläutert die FAZ am 26. September
in einer Spezialausgabe. Kein Unternehmen
könne es sich leisten, die drohenden Gefahren
bei Compliance-Verstößen zu ignorieren.
Es gelte, Compliance-Regelwerke und
entsprechende Systeme zu individualisieren.
Statt wahllos Workshops für Mitarbeiter
anzubieten, sollten Geschäftsführer sich
zunächst mal ihr Unternehmen ganz genau
anschauen und sich fragen: „Wo liegen bei
meinem Geschäftsmodell die Risiken?“. Maß
halten, laute unisono die Devise von Experten.
Für Geschäftsführer von Unternehmen

8 <strong>Focus</strong> on Security 11-2013
gelte eine sogenannte Organisations- und
Aufsichtspflicht: Sie müssten dafür sorgen,
dass ihre Firma als Ganzes sowie jeder einzelne
Mitarbeiter gesetzliche und unternehmensinterne
Vorschriften einhält. Ebenso
müssten sie regelmäßig kontrollieren und
dokumentieren, inwieweit zum Beispiel
hauseigene Compliance-Systeme Wirkung
zeigen. Außerdem könnten Geschäftsführer,
Vorstände und Aufsichtsräte seit einigen
Jahren persönlich haftbar gemacht werden,
wenn sie sich fahrlässig verhalten oder Entscheidungen
treffen, die dem Unternehmen
schaden. Die Haftungspflicht könne auch
dann greifen, wenn einzelne Mitarbeiter
gegen gesetzliche oder hausinterne Regeln
verstoßen haben, die Führungskraft davon
wusste – und nichts dagegen unternommen
hat. Um Schadenersatzklagen zu vermeiden,
sei die von Beratern empfohlene Risikoanalyse
wichtig.
Heise online berichtet am 10. Oktober, dass
der Europäische Gerichtshof für Menschenrechte
die Klage eines Nachrichtenportals
zurückgewiesen hat, das von einem estnischen
Gericht zu einer Geldstrafe verurteilt
worden war, weil es – trotz eindeutiger
Warnungen an die Nutzer und automatischer
Wortfilter – nicht genug getan habe,
um beleidigende Kommentare, von denen
eine Fährgesellschaft betroffen war, schnell
zu entfernen.
Datenschutz
In der Fachzeitschrift (Ausgabe 5-2013,
S. 22–25) weist Rechtsanwalt Stefan Jaeger
darauf hin, dass die Informationspflicht von
Unternehmen über Datenschutzverletzungen
jetzt europaweit durch die VO Nr. 611/2013
der EU-Kommission vereinheitlicht wurde.
Die Informationspflicht gelte in bestimmten
Fällen gegenüber Aufsichtsbehörden und
Betroffenen. Ungeklärt seien nach wie vor
einige rechtliche Fragen. So sehe die VO selbst
keinerlei Sanktion für den Fall des Verstoßes
gegen die Meldepflicht vor. Zudem bleibe
auch die Frage nach den Verpflichteten gemäß
der EU-VO unklar.
Diebstahl
Das BKA hat nach einer Information von
ASW-Securicon vom 12. Oktober darauf
hingewiesen, dass seit etwa 2005 jährlich
ca. zwei Dutzend Diebstähle von Solarmodulen
bekannt werden. Die Sachschäden
lägen immer im fünfstelligen, manchmal
sogar im sechsstelligen Euro-Bereich (bis zu
500.000 €). Die Tatorte befänden sich meist
in einsam gelegenen Gebieten außerhalb
bebauter Ortschaften (Lagerhallen, Gehöfte,
Stallungen, Solarparks). Die Gebäude und
Parks seien in der Regel offen zugänglich,
wobei die Parks inzwischen zunehmend
mit einem Zaun umfriedet seien. Die
Photovoltaik-Module oder Stromkollektoren
sowie die Wechselrichter würden fachge-
recht abmontiert. Täterhinweise würden
nur in ganz wenigen Fällen bekannt. Zur
Abwehr solcher Diebstähle rät die Zentrale
Geschäftsstelle des Programms Polizeiliche
Kriminalprävention zu einer Kombination aus
folgenden Komponenten: Perimeterabsicherung,
Zugangstorüberwachung, Videoüberwachung
mit Detektion, Bewegungsmelder
zur Überwachung der Zaunanlage, „Technikhaus
Einbruchshemmung nach RC 3 DIN
EN 1627 komplett“. Die Alarmtechnik sollte
auf einer ständig besetzten NSL auflaufen.
Die Polizei sollte erst hinzugezogen werden,
wenn von einem Echtalarm ausgegangen
werden muss.

<strong>Focus</strong> on Security 11-2013
9
Einbruch
In der Fachzeitschrift s+s report (Ausgabe
3-2013, S. 40–42) zieht Julia Christiani,
Programm Polizeiliche Kriminalprävention
der Länder und des Bundes, nach einem
Jahr der Öffentlichkeitskampagne K-
Einbruch eine positive Bilanz. Die Zahl
der fehlgeschlagenen Einbrüche sei von
46.000 im Jahr 2010 über 51.000 im Jahr
2011 auf 56.000 im Jahr 2012 gestiegen.
Viele Einbrüche könnten durch die richtige
Sicherungstechnik verhindert werden. Eine
Untersuchung des Bayerischen LKA habe
ergeben, dass in Bayern im Jahre 2012 von
insgesamt 5.709 Fällen 1.377 durch mechanische
Sicherungen verhindert wurden.
In 223 Fällen sei die Tat durch EMA vereitelt
worden. Dies zeige zudem, dass die Einbruchmeldetechnik
immer eine Ergänzung
zur mechanischen Sicherungstechnik sein
und nicht als Ersatz dafür angesehen werden
sollte. Nach der Erhebung des Bayerischen
LKA (S. 44/45) wurden 2012 im Gewerbebereich
626 Einbrüche durch mechanische
Sicherungen verhindert, und zwar 506
durch Sicherungen an Türen (312 durch
eine widerstandsfähige Türkonstruktion und
geeignete Anbauteile, 194 durch Zusatzsicherungen)
und 99 durch mechanische
Sicherungen an Fenstern, Terrassen- und
Balkontüren (65 durch Fensterzusatzsicherungen
und 34 durch sonstige Sicherungen
wie Gitter) sowie 21 durch Schaufenstersicherungen.
Ebenfalls im Gewerbebereich
konnten durch 181 Alarme 28 Festnahmen
erzielt werden. Die Festnahmequote betrug
bei stillen Alarmierungen 57 %, bei örtlichen
(akustischen oder optischen) Alarmen 7 %.
Explosionsschutz
Eine Möglichkeit, Schutz vor Sprengstoffanschlägen
auch bei Bestandsgebäuden
zu erreichen, ist der Einsatz von sprengwirkungshemmenden
Sicherheitsfolien. Darauf
weist der Sicherheitsberater am 1. Oktober
(S. 300/301) hin. Ungeschütztes Einfachund
Isolierglas erreiche durch die Beschichtung
mit PROFILON ER1 folgende Widerstandsklassen:
1. Sprengwirkungshemmung
Klasse ER1 nach DIN EN 13541 (NS).
2. Durchwurfhemmung Klasse A1 nach DIN
52290 (alt) bzw. Klasse P2A nach EN 356
(neu). Die Sicherheitsfolie sei im Druckstoßrohr
getestet und nach Aussage des
Herstellers Haverkamp die weltweit einzige
Folie, deren sprengwirkungshemmende
Eigenschaften in diesem Härtetest nach DIN
EN 13541 bestätigt wurde.
Falschgeld
Wie die ASW am 27. September mitteilt,
hat das LKA Schleswig-Holstein seit Juni
2013 ein plötzliches und konzentriertes
Anhalten von Falsifikaten in Form von 10-,
20- und 50-Eurobanknoten, überwiegend
im Raum Kiel, registriert. Nach einem vorübergehenden
Rückgang seien die Fallzahlen
seit August 2013 wieder angestiegen. Es
handele sich um professionelle, vermutlich
in italienischen Fälscherwerkstätten hergestellte,
Druckfälschungen. Die gefälschten
50-Euro-Banknoten seien mit einem mangelhaft
aufgedruckten Wasserzeichen versehen,
das unabhängig vom Lichteinfall immer
gleich ausschaue. Das echte Wasserzeichen
entstehe durch eine unterschiedliche Papierdichte.
Es werde sichtbar, wenn die Note
gegen das Licht gehalten wird. Helle und
dunkle Stellen gingen sanft ineinander über.
Werde die Note auf eine dunkle Oberfläche
gelegt, würden die hellen Stellen dunkel.
Dieses Echtheitsmerkmal fehle der falschen

10 <strong>Focus</strong> on Security 11-2013
50-Euro-Banknote. Auch den Farbwechsel
der auf der rechten unteren Rückseite der
Banknote aufgebrachten Ziffer „50“ könnten
die Fälscher nicht täuschend sicher
nachempfinden. Beim Kippen der echten
50-Euro-Banknote wechsele die Farbe von
purpurrot zu olivgrün/braun.
Flughafensicherheit
Protector befasst sich in der Ausgabe
10-2013 in einer Reihe von Beiträgen mit
der Flughafensicherheit: Die verschiedenen
Gefahrenquellen erforderten ganzheitliche
Sicherheitskonzepte. Dabei habe jeder Bereich
seine ganz speziellen Anforderungen.
Außenbereiche erforderten die Absicherung
mithilfe von Sicherheitszäunen, am besten
mit Übersteigschutz und Freigeländeüberwachungssystemen.
Durchfahrts- oder
Durchgangssperren wie hydraulische oder
starre Poller, Wege Barriers, aber auch
Schrankenanlagen, Schnellfalttore und
Schiebetore komplettierten die Konzepte
(S. 28/29). In einem anderen Beitrag wird
der Brandschutz für einen neuen Flugsteig
mit sieben Gates für Großraumjets auf dem
Frankfurter Flughafen behandelt (S. 36/37).
Der Flugsteig A-Plus sei in Abschnitte
unterteilt worden, die im Brandfall durch
21 automatisch schließende Schiebetore
getrennt werden. Angesteuert würden die
Tore durch 129 optische Rauchschalter. Wo
Fluchtwege durch die Tore führen, seien
diese mit Fluchttüren versehen.
Gebäudesicherheit
Architektur und Sicherheit bildet den
Schwerpunkt der Ausgabe des Sicherheitsberaters
vom 1. Oktober (S. 282–295). Bewusste
und frühzeitige Planung von Sicherheit
bringe dem Immobilienmanagement nur
Vorteile. Durch intelligente Architektur könne
man Flucht- und Rettungsversuche problemlos
so planen, dass diese nicht in eine
Nutzungseinheit hineinführen, sondern nur
in allgemein zugängliche Bereiche. Werde
das Gewerk „Sicherheit“ schon früh in einem
Projekt berücksichtigt, so sei es möglich,
die typischen Schutzzonen konzeptionell
so umzusetzen, dass diese sich zum einen
architektonisch in das Gesamtbauwerk integrieren
und zum anderen von den Nutzern
nicht als den Betriebsablauf störend empfunden
werden. In einem guten Sicherheitskonzept
lasse sich auch eine spätere, anders
gelagerte Nutzung des Gebäudes berücksichtigen.
Auch im technischen Brandschutz
fänden sich Möglichkeiten, die vorgeschriebene
Technik der Branddetektion unauffällig
in die Innenarchitektur zu integrieren.
Gefängnissicherheit
Ministerialrat Wolfgang Suhrbier behandelt
in Ausgabe 5-2013 von Security insight
(S. 38–40) die Sicherheit im Justiz- und
Maßregelvollzug der Sicherungsverwahrung.
Immer mehr Bundesländer hätten
auf Wachtürme verzichtet und sie durch
technische Einrichtungen ersetzt. Die Zahl
der Ausbrüche sei seit Jahrzehnten dank
der sicherheitstechnischen Aufrüstung
auf ein Minimum gesunken. Die Vorgaben
des Bundesverfassungsgerichts zum
Maßregelvollzug könne der Vollzug unter
Berücksichtigung der Sicherheitsbelange
nur durch ausgewogene Sicherheitstechnik
und höheren Personaleinsatz erfüllen. Zur
Technik zählten insbesondere Kommu-

<strong>Focus</strong> on Security 11-2013
11
Protector befasst sich in der Ausgabe
10-2013 (S. 40/41) mit der Nichtauslönikationsanlagen
mit Notruffunktion und
Ortung, Überwachungsanlagen, Alarmmanagementsysteme,
die den schnellen
Einsatz weiterer Mitarbeiter im Krisenfall
ermöglichen, sowie bezahlbare Systeme zur
Verhinderung unerlaubter Kontaktaufnahme
der Inhaftierten zur Außenwelt. In derselben
Ausgabe beschreibt Jens Aperdannier, Tyco
Fire & Security Holding Germany GmbH,
ein hochverfügbares System integrierter
Sicherheits- und Kommunikationstechnik
in Justizvollzugsanstalten (S. 42/43). Ein
effizientes Zusammenspiel der einzelnen
integrierten Schwachstrom-Gewerke und
-Technologien sei hierzu zwingend – von Telekommunikations-,
Intercom- und Sprachalarmierungsanlagen,
Sicherheitstechnik wie
Zutrittskontrolle und Videoüberwachung,
Zellenruf- und Personenschutzanlagen über
sichere Daten- und Kommunikationsnetzwerke
sowie Gebäude- und Sicherheits-Managementsysteme
bis hin zur übergreifenden
Leitstelle. Erst im intelligenten Verbund
via offener Plattformen gewährleisteten die
Einzelgewerke die durchgängige und flexible
Kommunikation und die effiziente Steuerung
von Prozessabläufen.
Gefahrenmeldetechnik
Im s+s report (Ausgabe 3-2013) weist
Dipl.-Wirtschaftsjurist (FH) Sebastian Brose,
VdS Schadenverhütung darauf hin, dass
VdS nunmehr auch mobile Applikationen
in der Einbruchmeldetechnik anerkennt
(S. 52–54). Die Anforderungen und Prüfmethoden
für solche „EMA-Apps“ seien in
den Richtlinien „Fernzugriff auf EMA mittels
Smart Device-Applikation“, VdS 3169, fixiert.
Die Authentizität der Daten werde durch
ein sogenanntes Pairing-Verfahren und die
Ermittlung der Hashcodes sichergestellt.
Im Master werde eine Liste der zulässigen
Clients geführt, die z. B. anhand ihrer MAC-
Adresse oder IMEI-Nummer identifiziert
werden. Die Integrität der Daten werde durch
verschiedene Mechanismen gewährleistet.
Um die Vertraulichkeit der Daten zu wahren,
müsse eine AES-Verschlüsselung mit 128 Bit
mit Cipher Block Chaining Mode eingesetzt
werden. Der Verbindungsaufbau gehe vom
Client aus und durchlaufe die vier Stufen Nutzercode,
Schlüsselprüfung, Pairing-Prüfung,
Codeabfrage. Sobald die EMA extern scharf
geschaltet ist, sei die Bedienung EMA-relevanter
Funktionen nicht möglich.
Sebastian Brose und Wilfried Drzensky, VdS
Schadenverhütung, befassen sich in der
Zeitschrift WiK (Ausgabe 5-2013, S. 51–53)
mit Problemen bei der Attestierung von
EMA. Das Installationsattest dokumentiere,
dass es sich tatsächlich um eine VdS-anerkannte
EMA handelt und stehe damit für die
Vorteile die eine solche EMA bietet: Einhaltung
der VdS-Richtlinien, Behebung von
Mängeln auf Kosten des Errichters, jederzeit
erreichbarer Instandhaltungsdienst, Vorhaltung
eines Ersatzteillagers, Reparatur-/Instandhaltungsausrüstung
beim Errichter und
Störungsbeseitung innerhalb von 24 h bei
regelmäßiger Instandhaltung. Die Autoren behandeln
einige der Fragestellungen rund um
die Attestierung von EMA in den Bereichen:
Dokumentation von Änderungen, Gültigkeit
des VdS-Attests bei „Wartungsverweigerungen“,
Instandhaltung durch Dritte, Scannung
des Attests und Vernichtung des Originals
durch Versicherer, Bestandsschutz von EMA.
Wie Michael von Foerster, Bosch-Sicherheitssysteme,
in derselben Ausgabe
(S. 57/58) berichtet, fordert Euroalarm von
der EU-Kommission zusätzliche Aktivitäten
zur Erhöhung der Wettbewerbsfähigkeit der
europäischen Industrie für Gefahrenmeldetechnik.
Es sollte Aufgabe der Politik sein,
ein unabhängiges Prüfzentrum mit einem
einheitlichen Prüfzeichen zu schaffen.

12 <strong>Focus</strong> on Security 11-2013
sung von Bewegungsmeldern. Für die
unterschiedlich schwierigen Anforderungsbedingungen
an Bewegungsmelder gebe
es eine Auswahl von Kombinationen in der
Sensortechnologie. Komplett dichte Erfassungsvorhänge
bildeten gegenüber einer
Standarderfassung immer einen maximalen
Detektionsbereich. Bei größeren Überwachungsflächen,
bei denen sich auch die
räumliche Einrichtung ändern kann, böten
sich Deckenmelder zur Flächenüberwachung
an. Diese könnten mehrere Bewegungsmelder
mit einer einzigen Deckenmelderinstallation
ersetzen und somit auch zur wirtschaftlichen
Lösung beitragen. Die kompletten
Vorhänge mit einer 360 Grad-Erfassung
detektierten bis zu 20 Meter Raumdiagonale
bei bis zu fünf Metern Montagehöhe.
Geldautomatensicherheit
Wie das PP Nordhessen am 18. Oktober
meldet, versuchten bislang unbekannte
Täter, in einer Bankfiliale in Nieste nachts
einen Geldautomaten aufzuschweißen. Vom
Tatbeginn an habe die installierte Videoan-
lage keine Bilder mehr geliefert. Alle Scheibenflächen
des Automatenraumes seien
von den Tätern aufwändig tapeziert worden,
damit sie ungestört „arbeiten“ konnten.
Geld- und Werttransporte
Zwei schwere Raubüberfälle am 6. September
vor einer Kreissparkassenfiliale auf zwei
Mitarbeiterinnen, die für die Kreissparkasse
ungepanzerte Geldtransporte in PKWs
durchführten, und im August in Hamburg
Wilhelmsburg auf einen Geldboten, der in
einem ungepanzerten Firmenfahrzeug eines
Sicherheitsunternehmens Geld transportierte,
veranlassten den HGF der BDGW, Dr.
Olschok, zu einem Appell an Kreditinstitute,
Handelsunternehmen und Veranstalter,
Geldtransporte nur in dafür vorgesehenen
Spezialgeldtransportfahrzeugen durchzuführen.
Verletzten Arbeitgeber ihre Sorgfaltspflicht,
so drohten Nachforschungen durch
die gesetzliche Unfallversicherung und
durch Strafverfolgungsbehörden (WiK, Special
Sicherheitslösungen für Banken, Oktober
2013, S. 4).
Hotelsicherheit
Die Zeitschrift WiK (Ausgabe 5-2013,
S. 7) meldet, heise Security habe ausprobiert,
wie leicht Hotelsafes mit Codeschlössern
geknackt werden können. Diese Tresore
ließen sich meist mit einem selbst einzugebenden
Code sichern. Sollte dieser vergessen
werden, hätten die Hotels sowohl mechanische
Schlüssel als auch Mastercodes, um die
Tresore wieder zu öffnen. Doch oft werde
schon beim Einbau „geschlampt“: Viele
Hotels würden vergessen, den vom Hersteller
vorgegebenen Mastercode zu ändern. Diese
Codes ließen sich aber über eine Suchmaschine
herausfinden.
IT-Sicherheit
Die Fachzeitschrift enthält in ihrer
Ausgabe 5-2013 interessante Beiträge
zur IT-Sicherheit: Als Schatten-IT bezeichnet
Sebastian Broecker, Deutsche

<strong>Focus</strong> on Security 11-2013
13
Flugsicherung (S. 16–20) generell alle
Assets inklusive Hardware, Software und
Projekten, die an den offiziellen Beschaffungs-
und Implementierungswegen einer
Firma vorbei in diese eingebracht werden.
Die Schatten-IT könne entweder mit
„eigentlich“ guten Absichten implementiert
werden oder von vornherein egoistischen
oder kriminellen Zielen dienen. Der Autor
behandelt Schatten-Hardware, Schatten-
Software, Schatten-Dienste und Schatten-
Projekte. Ansatzpunkte für eine Reduzierung
solcher Vorgänge sieht er in folgenden
Empfehlungen: 1. Halten Sie in Ihrer Rolle
als Securityverantwortlicher Augen und
Ohren offen! 2. Behalten Sie „die üblichen
Verdächtigen“ im Auge und suchen Sie
den Dialog zu solchen Mitarbeitern! 3.
Wecken Sie Security-Awareness! 4. Bieten
Sie Lösungen an! 5. Versuchen Sie, neben
aller notwendigen Kontrolle in Fragen zur IT
auch als kooperativer Partner zu gelten, um
die Bildung geschlossener Zirkel möglichst
zu vermeiden!
Dr. Frederico Crazzolara, krügernetwork
GmbH, befasst sich mit der Sicherheitsinfrastruktur
für „smarte“ Versorgungsnetze
(S. 26–33). Intelligente Versorgungsnetze,
so genannte Smart Grids, sollen flexibler
auf Energieeinspeisungen und auftretende
Spitzenlasten reagieren können. Dabei
kämen für eine bessere Koordinierbarkeit
von Stromerzeugung und -bedarf intelligente
Messsysteme zum Einsatz – Smart
Meters. Solche Systeme führten personenbezogene
Daten zusammen, verarbeiteten
und leiteten aufbereitete Daten weiter. Für
sie würden daher hohe Anforderungen an
Datenschutz und Datensicherheit gelten.
Der Autor behandelt das Prinzip Security
by Design, digitale Zertifikate, mehrseitige
Hardware und ECC als Security-Grundlage,
„hoheitliche Vertrauensanker“ (die Stammzertifizierungsstelle
der Smart-Meter-PKI
wird vom BSI implementiert und zentral zur
Verfügung gestellt) und die Verantwortung
der Gateway-Administratoren. Die Gateway-Administration
sei die bedeutendste
technische Smart-Metering-Dienstleistung.
Es bleibe noch viel zu klären und zu tun,
bis ein „intelligentes“ Versorgungsnetz zur
Verfügung steht.
In derselben Ausgabe (S. 59/60) befasst
sich Jens Mehrfeld, BSI, mit „eingebetteten
Systemen“, die in unterschiedlichen Geräten,
Maschinen und Anlagen zum Einsatz
kommen, häufig an ein Netz angeschlossen
sind und Zugang zum Internet besitzen.
Ein großes Problem bilde neben den
technischen Angriffspunkten das fehlende
Sicherheitsbewusstsein. Was sei zu tun?
Die Sicherheitshinweise des Herstellers
müssten beachtet werden. Die Standardkonfiguration
der Geräte sei anzupassen.
Die Verbindung mit dem Internet sollte
möglichst nur anlassbezogen und für kurze
Zeit hergestellt werden. Für den Fall der
Internetverbindung sollten die Sicherheitsmechanismen
des Routers genutzt werden.
Thomas Kerbl und Amir Salkic, SEC Consult,
erläutern einen vom BSI zusammen
mit SEC Consult veröffentlichten Leitfaden
zur Entwicklung sicherer Web-Anwendungen.
Den Kerninhalt des Leitfadens
für Auftragnehmer bildeten Vorgaben
an den Entwicklungsprozess und an die
Implementierung. Der vielleicht wichtigste
Nutzen des Leitfadens liege jedoch in der
Unterstützung des Auftraggebers bei der
Überprüfung der Vorgaben an den Entwicklungsprozess
(S. 70–72).
In derselben Ausgabe kritisiert das
Fehlen von IT-Sicherheitsrichtlinien
in vielen Unternehmen. Nach einer von
Kaspersky und B2B durchgeführten Studie
beklagen 57 % der deutschen „IT-Entscheider“
das Fehlen von Zeit und Budget. Eine
Studie des IT-Dienstleisters Iron Mountain
habe gezeigt, dass viele Arbeitgeber
Verhaltensweisen ihrer Mitarbeiter bei
der Arbeit im Homeoffice tolerieren, die
ihre Unternehmensinformationen einem
erheblichen Risiko aussetzten. 60 % der
befragten Deutschen hätten angegeben,
ihre privaten E-Mail-Accounts zum Senden

14 <strong>Focus</strong> on Security 11-2013
und Empfangen von Arbeitsdokumenten
zu verwenden. 35 % ließen ihre Arbeitsdokumente
zu Hause liegen und 21 %
entsorgten Geschäftsdokumente im Haushaltsabfall.
7 % benutzten eine unsichere
WLAN-Verbindung, um Arbeitsdokumente
per E-Mail zu senden und zu empfangen.
Eine Hauptursache seien die Unternehmen
selbst. So würden lediglich 25 % der
deutschen Unternehmen ihren Mitarbeitern
Vorgaben machen, welche Papierakten und
elektronischen Daten sie mit nach Hause
nehmen dürfen. In 73 % der Fälle fehlten
entsprechende Richtlinien, die das Arbeiten
im Homeoffice regeln. Ein weiteres Problem
sei die Infrastruktur: Bei 54 % der Arbeitgeber
scheitere ein sicheres Arbeiten im
Homeoffice an fehlender IT-Ausstattung,
und 67 % stellten keinen sicheren Zugang
zum Intranet zur Verfügung (S. 98/99).
Die European Network and Information
Security Agency (ENISA) hat ihren Jahresbericht
über IT- und Netzausfälle für 2012
vorgelegt, meldet in der Ausgabe
3-2013 (S. 99). In 18 EU-Ländern sei
es zu 79 signifikanten Vorfällen der vier
Dienstekategorien Festnetz- und Mobilfunk,
Internet und mobiles Internet gekommen.
Die häufigsten Ursachen für die Ausfälle
seien Hard- und Software-Fehler gewesen.
Cyberattacken seien nur sechsmal ursächlich
gewesen, und nach durchschnittlich
drei Stunden seien die Dienste wieder gelaufen.
Naturereignisse seien ebenfalls nur
selten ursächlich gewesen. Allerdings habe
die Beseitigung solcher Ausfälle besonders
lange gedauert.
In derselben Ausgabe (S. 100) weist
darauf hin, dass fast jeder fünfte Mitarbeiter
in KMUs schon einmal Firmendaten mit Absicht
zerstört habe. Das sei das Ergebnis der
Studie „Datenzerstörung im Mittelstand“,
für die Mozy 100 Manager und Mitarbeiter
von KMUs befragt habe. Der Grund für die
absichtliche Zerstörung sei überwiegend
harmlos: in 78 % handelten die Angestellten
gemäß den Weisungen eines Vorgesetzten.
Heise online listet am 27. September 10
Regeln für mehr Sicherheit im Netz auf,
die das BSI als Sicherheitskompass in Zusammenarbeit
mit der Polizeilichen Kriminalprävention
der Länder und des Bundes
aufgestellt hat:
1. Verwenden Sie sichere Passwörter!
2. Schränken Sie Rechte von PC-Mitbenutzern
ein!
3. Halten Sie Ihre Software immer auf
dem aktuellen Stand!
4. Verwenden Sie eine Firewall!
5. Gehen Sie mit E-Mails und deren
Anhängen sowie mit Nachrichten in
Sozialen Netzwerken sorgsam um!
6. Erhöhen Sie die Sicherheit ihres
Internet-Browsers!
7. Vorsicht beim Download von Software
aus dem Internet!
8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung!
9. Seien Sie zurückhaltend mit der Angabe
persönlicher Daten im Internet!
10. Schützen Sie Ihre Hardware gegen
Diebstahl und unbefugten Zugriff!
Auch in einem „special“ der Fachzeitschrift
vom Oktober 2013 finden sich mehrere
Beiträge zur IT-Sicherheit: Arved Graf
von Stackelberg, HP Software Deutschland,
empfiehlt das System SIEM (Security
Incident and Event Management) als
intelligentes Sicherheitsradar (S. 22–24).
SIEM-Lösungen könnten die disparaten
Log-Files sammeln und in Echtzeit miteinander
abgleichen. Aus dem Kontext heraus
würden sie verborgene Angriffsmuster
erkennen, sortieren und die Ergebnisse zu
übersichtlichen Warnhinweisen und Reports

<strong>Focus</strong> on Security 11-2013
15
zusammenstellen. Der Autor beschreibt die
Leistungsmerkmale von SIEM. Das Produkt
müsse geschickt implementiert werden. Die
Implementierung sei als Prozess zu verstehen,
der Schritt für Schritt immer mehr
kritische Sicherheitsmanagement-Aufgaben
durch intelligente Software unterstützt.
Michael Klatte, ESET Deutschland, fordert
mehr Sicherheit am SharePoint
(eine Webanwendung von Microsoft, die
folgende Anwendungsbereiche abdeckt:
Intranetportal, Soziale Netzwerke, Content-
Management, Koordinierungs- und Verwaltungsfunktionen
sowie Geschäftsanwendungen).
Ein lascher Umgang in puncto
Sicherheit könne den Sharepoint schnell
in eine Virenschleuder verwandeln. Malware
stelle für den SharePoint die aktuell
größte Gefahr dar. Microsoft werde seine
Antivirus-Lösung „Forefront Protection for
SharePoint“ nicht mehr weiterführen. ESET
zähle zu den wenigen Anbietern, die Malware-Schutz
für Microsoft SharePoint 2013
anbieten. Der Autor hat eine Checkliste für
mehr Sicherheit am SharePoint aufgestellt
(S. 26/27). Kathrin Beckert, G Data, stellt
neue Netzwerklösungen für Unternehmen
vor. Neben technologischen Neuerungen
hätten Administratoren künftig auch
alle Android-Devices fest im Griff. Die Lösung
habe folgende Produkteigenschaften:
Hybridschutz, Mobile Device-Management,
einfache Administration und mobilen Zugriff
(S. 343/35). Andreas Müller, Lumension,
erläutert das professionelle Patchmanagement
für sichere Geschäftsprozesse. Es
führe durch die hohen Aufwände an Mehrarbeit,
die nötig sei, um schnell auf Gefahrenpunkte
reagieren zu können, zu höheren
Kosten. Das Unternehmen Lumension biete
eine gute Alternative, die die Umsetzung
einer holistischen Schwachstellen-Managementstrategie
ermögliche. Der geringere
Bedarf an punktorientierten Produkten und
an Mitarbeiterressourcen ermöglichten eine
Reduzierung der Betriebskosten (S. 40–42).
Klaus Gheri, Barracuda Networks, fordert,
dass Sicherheitslösungen für KMUs den
gleichen Schutz bieten, wie bei Großunternehmen,
aber sie müssten intuitiv und
einfach einzusetzen sein. Wenn KMUs
Security- und Backup-Lösungen einsetzen,
die konkret auf den unkomplizierten Betrieb
ausgelegt sind, gleichzeitig aber den
kompletten Schutz einer vollen Enterprise-
Lösung böten und noch dazu mit datenschutzkonformen
Cloud-Technologien die
Infrastruktur des Unternehmens entlasten,
könnten sie sich gegen Angriffe oder Datenverlust
absichern (S. 50–52). Armin Simon,
SafeNet, beklagt, man sei trotz der Berichte
über Datendiebstahl beim Schutz der Daten
bisher nicht wirklich weiter gekommen.
Daten ließen sich inzwischen mit modernen
Verschlüsselungs- und IAM-Lösungen zuverlässig
schützen. Es gebe eine Methodik,
die sich auf einfache Hauptpunkte reduzieren
lasse: Identifiziere die wichtigen Daten,
verschlüssele sie, pass‘ auf die Schlüssel
auf und regele zuverlässig den Zugriff
durch Identity- and Access-Management.
Ein Mindeststandard müsse nicht das sein,
was der Begriff nahelegt. Wenn das BSI
eine Norm definiert, dann handele es sich
zunächst um eine „unverbindliche Empfehlung“.
Das gelte auch von dem jetzt vom
BSI verlangten Einsatz von TLS 1.2 als
Transportverschlüsselung im Internet (heise
online v. 8. Oktober).
In der Fachzeitschrift IT-Security (Ausgabe
2-2013, S. 13–15) erläutert Urs Biggeli,
United Security Providers AG, warum
Network Access Control (NAC) mehr
und mehr zu einem zentralen Element der
IT-Infrastruktur wird. Neben der Sicherheit,
dass keine fremden Endgeräte am
Netzwerk angeschlossen werden, liege
der Hauptnutzen einer NAC-Lösung darin,
den Überblick im Netzwerk zu wahren und
dessen Verwaltung in einem hohen Maße
zu erleichtern. Dadurch reduzierten sich
erwiesenermaßen auch die Betriebsaufwände.
Heutige NAC-Lösungen würden bei der
Umsetzung von Mobile-Securitystrategien
und BYOD-Konzepten helfen. In demselben
Heft befasst sich Jochen Koehler, Cyber-Ark,

16 <strong>Focus</strong> on Security 11-2013
mit der Datenbank-Sicherheit
(S. 23–25). Etliche Unternehmen versuchten,
sie mit der Implementierung von
Lösungen in den Bereichen Data Loss Prevention
(DLP) oder Database Activity Monitoring
(DAM) zu erreichen. Diese Ansätze
seien zwar richtig, aber keineswegs ausreichend.
Die Implementierung zuverlässiger
Lösungen für die automatische Verwaltung
von privilegierten Benutzerkonten sollte für
jedes Unternehmen selbstverständlich sein,
zumal das Gefahrenpotenzial kontinuierlich
steige. Die Unsicherheit von E-Mails werde
unterschätzt, ist Marian Spohn überzeugt
(S. 33–35). Eine sichere Lösung stelle
Managed File Transfer (MFT) dar, weil sie
sicherstelle, dass alle Nachrichten codiert
sowie kontrolliert am Zielort ankommen
und nur berechtigte Empfänger darauf
zugreifen können. Dabei bleibe die Datei sicher
im MFT-System hinterlegt. Es würden
nur in einer ersten E-Mail die dazugehörige
Download-Berechtigung und in einer
zweiten ein Passwort für den Download-
Link versendet. In Verbindung mit einer
zentralen Datendrehscheide ermögliche
die Lösung ein umfassendes Monitoring
sämtlicher unternehmensinterner und
externer Datentransferaktivitäten, mit dem
sich Nachrichten von der Anfangs- bis zur
Zieladresse überwachen und vollständig
bis auf die IP-Adresse genau zurückverfolgen
ließen. Eine MFT-Lösung müsse so
beschaffen sein, dass ein Anwender die
Bequemlichkeit und Schnelligkeit eines
normalen E-Mail-Versands nicht vermisst.
Heise online meldet am 15. Oktober, der Industrieausschuss
des EU-Parlaments habe
den Weg frei gemacht für einen Verordnungsentwurf
der EU-Kommission, mit dem
die Nutzung elektronischer Signaturen
und vergleichbarer Identifikationssysteme
vereinfacht und harmonisiert werden
solle. Die Abgeordneten möchten damit
Unternehmen, Behörden und Bürgern die
Möglichkeit geben, Dokumente elektronisch
zu unterzeichnen und zu zertifizieren. Die
Mitgliedstaaten sollten verpflichtet werden,
eID-Systeme anderer EU-Länder offiziell
anzuerkennen. Das neue deutsche E
Government-Gesetz lasse neben der qualifizierten
elektronischen Signatur alternative
Technologien für den elektronischen Ersatz
der Schriftform zu und wolle so weitere
Einsatzmöglichkeiten für die eID-Funktion
des neuen Personalausweises und De-Mail
schaffen.
IuK-Kriminalität
Die Zeitschrift weist in ihrer Ausgabe
3-2013 (S. 100) darauf hin, BITKOM habe
berichtet, dass die Zahl der gemeldeten
Phishing-Fälle 2012 deutlich abgenommen
habe. Nach Angaben des BKA habe
sich die Zahl 2012 nahezu halbiert (-46
%). Die verursachten Schäden seien 2012
ebenfalls um 46 % auf 13,8 Millionen Euro
gesunken. Allerdings würden die Betrüger
zunehmend raffinierter vorgehen und
verstärkt auf Phishing-Malware setzen.
Die Zahl der Sicherheitsvorfälle insgesamt
sei in den letzten 12 Monaten um 25 %
gestiegen, meldet das Handelsblatt am 1.
Oktober unter Hinweis auf die Beratungsgesellschaft
PwC. Im Durchschnitt hätten
die befragten Sicherheits- und IT-Manager
globaler Unternehmen über 3.700 Attacken
pro Firma und Jahr verzeichnet.
Jeder dritte Manager vermute Hacker hinter
den Angriffen, 14 % verdächtigten Wettbewerber
als Drahtzieher, und 4 % nähmen
an, dass ausländische Staaten versuchen,
auf die Daten des Unternehmens zuzugreifen.
Budgets für IT-Sicherheit seien binnen
Jahresfrist massiv aufgestockt worden, von
durchschnittlich 2,8 auf heute 4,3 Millionen
EU-Dollar pro Unternehmen. Dennoch
mangele es an Abwehrkraft. Das Hauptproblem:
Die Zahl der möglichen Einfallstore
steige rasch. Mobile Geräte eröffneten neue
Zugangspunkte auf die Firmen-IT, private

<strong>Focus</strong> on Security 11-2013
17
Geräte entsprächen nicht dem Sicherheitsstandard
des Konzerns und Cloud Computing-Lösungen
stellten die IT parallel vor
zahlreiche neue Herausforderungen.
Der Diebstahl von Kundendaten oder
Geschäftsgeheimnissen Dritter sowie
die Weiterverbreitung von Viren oder
Schadprogrammen können zu Schadenersatzklagen
führen, erläutern Rechtsanwälte
Stefan Schuppert und Markus Burckhardt
in der FAZ am 2. Oktober Kunden oder
Mitarbeiter eines Unternehmens, die durch
dessen IT-Systeme geschädigt werden,
könnten grundsätzlich vertragliche Schadenersatzansprüche
geltend machen. Auch
Dritten gegenüber sei eine Deliktshaftung
nicht ausgeschlossen. Dies gelte auch für
mögliche Sammelklagen. Ferner drohten
bei bestimmten Verstößen erhebliche Geldbußen.
Ein umfassendes IT-Sicherheitskonzept
müsse neben technischen Maßnahmen
auch die betriebliche Organisation,
die Überprüfung von Mitarbeitern und
Dienstleistern sowie die Vertragsgestaltung
miteinbeziehen. Zudem sollten Notfallpläne
mit klaren Handlungsanweisungen
und Verantwortlichkeiten erstellt und
kommuniziert werden. Die Einhaltung von
Sicherheitsstandards habe auch für eine
mögliche Haftung gegenüber Dritten große
Bedeutung. Die Einhaltung vorhandener
Normen führe zwar nicht zu einem gesetzlichen
Haftungsausschluss. In aller Regel
werde man in diesem Fall aber eine Pflichtverletzung
verneinen können. Die Durchsetzung
von Regressansprüchen gegen die
Cyberkriminellen sei schwierig, denn die
Angriffe erfolgten oft aus dem Ausland. Bei
effektiver Einbindung von IT-Forensikern
und Behörden in den Zielländern ließen
sich Ansprüche unter Umständen vorläufig
sichern und Vermögenswerte einfrieren.
Der Sicherheitsberater weist am 15. Oktober
auf Versicherungen hin, die Policen
zur Absicherung von Cyberrisiken und IT-
Schäden anbieten. Neben dem Angebot der
Axa-Versicherung seien dies folgende Produkte:
„ITSafeCare 2.0“ der Zurich Gruppe,
„Allianz Cyber Protect“ der Allianz Global
Corporate & Speciality sowie „Cyber+“ von
HDI Gerling (S. 311/312).
Kommunikationssicherheit
Der Sicherheitsberater weist am 1. Oktober
darauf hin, dass das BSI offiziell die Zulassung
des Handys SiMKo 3 für die Geheimhaltungsstufe
„Verschlusssache – Nur
für den Dienstgebrauch“ (VS-NfD) erteilt
hat. Im Unterschied zu einem herkömmlichen
Android-Handy sitze im SiMKo3 ein
alternatives Betriebssystem, der sogenannte
L4-Hochsicherheits-Mikrokern. Dieser
bietet laut Telekom den Hackern kein
Versteck mehr für Überraschungen. An der
Entwicklung seien durchgängig deutsche
Firmen beteiligt gewesen. Die Entwicklung
des SiMKo3 gehe weiter. Es solle in den
nächsten Monaten zusätzliche Produktmerkmale
bieten: verschlüsselte Voice over
IP-Telefonie mit hochsicheren Verschlüsselungsverfahren,
sichere netzübergreifende
Sprachverschlüsselung, SiMKo-Produktfamilie
mit Tablets und Notebooks für den
Heimarbeitsplatz und Unterstützung des
schnellen LTE-Funkstandards (S. 299/300).
Krisenregionen
Logistiksicherheit PD Dr. Markus Ritter,
Bundespolizei, beschreibt in einem Beitrag
in Security Insight (Ausgabe 5-2013,
S. 12–17) das minimale Grundgerüst für
die Entsendung von Mitarbeitern in
Risiko- und Krisengebiete. Das Gastland

18 <strong>Focus</strong> on Security 11-2013
Protector beschreibt in der Ausgabe
10-2013 (S. 36/37) den Brandschutz
im größten Distributionszentrum Norddeutschlands.
Beim Schutzkonzept der
Hochregallager habe sich Minimax an dem
Regelwerk VdS CEA 4001 orientiert, das
neben einer klassischen Deckensprinklerung
auch eine Sprinklerung in den Regalen
vorschreibt. In diesem Projekt seien die
insgesamt 238.000 Palettenstellplätze in
15 Sprinklerebenen unterteilt und mit über
110.000 Sprinklern geschützt worden.
Dagegen seien im Bereich des Blocklagers
nach den FM-Richtlinien sogenannte – SFR
(Early Suppression – Fast Response)-
Sprinkler eingesetzt worden. Sie würden,
an der Decke montiert, dem Betreiber eine
flexible Lagerung ermöglichen. Sensible Bereiche
(Serverraum, elektrische Schalt- und
Betriebsräume) seien mit Oxeo Inertgas-
Löschanlagen versehen worden. Acht
Brandmeldezentralen vom Typ FMZ 5000
seien mit den 255 Meldepunkten durch vier
Kilometer Kabel verbunden worden.
Protector beschreibt in der Ausgabe 10-
2013 (S. 38/39) das Gefahrenmanagement
beim Versender Netrada. Am Standort
Lehrte komme das Siemens-Gefahrenmahabe
auf jeden Fall eine „Garantenstellung“,
aus der sich eine Schutzpflicht gegenüber
den ausländischen Unternehmen im Lande
ergibt. Bei der diplomatischen oder konsularischen
Vertretung Deutschlands sollten
sich die entsandten Mitarbeiter registrieren
lassen. Der Schutz von UZNB-, EU- oder
NATO-Vertretungen im Gastland werde
nicht automatisch gestellt, sondern müsse
durch ein Technical Agreement oder ein
Memorandum of Understanding vorab
vereinbart werden. Familienangehörige
seien als „weiche Ziele“ oft mehr gefährdet
als der eigentliche Expatriate. In Risiko- und
Krisengebieten müsse ein hauptamtlicher
Sicherheitsverantwortlicher eingesetzt
werden, der über einschlägige Erfahrungen
verfügt. In Ländern mit Entführungsrisiko
sei das Vorhalten vorbereiteter Proof of life-
Fragen und -Antworten wichtig. Fahrzeuge
sollten mit GPS, Track 24 und gegebenenfalls
auch mit Funk und einem Jammer
ausgestattet sein. Wenn man sich auf die
örtliche Stromversorgung nicht verlassen
kann, sollten Dieselgeneratoren und zur
Vermeidung von Computerabsturz und Datenverlust
unbedingt Uninterruptable Power
Supply-Einheiten beschafft werden. Wichtig
sei auch der garantierte Zugang zu Kliniken
mit westlichem Standard oder die Möglichkeit
einer umgehenden medizinischen Evakuierung
aus dem Land. Zur Vorbereitung
für den Krisenfall gehöre auch die Bildung
eines Critical Incident Management Team.
Logistiksicherheit
nagementsystem (GMS) SiNVR-Command
mit dem netzwerkbasierten Videosystem
SiNVR zum Einsatz. Die GMS-Softwarte
führe verschiedene Subsysteme für
Sicherheit und Gebäudebetrieb auf einer
einheitlichen Plattform zusammen (BMA
und EMA, Videosystem, Sprinklerzentrale,
automatische Evakuierungsanlage sowie
den „BOS-Gebäudefunk“. Daten aus den
Inhouse-Logistiksystemen seien über TCP/
IP direkt im System verfügbar. Ein wichtiges
Element der Gesamtlösung sei eine Client/
Server-basierte Software zur Verarbeitung
von digitalen Videobildern. Sie erlaube eine
vielseitige Darstellung von Videobildern
und unterstütze Recherchemöglichkeiten.
In einem weiteren Beitrag (S. 42/43) beschreibt
Protector die Eignung von Videosicherheitssystemen
zur Prozessdokumentation
und -optimierung für Unternehmen
innerhalb jeder Lieferkette. Die Dokumentation
des Haftungsübergangs werde zur
Wahrung von Rechtsansprüchen gegenüber
Dritten durch die Verknüpfung von Prozessdaten
und Videosystem erheblich vereinfacht.
Idealerweise würden Kameras entlang
der gesamten Prozesskette platziert,
meist ab der Anlieferung. Während der

<strong>Focus</strong> on Security 11-2013
19
Videoaufzeichnung verknüpfe das System
die Videodaten erstmalig automatisch und
in Echtzeit mit den Barcode- oder RFID-
Daten. Werden kleine Artikel von Hand ausund
eingepackt oder sortiert, sei die Dokumentation
mit Überkopfkameras hilfreich.
Hier seien hochauflösende IP-Kameras
zweckmäßig, da sie auch Details über den
Zustand der bearbeiteten Artikel liefern.
Gleichzeitig werde mit Übersichtskameras
die Umgebung erfasst. Eine leistungsstarke
Datenbank garantiere den schnellen Zugriff
auf die relevanten Videoaufzeichnungen
anhand der Prozessdaten oder von Datum
und Uhrzeit als Suchkriterium.
Die Güterverkehrs- und Logistiksicherheit
als Aufgabe für die Sicherheitswirtschaft
beschreibt Manfred Buhl, Securitas. In
einem ersten Teil (S. 50/51) geht er auf die
vom Bundesministerium für Verkehr, Bau
und Standentwicklung entwickelte Sicherheitsstrategie
für die Güterverkehrs- und
Logistikwirtschaft ein. Dann benennt er die
relevanten technischen und organisatorischen
Standards, einschließlich der Norm
des Authorised Economic Operator (AEO),
die auf EU-Verordnungen beruht und die
Sicherheit in der internationalen Lieferkette
zum Ziel hat. Schließlich behandelt er
das noch weithin ungelöste Problem des
Mangels an sicheren LKW-Stellplätzen an
Autobahnen und die maritime Sicherheit
als Grundvoraussetzung für funktionsfähige
internationale Transportketten.
Luftsicherheit
Während das Luftfahrtbundesamt im
Februar 2012 von 40.000 Unternehmen
ausgegangen sei, die ihre Produkte über
Luftfrachtversand an die jeweiligen Empfänger
bringen, seien bis heute von diesen
Unternehmen nur ca. 2.900 als bekannte
Versender zertifiziert, stellt Philip Buse,
Geschäftsführer des VSWN, fest. Da viele
Produkte der Luftfracht nicht oder nur
sicher gemacht werden könnten, komme
es beim Versand zu hohen Zeitverlusten.
Das Luftfahrtbundesamt habe 267 Stellen
besetzt, die Unternehmen als bekannte Versender
auditieren und zertifizieren sollten.
Am wahrscheinlichsten sei, dass sie nun
vor allem die „reglementierten Beauftragten“
häufiger kontrollieren (WiK, Ausgabe
5-2013, S. 38/39).
Metalldiebstahl
Die FAZ berichtet am 8. Oktober, dass vor
allem in östlichen Regionen Metalldiebe
Bahntrassen „plünderten“. Ursachen seien
unter anderem Täter aus Osteuropa und
viele Baustellen. Obwohl die Deutsche
Bahn im ersten Halbjahr 2013 mit rund 820
Diebstählen etwa 40 % weniger Taten als
im Vorjahreszeitraum gezählt habe, sei das
Problem immer noch erheblich. Die Deutsche
Bahn gehe mit verdeckten Einsätzen,
künstlicher DNA und Informationsaktionen
gegen Metalldiebe vor. Während andere
Betroffene wie der Stromkonzern Vattenfall
unter anderem mit Flugrobotern Langfingern
das Handwerk legen wollten, setze die
Bahn auf Polizeiarbeit und Vorbeugung.
Mobile Endgeräte
Die FAZ befasst sich am 24. September mit
dem Scanner für Fingerabdrücke beim
iPhone 5S. Man lege den Finger nur auf
und ziehe ihn nicht, wie bei Notebooks,

20 <strong>Focus</strong> on Security 11-2013
über eine Fläche. Vermessen würden
untere Hautschichten. Auf diese Weise sei
auch eine Lebenderkennung implementiert.
Apple speichere so die biometrischen Daten
in einem separaten Bereich des Geräts,
der von außen nicht lesbar sei, nicht in
eine iTunes-Synchronisation übernommen
werde und nicht auf Apple-Server übertragen
werde. Das alles verspreche einzigartige
Sicherheit, zumal auch kein Abbild des
Fingerabdrucks gespeichert werde, sondern
eine Art Kondensat („Hash“), aus dem sich
das Original nicht wiederherstellen lasse.
Damit verspreche Apple mehr Schutz der
Privatsphäre, der Fingerscan sei einfacher
als die Kennworteingabe. Wer diese lieber
meide, werde jenen mögen. Zum anderen
Diebstahlschutz: In Verbindung mit
dem neuen Betriebssystem iOS 7 könne
ein gestohlenes Gerät nicht mehr in den
Auslieferungszustand versetzt werden. Das
Diebesgut werde wertlos. Das werde sich
herumsprechen.
In der Zeitschrift (Ausgabe 3-2013,
S. 12–15) sieht Rüdiger Trost, F-Secure,
in der mobilen Malware eine Bedrohung
mit Zukunftspotential. Wenn immer mehr
professionelle Anwendungen über mobile
Geräte laufen, würden sie auch interessanter
für Entwickler mobiler Malware.
Dabei sei das Betriebssystem mit dem
größten Marktanteil auch das Angriffsziel
Nummer 1: Malware werde vor allem für
Android entwickelt. Ein weiterer wichtiger
Trend sei die Zunahme von Malware, die
eine Verbindung zu Command and Control
(C & C)-Servern erstellt: 123 der 149 von
Januar bis März 2013 von F-Secure neu
entdeckten Bedrohungen sendeten über
eine solche Verbindung Kommandos an das
mobile Gerät, ohne dass der rechtmäßige
Besitzer etwas davon merke. Habe man erst
einmal die Kontrolle über ein Handy übernommen,
so lasse sich ohne Weiteres damit
Profit generieren – etwa durch die Veranlassung
von Long Distance-Calls, während der
Handy-Besitzer schläft. Mit dem „Online-
Bankraub“ sei auch schon eine noch lukrativere
Disziplin der profitmotivierten Malware
belegt. Malware werde zwar komplexer, lasse
sich aber durch ein Angebot an Malware-
Kits dennoch schnell entwickeln. Botnets
würden mittlerweile auch zur Verbreitung
mobiler Malware benutzt. Zugleich würden
Aktivitäten immer zielgerichteter: Targeted
Attacks seien im Windows-Bereich schon
lange verbreitet, spielten aber nun auch im
mobilen Malware-Markt eine große Rolle.
Der Trend gehe zu immer leistungsfähigeren
und kleineren mobilen Geräten, stellt
Armin Leinfelder, baramundi software AG,
im „special“ von im Oktober 2013
fest (S. 38/39). Die Grenzen zwischen den
Geräteklassen würden unscharf. An diese
Entwicklung müsse sich die IT-Administration
anpassen. Auch das Arbeitsverhalten
ändere sich. So würden Dokumente
unterwegs auf einem Mobilgerät begonnen
und später auf dem PC fertiggestellt, E-
Mails und Kalender sollten überall verfügbar
sein. Die Folge für die IT-Administration:
Es müssten alle Geräte mit den nötigen
Programmen, Daten und Rechten versorgt
werden – und es müssten alle Geräte zuverlässig
abgesichert werden.
Notfallmanagement
In der Zeitschrift (Ausgabe 3-2013,
S. 74–76) befassen sich Manuela Reiss und
Marco Sportelli, dokuit, mit der Notfallorganisation
der IT. Aus den Ausführungen
des BSI in dem 2008 veröffentlichten
BSI-Standard 100-4 „Notfallmanagement“
lasse sich klar ableiten, dass die Erstellung
eines Notfallhandbuchs keine alleinige
Aufgabe der IT-Organisation sein könne,
sondern sich in ein übergeordnetes Notfallmanagement
einbinden müsse. Die
Autoren behandeln das Zusammenspiel im

<strong>Focus</strong> on Security 11-2013
21
Notfallmanagement und mit den Inhalten
des Notfallhandbuchs: Organisation, Sofortmaßnahmen
und Notfallbewältigung. Es sei
ein zentrales Notfallhandbuch zu erstellen,
das in der Verantwortung einer ebenso
zentralen Notfallorganisation liege und das
durch Geschäftsfortführungs- und Wiederherstellungspläne
ergänzt werde, welche
die jeweiligen Fachbereiche erstellen.
Nach der ASW-Mitteilung 054/13 hat das
BSI eine Studie zum Thema „Notfallmanagement
mit der Cloud für KMU“ veröffentlicht.
Die Studie beleuchte Potenziale
von Cloud-Techniken für die Absicherung
eines Ausfalls IT-gestützter Geschäftsprozesse
in KMU. Ziel der Studie sei es,
praxisnahe Methoden zur Notfallprävention
und -reaktion aufzuzeigen, die mithilfe moderner
Virtualisierungs- und Cloud-Technologien
umgesetzt werden können. Im Fokus
stünde dabei eine Betrachtung der auf dem
Markt verfügbaren Cloud-Angebote für
das Notfallmanagement von KMU sowie
deren Einsatz in drei typischen Szenarien.
Die Studie zeige, dass der Einsatz von
Cloud-Techniken das Notfallmanagement
sowie verschiedene Kontinuitätsstrategien
von Unternehmen verbessern können. Die
Studie verdeutliche, dass in KMU durch den
Einsatz von Virtualisierungstechniken sowie
von Cloud-Diensten fast automatisch eine
höhere Verfügbarkeit und Ausfallsicherheit
der IT-gestützten Geschäftsprozesse
erreicht wird.
Perimeterschutz
Peter Niggl, Security insight, stellt in Ausgabe
5-2013 (S. 52/53) ein „intelligentes“
Zaunsystem mit Sensorik vor, das Eindringliche
detektiert. Die Sicherheitstechnik
sei unsichtbar. Eine gebe keine auffällige
Infrastruktur. Bestandszäune ließen sich
kostengünstig nachrüsten. Das modular
aufgebaute Detektionssystem bestehe aus
einem zurücksetzbaren Kippausleger sowie
Claus Schaffner, WiK (Ausgabe 5-2013,
S. 12–15), erläutert die im Juni vorgestellte
Studie „The Human Cost of Maritime
Piracy 2012“ von „One Earth Future“. Es sei
gelungen, die Gefahr der Überfälle durch somalische
Piraten um etwa 78 % zu reduzieren,
aber das Piraten-Risiko habe sich nun an
die westafrikanische Küste verlagert. Der
Golf von Guinea sei inzwischen gefährlicher
einzuschätzen als Somalia. Die finanziellen
Einsatzkosten allein für die Somalia-Region
beziffere die Studie für 2012 mit rund 6
Milliarden $, im Golf von Guinea mit ca. 1
Milliarde $. Die Dauer von Geiselnahmen
durch somalische Piraten habe im Durcheinem
3D-Beschleunigungssensor der
Firma Sysco. In den Zaunpfosten lägen die
Nervenstränge des Systems. Die Sensoren
registrierten nicht nur Körperschall, sondern
auch Erschütterung, Neigung und andere
Besonderheiten. Jeder Sensor habe eine
Adresse, die im Managementsystem sofort
die Alarmauslösung exakt lokalisiere.
Piraterie
schnitt 11 Monate betragen. Abgesehen
von der psychischen Belastung bestünde
die größte Gefahr für körperliche Gewalt und
Folter vor allem für Besatzungen, die länger
als Geiseln gehalten wurden. Insgesamt
hätten seit 2009 vor den Küsten Somalias
über 600 Menschen ihr Leben verloren. Für
den Golf von Guinea liste das International
Maritime Bureau (IMB) die Küsten von Nigeria,
Benin, Togo und der Elfenbeinküste als
besonders piratengefährdet auf. Geiselnahme
und Entführung seien nicht das primäre
Ziel der westafrikanischen Piraten. Ihnen
gehe es eher um die Ladung. Das IMB habe
2012 insgesamt 43 Meldungen von Schiffen

22 <strong>Focus</strong> on Security 11-2013
erhalten, die im Golf von Guinea attackiert
wurden. 800 Seeleute seien dort von einer
Enterung betroffen gewesen, 206 als Geiseln
genommen worden. 83 % der Attacken
im Golf von Guinea hätten mit der Enterung
geendet. Schiffe würden meist vor Anker
angegriffen oder während der Umladungen.
Insgesamt verhielten sich laut Studie die
Piraten vor Westafrika gewalttätiger als vor
Somalia. Die Qualität der eingesetzten Waffen
sei jener der Sicherheitskräfte überlegen.
Immer weniger Piratenangriffe, titelt die
FAZ am 18. Oktober. Ihre Zahl habe nach
Angaben des Internationalen Schifffahrtsbüros
(IMB) den niedrigsten Stand seit
sieben Jahren erreicht. Gleichwohl sei die
Gefahr solcher Überfälle nach wie vor sehr
groß. Laut dem Bericht seien in den ersten
9 Monaten des Jahres 2013 insgesamt 188
Piratenangriffe registriert worden. Im gleichen
Vorjahreszeitraum seien es noch 233
gewesen. 10 Schiffe seien in diesem Jahr
bislang gekapert worden, 17 beschossen
und 140 geentert. Dabei seien 266 Seeleute
vorübergehend als Geisel genommen und
34 entführt worden. Drastisch gesunken sei
die Zahl der Angriffe vor Somalia. Lediglich
10 der registrierten Fälle seien somalischen
Piraten zugerechnet worden. Vor einem Jahr
seien es noch 70 gewesen. Immer noch in
der Hand von somalischen Piraten seien
Ende September zwei Schiffe mit 15 Seeleuten
an Bord. 49 entführte Besatzungsmitglieder
würden an Land festgehalten, 37 von
ihnen bereits länger als zwei Jahre.
Heise online meldet am 16. Oktober, dass
das Schiffsüberwachungssystem AIS von
außen ohne Probleme manipuliert werden
könne. Weder werde eine Authentifizierung
eingefordert, noch würden AIS-Nachrichten
verschlüsselt oder signiert. Praktisch ließen
sich hierdurch Meldungen zu Schiffsposition,
Route, Name, Landeszugehörigkeit und
Ladung verändern. Hacker könnten etwa
gefälschte Datenpakete an die zentralen AIS-
Server senden, um so die Fernüberwachung
zu stören. Vorstellbar sei, dass Piraten vor
Somalia dafür sorgen, dass Schiffe aus der
AIS-Überwachung verschwinden.
Produktpiraterie
ASW-Securicon weist am 15. Oktober auf
eine Pressekonferenz im Zollkriminalamt
hin, in der die europäische Kampagne gegen
Produktpiraterie „Zu schön, um wahr zu
sein?“ vorgestellt wurde, mit der die EU-Kommission
auf die Bedeutung der Marken- und
Produktpiraterie als weltweit ernstes Problem
für Verbraucher und Wirtschaft aufmerksam
mache. Der weltweite Handel mit gefälschten
Waren mache über 200 Milliarden Euro aus.
Allein der deutsche Zoll habe 2012 Warenfälschungen
im Wert von fast 130 Millionen Euro
beschlagnahmt. Dabei handele es sich längst
nicht mehr nur um Fälschungen von Luxusgütern
wie Markenuhren oder teure Designertextilien.
Auch Güter des täglichen Bedarfs
wie Arzneimittel, Elektrogeräte, Werkzeug und
Maschinen würden gefälscht. In den vergangenen
Jahren hätten sich dazu auch die Vertriebswege
geändert. Fälscher nutzten heute
moderne Internetplattformen, um ihre Waren
möglichst anonym aus dem nichteuropäischen
Ausland unmittelbar an den Endverbraucher
zu vertreiben.
Rechenzentrumssicherheit
Dipl.-Ing. Thomas Hübler, MPA Dresden
GmbH, befasst sich in der Zeitschrift WiK
(Ausgabe 5-2013, S. 60/61) mit dem physischen
Schutz von Daten in Rechenzentren.
Eine Brandfrüherkennung mit aufgeschalteter
automatischer Löschung des Entste-

<strong>Focus</strong> on Security 11-2013
23
hungsbrandes sei immens wichtig. Um die
Brandbeständigkeit der Datencenter gegenüber
einem von außen einwirkenden Brand
nachzuweisen, könnten sich Betreiber an den
Vorgaben der europäischen „IT-Brandnorm“
EN 1047 für Wertbehältnisse Teil 1 (Datensicherungsschränke)
und Teil 2 (Datensicherungsräume
und –container) orientieren.
Mit dem „Multi-Sensor“ zum Erkennen
potenzieller Gefahren für den Serverraum wie
Wassereinbruch, Überhitzung und Sabotage
befasst sich Jörn Wehle, Kentix GmbH, in
derselben Zeitschrift (S. 62–64). Eine Umfrage
bei ca. 200 Behörden und KMU belege,
dass solche Risiken vernachlässigt werden.
80 % aller Serverräume und Racks seien
physikalisch nicht adäquat abgesichert. Dabei
könnten moderne Sensoren heute in einem
Gerät kombiniert werden. Die Sensoren seien
softwarebasiert. Die Schwellwerte der verschiedenen
Sensoren für die Alarmauslösung
seien in der Regel voreingestellt, könnten
bei Bedarf aber auch individuell bestimmt
werden. Entsprechende Algorithmen würden
Risiken wie Brand, Überhitzung, Betauung,
Sabotage oder den Verlust der Spannungsversorgung
erkennen und berechnen. Der
ideale Einbauort dieser Multisensoren sei von
den räumlichen Gegebenheiten abhängig. In
typischen Serverräumen würden diese rauchmeldergroßen
Sensoren an der Decke des
Raumes angebracht. Bei größeren Räumen
würden mehrere Multisensoren eingesetzt.
„Wie modular dürfen USV-Anlagen für Serverräume
sein?“, fragt Oliver Woll, von zur
Mühlen‘sche GmbH, in der Fachzeitschrift
IT-Security (Ausgabe 2-2013, S. 16/17). Die
Entscheidung für das richtige USV-System
im Serverraum werde im unteren Teillastbereich
(20 bis 30 %) und unter schwierigsten
Lastbedingungen getroffen. Der Betrieb einer
einzigen – wenn auch in sich N+1-redundanten
– modularen USV sei nur für Verbraucher
mit geringeren Verfügbarkeitsansprüchen
zu empfehlen. Würden zwei unabhängige
Einzelblock-USV-Anlagen installiert, so
könnten diese auch parallel geschaltet und
somit erweitert werden. Im demselben Heft
behandeln Ernesto Hartmann, InfoGuard AG,
und Albert Brauchli, Juniper Networks Switzerland
GmbH, die Sicherheit der nächsten
Generation für Rechenzentren (S. 20/21).
Es sei heutzutage für businesskritische
Internet-Services unerlässlich, einen DDoS-
Schutz vorzusehen. Im zweiten Schritt identifiziere
eine Intrusion-Detection-Lösung den
Hacker in Echtzeit und ermögliche flexible
Reaktionsszenarien sowohl auf der Anwendungsebene
als auch an der Netzwerk-
Firewall. Die Autoren empfehlen die globale
Junos-Spotlight Secure Hacker-Datenbank.
Angreifer würden durch die Junos WebApp
Secure-Plattform eindeutig identifiziert. Dies
geschehe anhand eines Fingerabdrucks des
Hackers mit über 200 einzigartigen Merkmalen.
Jedes neue Profil werde sogleich global
verfügbar gemacht.
Risikomanagement
In der Fachzeitschrift (Ausgabe
3-2013, S. 88–92) gibt Roland Erben, Risk
Management Association e.V., einen Überblick
über Gesetze, Standards und Methoden
zum Risikomanagement. Gesetze,
Standards und Begrifflichkeiten erschwerten
die Auswahl einer geeigneten Methodik,
aber diese Herausforderung sei zu meistern.
Entscheider müssten das Risikomanagement
heute als einen integralen Bestandteil
von Organisationsprozessen verstehen und
Methoden in diesem Sinne systematisch,
strukturiert und zeitgemäß auswählen. In
diesem Kontext zählten Frühwarnsysteme als
zusätzliche und probate Mittel der Unternehmenssteuerung.
Wichtig sei eine von der
Firmenleitung vorgelebte Unternehmenskultur
in puncto Prozesse, Risikowahrnehmung
und Awareness.
In derselben Ausgabe fordern Dipl.-Ingenieur
Dirk Kalinowski, AXA Versicherung AG, Dr.

24 <strong>Focus</strong> on Security 11-2013
Keye Moser, SIZ GmbH, und Götz Schartner,
8com GmbH, die Integration von IT-Risiken
in das ganzheitliche Risikomanagement.
Für die Definition des Risikomanagementprozesses
bevorzugen die Autoren eine
Orientierung an der sehr generischen ISOP
31000, da sie übergreifend anwendbar sei
und internationale Akzeptanz erfahren habe.
Sie lasse sich auch auf IT- und Informationsrisiken
übertragen. Behandelt werden
der Risikomanagementprozess, die Bedrohungsanalyse,
die Risikoanalyse sowie die
Aggregation von Risiken und Bewältigungsmaßnahmen.
Die Integration von IT-Risiken
in ein unternehmerisches, wertorientiertes
Risikomanagementsystem fördere das Verständnis
zwischen IT- und kaufmännischen
Fachkräften und erlaube es, angemessene
Maßnahmen zu bestimmen und entsprechend
zu budgetieren.
Schlüsselmanagement
Security insight weist in der Ausgabe
3-2013 (S. 58/59) auf den 2010 in Kraft
getretenen „Cruise Vessel Security & Safety
Act“ (CVSSA) – auch bekannt als „Kerry Bill“ -
hin, das für jedes Kreuzfahrtschiff gelte, das
in einen amerikanischen Hafen einläuft. Unter
den zahlreichen Vorgaben des Gesetzes
fänden sich auch signifikante Anforderungen
an die Zugangs- und Kontrollverfahren für
Besatzungsmitglieder. Gefordert werde ein
System, das den Zugriff auf jeden einzelnen
Schlüssel sowohl personen- als auch
zeitbezogen kontrolliert, dokumentiert sowie
definierte Zeitfenster überwacht. Der Anbieter
Traka erfülle dieses Ziel mit Hilfe seiner
netzwerkgesteuerten elektronischen Schlüsselschränke.
Aufgrund der intuitiv bedienbaren,
mit einer interaktiven realgrafischen
Oberfläche ausgestatteten Software sei der
zuständige Sicherheitsoffizier in kürzester
Zeit in der Lage, das Gesamtsystem zu verwalten.
Über die Datenbank-Kommunikation
würden ihm Status und Alarme unmittelbar
gemeldet.
Schwarzarbeit
Rechtsanwalt Dr. Wolfgang Frisch erläutert in
WiK (Ausgabe 5-2013, S. 54–56) ein neues
BGH-Urteil (v. 1.8.2013) zur rechtlichen
Beurteilung von Schwarzarbeitsverträgen.
Er geht in dieser Entscheidung von der
Nichtigkeit des Gesamtvertrages aus. Bei
einseitigem Verstoß gegen das Schwarzarbeitsgesetz
habe der Besteller einen Anspruch
auf ordnungsgemäße Erfüllung durch
den Errichter und dieser dann auch Anspruch
auf Leistung der vereinbarten Vergütung. Bei
beiderseitigem Verstoß habe der Errichter
dagegen keinen Anspruch auf den vertraglichen
Werklohn und könne nur Wertersatz für
seine Leistung verlangen. Bei der Bemessung
des Wertersatzes seien erhebliche Abschläge
als Ausgleich für die nicht bestehenden
Gewährleistungsansprüche vorzunehmen.
Hierbei seien Abschläge von 15 bis 50 %
anzusetzen.
Sicherheitsmarkt
WiK weist in der Ausgabe 5-2013 (S. 50)
darauf hin, dass der US-Sicherheitsmarkt
2012 rund 350 Milliarden $ schwer gewesen
sei. 202 Milliarden $ seien auf die
„klassische“ Sicherheit, 80 auf die IT-Sicherheit
entfallen, mit erwarteten Zuwächsen
2013 bei der klassischen Sicherheit von 5 %,
bei der IT-Sicherheit von 9 %. Eine Studie
von RNCOS erwartet für den weltweiten
Videoüberwachungsmarkt zwischen 2013

<strong>Focus</strong> on Security 11-2013
25
und 2017 ein durchschnittliches Wachstum
von jährlich 14 %. Dabei würden IP-basierte
Systeme und die Datenspeicherung in IP
Storage Are-Netzwerken die wichtigsten
Umsatzträger sein.
Social Engineering
Dr. Carsten Hesse, Riskworkers GmbH, analysiert
in der WiK (Ausgabe 5-2013, S. 22–26)
Tricks der Angreifer beim Social Engineering.
Manipuliert werde, seit es Geheimnisse
gibt, die andere erfahren wollen. Neu seien
Effizienz und Zielgenauigkeit der Manipulationen,
das Social Engineering. Psychologisch
betrachtet gebe es drei motivationale Faktoren,
die eine Manipulation begünstigen: Angst,
Gier und Dezifizite im Selbstkonzept. Eine
Manipulationsmöglichkeit bestehe im Vortäuschen
des Anrufs eines Headhunters, der eine
attraktive Position offeriert. Der Autor schildert
verschiedene Gesprächstechniken. Bei der
ersten Kontaktsituation täusche der Agent
oft vor, die Zielperson zufällig zu treffen. Sie
werde oft im vertrauten Umfeld angesprochen,
in der sie sich sicher fühlt und eine zufällig
Unterhaltung zwischen Fremden normal ist.
Günstig sei es, wenn der Agent über eine
gewisse Ähnlichkeit zur Zielperson hinsichtlich
Auftreten, Physiognomie, Dialekt, Sprachstil
und Herkunft verfügt. Beim Erstkontakt
werde so Akzeptanz erzeugt. Als Manipula-
tive Gesprächstechnik werde oft das Konzept
der Reziprozität angewandt: Im Verlauf
eines Gesprächskontakts erwähne der Agent
beiläufig, dass er aktuell bestimmte Schwierigkeiten
habe. Gemäß der Reziprozität fühle
sich der Gesprächspartner verpflichtet, auf die
Preisgabe einer persönlichen Information mit
einer vergleichbaren Offenbarung seinerseits
zu reagieren. Eine andere Gesprächstechnik
sei das „Cold-Reading“: Unter Verwendung
von allgemeingültigen Halbwahrheiten, denen
praktisch jeder zustimmen kann, werde ein
tiefer gehendes Verständnis des Gesprächspartners
suggeriert. Dieser werde dann auf
Basis einer angenommenen Vertrautheit dazu
verleitet, dem Manipulator weitere persönliche
Informationen mitzuteilen. Hilfreich sei auch
die Gesprächstechnik des sogenannten „Synchronisierens“:
Mitteilungen des Gesprächspartners
würden dabei in verschiedenen Variationen
wiederholt. Man höre nur die eigenen
Worte in immer anderer Abwandlung. Der
Gesprächspartner empfinde ein hohes Maß
an Verständnis und Akzeptanz.
Spionage
Für den Schutz der IT-Infrastruktur vor
Spionageangriffen empfiehlt Thorsten Urbanski,
G Data Software AG, in der Fachzeitschrift
(Ausgabe 5-2013, S. 40/41),
IT Security-Hersteller auszuwählen, die das
Teletrust T-Qualitätssiegel „IT-Security made
in Germany“ tragen und sich zur Erfüllung
folgender 5 Kriterien verpflichtet haben:
1. Der Unternehmenshauptsitz muss in
Deutschland liegen.
2. Das Unternehmen muss vertrauenswürdige
IZT-Sicherheitslösungen anbieten.
3. Die angebotenen Produkte dürfen keine
versteckten Zugänge enthalten.
4. Die IT-Sicherheitsforschung und -entwicklung
des Unternehmens muss in
Deutschland stattfinden.
5. Das Unternehmen muss sich verpflichten,
den Anforderungen des deutschen
Datenschutzrechts zu genügen.
Der Autor behandelt folgende Probleme
und Handlungsempfehlungen: 1. Cloud-
Nutzung vorab regeln, 2. Cyberspionage

26 <strong>Focus</strong> on Security 11-2013
von innen vermeiden, 3. Software-Sicherheitslücken
schließen, 4. Patch-Management
in den Grundschutz-Katalogen
beachten.
Jan Roßmann, n.runs professionals, behandelt
in der WiK (Ausgabe 5-2013, S. 30–32)
die Sicherheit von Videokonferenzen. Eine
abgesicherte Implementierung erfordere
die detaillierte Betrachtung sowohl der
Infrastruktur als auch der einzelnen Komponenten
der Lösung. Es empfehle sich,
möglichst frühzeitig Spezialisten einzubinden,
die den Blickwinkel eines Angreifers
einbringen und so potenzielle Schwachstellen
frühzeitig erkennen. Anhand der
Komponenten des Marktführers Polycom
würden für einen sicheren Aufbau der
Videokonferenzlösung mindestens vier Sicherheitszonen
benötigt: externe, direkt mit
dem Internet verbundene Systeme; Systeme,
die aus dem Internet direkt angespro-
chen werden; interne Serversysteme, deren
Funktionalitäten auch für externe Benutzer
zur Verfügung stehen und rein interne
Systeme. Nur mit einem derart segmentierten
„Defense in Depth“-Ansatz ließen sich
die Verbindungen zwischen den Systemen
mit unterschiedlicher Sicherheitseinstufung
entsprechend kontrollieren.
Die FAZ meldet am 14. Oktober, die Deutsche
Telekom wolle den deutschen Internetverkehr
innerhalb der Landesgrenzen
belassen, um die Kunden vor Spionage zu
schützen. Zu diesem Zweck solle die Telekom
mit allen wichtigen Geschäftspartnern
in Deutschland vereinbaren, dass E-Mails
und anderer Informationsaustausch
nur noch über deutsche Knotenpunkte
geleitet werden. Beim Transport zwischen
Sendern und Empfängern in Deutschland
solle garantiert werden, dass kein Byte
Deutschland verlässt.
Terrorismus
Die Zeitschrift WiK (Ausgabe 5-2013,
S. 8) weist auf den jährlichen US-Bericht
zum Terrorismus hin. Danach habe es im
Jahr 2012 insgesamt 6.771 Terroranschläge
gegeben. Die Hälfte habe sich in Pakistan,
im Irak und in Afghanistan ereignet.
Von den weltweit ca. 11.000 Toten und
21.600 Verletzten entfielen auf diese drei
Länder 62 %. Als aktuell gefährlichste
Länder würden Syrien und Nigeria genannt.
Von rund 160 bekannten Terror-Organisationen
seien die Taliban am aktivsten, gefolgt
von Boko Haram und Al-Qaida. 62 % der
Anschläge seien mit Sprengstoff verübt
worden, 25 % mit Waffengewalt.
Unternehmenssicherheit
„Was sind die typischen Sicherheitslecks
bei Unternehmen?“, fragt die FAZ am
26. September in einem Verlagsspezial für den
Mittelstand. 1. Unternehmen nähmen allzu
häufig Risiken in Kauf. 2. Selbst langjährige
Mitarbeiter, die als sehr vertrauenswürdig
gelten, gehörten zum Kreis derer, die
geheime Informationen für sich nutzen und
bewusst an die Konkurrenz weitergeben
würden. 3. Wenn die Produktionsanlagen
mit dem Internet verbunden sind, seien sie
den gleichen Gefahren ausgesetzt wie der
PC im Büro. 4. Vertriebsmitarbeiter, Sekretäre
und Ingenieure würden als die besten
Quellen für Konkurrenzbeobachter gelten,
um an geheime Infos zu kommen. 5. Websites,
soziale Netzwerke und Datenbanken
seien wahre Goldgruben für findige Analysten.
Bei der Vorstellung von Produkten sollte
man nur die nötigsten Informationen zu Bauund
Funktionsweise preisgeben. 6. Wenn
das Unternehmen den Mitarbeitern erlaubt,

<strong>Focus</strong> on Security 11-2013
27
private Laptops auch bei der betrieblichen
Arbeit zu benutzen, könne es passieren,
dass aus Versehen bei der privaten Nutzung
Viren eingeschleust werden und so geheime
Daten auf dem Gerät in Gefahr kommen
könnten. 7. Weil es immer wieder passiere,
dass Mitarbeiter Unterlagen aus dem
Unternehmen versehentlich irgendwo liegen
lassen, sollten sie darin geschult werden,
keine geheimen Unterlagen ausgedruckt
mitzunehmen.
Nach Überzeugung von Michael Helisch,
HECOM Security-Awareness Consulting, zielt
Security-Awareness auf Verhaltensänderung
ab. Und umfassende Security Awareness-Aktivitäten
enthielten zudem wesentliche Elemente
von Organisationsentwicklungsprojekten.
Indem sich der Einzelne verändere, verändere
sich auch das System (Ausgabe 3-2013 der
Zeitschrift , S. 86/87).
Neue Wege zur Security Awareness
empfiehlt Sven Leidel, ASI Europe, in der
Ausgabe 5-2013 der Zeitschrift WiK
(S. 46/47). Bei der Methodenwahl helfe
es, zwei grundlegende Voraussetzungen
für ein langfristiges Sicherheitsbewusstsein
näher zu betrachten: die nachhaltige
Wissensvermittlung und den standardisierten
Trainingserfolg. Beide Faktoren
sollten berücksichtigt werden. Die Form
des Präsenztrainings „Face to face“ gelange
schnell an ihre Grenzen. Bei größerer Mitarbeiterzahl
seien hohe Kosten zu erwarten,
und der persönliche Charakter des Präsenzunterrichts
gehe verloren. Als methodische
Alternativen empfiehlt der Autor das
multimediale E-Learning und das integrierte
Lernen. Das sogenannte „blended Learning“
vereine sowohl die klassische Methode des
>Präsenz-Unterrichts als auch das moderne
E-Learning.
Videoüberwachung
Die Fachzeitschrift Protector hat im September
das Special Videoüberwachung mit
vielen interessanten Beiträgen herausgegeben.
Den Schwerpunkt bildet das „9. PRO-
TECTOR Forum Videoüberwachung 2013“.
Nachfolgend werden Äußerungen einzelner
Diskussionsteilnehmer wiedergegeben.
1. Zunächst sei es darum gegangen, wie
sich die Überwachungskameras in den letzten
Jahren hin zu immer höheren Auflösungen
und zunehmend smarten Komponenten
entwickelt haben und welchen
Nutzen dies heute in der Praxis bringe
(S. 10–16). „720p“ habe sich quasi als Standard
für Überwachungskameras etabliert. Auch
„1080p“ spiele eine wachsende Rolle. Aber
in den höheren Megapixel-Bereich dringe
man nur vor, wenn es die Anforderungen
ausdrücklich voraussetzen – etwa wenn es
auf extreme Detailgenauigkeit ankomme
oder es in die Flächenüberwachung hineingehe.
Die digitale VGA-Kamera sei abseits
der Low Budget-Lösung kaum noch lebensfähig,
da seien sich die Experten einig. Was
trotz jahrelanger Grabesreden noch recht
lebendig sei, sei die Analogtechnik. Hinsichtlich
der „1080p-Kameras“ dürfe man auch
nicht vergessen, dass es hierbei hauptsächlich
um den sogenannten Upgrade-Markt
gehe. Der habe noch andere Technologien
hervorgebracht, die eine Brücke schlagen
zwischen analogen Altsystemen und der
hochauflösenden digitalen Welt von heute.
HD-SDI benötige hochwertige Koaxial-Netze.
Natürlich könne es vereinzelt Probleme
mit der vorhandenen Koaxialverkabelung
geben, aber trotzdem sei die Umrüstung von
analogen Anlagen auf Full-HD eine interessante
und kostensparende Alternative zu IP.
Was bei HD-SDI öfter bemängelt werde, sei
die Deckelung der Auflösung – bei 1080p sei
Schluss. Oberhalb davon beginne die Liga
der ausschließlich IP-basierten Megapixelkameras.
Sie hätten vor allem in speziellen
Anwendungen ihren Markt. Überall dort, wo
es um die Überwachung von großen Arealen
geht, könnten solche Systeme ihre Stärken

28 <strong>Focus</strong> on Security 11-2013
besonders gut ausspielen, wie zum Beispiel
große Werkshallen, Schwimmbäder, Logistikunternehmen,
Bahnhöfe und dergleichen.
Als vermeintliche Nischentechnik und als
Trendprodukte würden die heute in vielfältiger
Form erhältlichen Panorama- und
Fisheye-Modelle gelten. Fisheyes seien nur
bedingt für die Identifikation einsetzbar. Die
3D-Videotechnik scheine momentan noch
wenig Relevanz zu besitzen. Neue Verfahren
und Standards stünden schon in den
Startlöchern. Man beobachte bereits die
Potenziale der neuen 4K-Auflösung, die aus
der Digitalkino-Technik komme.
2. Im Anschluss diskutierten die Experten
über die Auswirkungen von HD und
Megapixel auf Peripherie und Netzwerk.
Dabei habe das reibungslose Zusammenspiel
verschiedener Komponenten im Fokus
gestanden (S. 18–23). Wenn man in den
hochauflösenden Bereich gehe, dann bitteschön
nicht nur in der Kamera, sondern bei
allen Komponenten. Das sei aber längst nicht
allen Anwendern bewusst. Das Objektiv sei
ein wesentlicher Faktor, der die Bildqualität
enorm beeinflusse. Und daher nütze
es natürlich nichts, wenn die Kamera fünf
Megapixel liefern könnten, man davon aber
ein minderwertiges Kunststoffobjektiv, zum
Beispiel ohne asphärische Linsenelemente,
habe, das diese Auflösung gar nicht abbilden
könne. Es sei auch eine Erkenntnis der
letzten Jahre, dass sogenannte Megapixel-
Objektive durchaus megapixeltauglich seien,
aber oft nur in der Bildmitte, nicht an den
Rändern. Auch an der Monitorfront halte
sich mancher gerne mit Investitionen zurück.
Dem Consumer-Monitor fehlten meistens
die wesentlichen Eigenschaften, die einen
Security-Monitor auszeichnen. Das betreffe
neben der allgemeinen Bildqualität zum
Beispiel den Einbrennschutz und natürlich
vorrangig den „24/7-Betrieb“. Ein sehr starker
Trend seien heute integrierte IR-Strahler
in Kameras. Die Netzwerkinfrastruktur sei ein
nicht zu vernachlässigender Faktor bei der
Implementierung von Videolösungen. Mit
steigenden Sensorauflösungen stiegen auch
die benötigten Bandbreiten im Netzwerk.
Es mache aber keinen großen Unterschied
mehr, ob man an ein Netzwerkkabel eine
VGA-Kamera oder eine Megapixelkamera anschließt.
Selbst die höhere Bandbreite habe
in heutigen Zeiten kaum eine Auswirkung,
weil häufig bereits Gigabit-Switche installiert
seien. Bei bestehenden Netzwerken, die
man für Video mit benutzen möchte, sollte
man vorher immer eine Netzwerkanalyse
machen. Ebenfalls nicht zu vernachlässigen
seien die Kompressionsmethoden für HD-
Formate. Eine weitere wesentliche Frage
sei, wie viel einer Megapixelauflösung durch
starke Kompression verloren gehe. Mit dem
Stichwort Speicherung sei der letzte Aspekt
angesprochen, der mit zunehmender Auflösung
kritisch werden könne. Ein Engpass
liege auch bei den Festplatten selbst.
3. Im dritten Teil des Forums ging es um
die grundsätzlichen Philosophien von
zentralen und dezentralen Systemen
sowie um ihre konkreten Vor- und Nachteile
(S. 24–35). Viele Videoanalysefunktionen,
von der Bewegungsdetektion bis hin
zur Kennzeichenerkennung, seien auf der
Kamera heute sehr gut und auch günstiger
zu betreiben als auf einem Server. Dennoch
müsse man dabei auch die Qualität bedenken.
Unter Umständen reiche es auch, auf
den Kameras eine Voranalyse zu machen.
Die nötige Rechenleistung sei dort ohnehin
vorhanden. Ganz davon abgesehen würden
als Videoanalyse zum Beispiel auch Verdrehschutz,
Blendungserkennung oder auch
Rauscherkennung definiert. Videoanalyse
werde in der Kamera heute nicht nur zur
Alarmierung genutzt, sondern auch zur Verbesserung
des Bildes. Wenn beispielsweise
ein Objekt erkannt wird, werde es mittels
dynamischer Kompression besser dargestellt,
während der Hintergrund weniger detailliert
wiedergegeben werde. Egal, welche
System architektur man wähle, ihr müsse
immer eine sorgfältige Planung zugrunde
liegen. Dezentrale und zentrale Systeme
seien nicht messerscharf zu trennen. Im
Grunde gebe es in jedem System Teilberei-

<strong>Focus</strong> on Security 11-2013
29
che, die man besser zentral organisiert, und
es gebe Funktionen, die man dezentralisiert.
Ein dezentrales System lasse sich relativ
leicht erweitern. Bei einem zentralen System
komme man je nach Größenordnung der
Erweiterung um die Hinzunahme weiterer
kostenintensiver Server nicht herum. Die
Verfügbarkeit könne durch eine dezentrale
Intelligenz deutlich erhöht werden. Dagegen
sei eine zentrale Lösung meist einfacher zu
sichern als eine dezentrale – vor allem, was
die Aufzeichnung betrifft. Falle der Server
aus, seien die Aufzeichnungen aller Kameras
verschwunden. Hier liege der Ausweg in
einer angemessenen Redundanz. Wenn man
Videoanalyse auf Servern betreibe, brauche
man entsprechend hohe Rechenleistung.
Plane man seriös, liefen die Server mit
maximal 70 % Auslastung. Kaum ein Aspekt
von dezentralen Lösungen werde so leidenschaftlich
debattiert wie die lokale Speicherung
von Videobildern auf der Kamera. Für
die einen sei dies ein absolutes No-Go, für
andere ein Gimmick, und für andere wiederum
eine nützliche Funktion für bestimmte
Anwendungen. Bei wachsenden Videoanlagen
sei der clevere und investitionsschonende
Umgang mit bestehenden Komponenten
wichtig. Encoder seien nur dazu da, vorübergehend
die existierenden Kameras in das
neue System zu integrieren. Ein Konzept,
das die Investitionen des Kunden wirklich
schützt, sei der Ansatz einer Softwareoberfläche,
die vorhandene analoge Technik
aufnimmt und vollumfänglich unterstützt.
Ein anderer Beitrag in dem „Special“ behandelt
die Lichtempfindlichkeit aktueller IP-
Überwachungskameras. Moderne, höchst
lichtempfindliche IP-Kameras böten sich als
leistungsfähigere und finanzierbare Alternative
zu bisheriger analoger Kamera- und
Aufzeichnungstechnik an. Hochauflösende
Tag-/Nacht-Netzwerkkameras vereinten
neben der Gewinnung eines scharfen Bildes
für eine verwertbare Analyse die Funktionen
Bildverarbeitung, Bildanalyse, Kompression,
Speicherung und sichere Übertragung der
Bilddaten. Die Bilderfassung in HD(720p)
und Full-HD(1080p) übernähmen CMOS-
Sensoren mit äußerst hoher Lichtempfindlichkeit.
Nachtaufnahmen, bei denen das
Bildsignal mit nur geringer Lichtmenge auf
die einzelnen Bildpunkte des CMOS-Sensors
trifft, seien geprägt von einem starken Rauschen.
Die nötige Verstärkung des Bildsignals
produziere eine große Datenmenge mit
nur geringem Anteil an nutzbarem Inhalt.
Hier setzten die jeweiligen Rauschunterdrückungs-
und Rauschfilteralgorithmen an, um
neben der Erhöhung des Nutzsignals die
Kostenfaktoren Rechenkapazität, Übertragungsbandbreite
und Speicherbedarf zu
reduzieren. Die technologisch führenden
Anbieter hoch-lichtempfindlicher IP-Kameras
nutzten ihre jeweiligen Stärken und Erfahrungen
bei der Neu- und Weiterentwicklung
der Komponenten zu ihren aktuellen
Gesamtlösungen. Vorgestellt werden in
dem Beitrag das System Ipela Engine von
Sony, die Lightfinder-Technologie von Axis
Communications, die Starlight-Technologie
der Bosch-Entwickler und Super Lolux HD
von JVC. Selbst wenn verschieden gewichtete
Lösungsansätze zur Verbesserung der
Lichtempfindlichkeit verfolgt würden, das
Zusammenspiel der Komponenten im Gesamtsystem
sichere letztlich das Qualitätsniveau
(S. 40–43).
In derselben Ausgabe der Zeitschrift beschreibt
Ludwig Bergschneider, ASP AG,
die verbesserte analoge Videoqualität durch
den neuen 960H-Standard (S. 44/45). Die
analoge Videotechnik werde noch über viele
Jahre auf steigendem Niveau weiter verwendet
werden. Die wichtigsten Gründe hierfür
seien einerseits die bereits verlegten Koaxialkabel
und andererseits die relativ günstigen
Komponenten der Systeme. Um aber
dennoch mit den steigenden Anforderungen
an Qualität und Auflösung Schritt halten
zu können, bedürfe es neuer technischer
Ansätze. Mit dem Standard 960H (oder
auch HD-Analog) gelinge dies ohne massive
Neuinvestitionen. Aus technologischer
Sicht liege der Hauptvorteil des Standards
in der höheren Auflösung. Aber auch der

30 <strong>Focus</strong> on Security 11-2013
weite Dynamikbereich und eine konstante
Leistung bei schlechten Lichtverhältnissen
zählten zu den Vorteilen. Aus Sicht
von Anwendern und Errichtern sei 960H
ebenfalls unkompliziert zu nutzen, denn es
sei voll abwärtskompatibel zum herkömmlichen
PAL-Standard. Steve Ma, Vivotek
Inc., befasst sich mit Fischaugen-Kameras
zur Überwachung (S. 46/47). Der Vorteil
eines Fischaugen-Objektivs im Vergleich zu
anderen 360 Grad-Kameras seien die geringeren
Kosten und die niedrigere Anfälligkeit
für Fehler aufgrund der angeschlossenen
Hardware. Auch gebe es keine Datenverluste
und toten Winkel, die durch ein ungenaues
Zusammenfügen von Bildern entstehen.
Eine für einen 180 Grad-Panoramablick
ausgestattete Fischaugen-Kamera oder
eine 360 Grad-Fischaugen-Kamera ohne
tote Winkel hätten ein achtmal breiteres
Blickfeld als herkömmliche VGA-Kameras,
so dass weniger Kameras installiert werden
müssten. Sie böten für unterschiedliche
Einsatzformen verschiedene Darstellungsmöglichkeiten
wie die ursprüngliche
Rundumsicht, den Panoramablick sowie
Bereichsansichten. Hochauflösende Fischaugen-Kameras
hätten eine breite Bereichsabdeckung
und eine hohe Auflösung, eine
hervorragende Bildqualität, ein robustes
Design, benutzerfreundliche Anwendungen
für die Steuerung über Handheld-Geräte
und eine dem Branchenstandard entsprechende
Verschlüsselung. Zudem seien sie
kostengünstig und unauffällig. In derselben
Ausgabe erläutert Rudolf Rohr, Barox
Kommunikation GmbH, das interaktive
Strommanagement (S. 48/49). Es sei
ein generelles Anliegen der PoE (Power
over Ethernet)-Industrie, die vielen kleinen
Netzteile zu reduzieren mit dem Ziel, ein
intelligentes, interaktives Strommanagement
einzuführen, bei dem die Quelle mit
der Senke in einem ständigen Austausch
stehe. Praktisch alle neuen Kamerasysteme
seien mit PoE ausgestattet. PoE erlaube es,
Kameras direkt über bestehende Koaxial-
Kabel oder neue UTP-Kabel mit PoE von bis
zu einem Kilometer zu speisen. Dies biete
einen ganz neuen Ansatz: Kameras könnten
mit über das Datenkabel autark versorgt
werden. Wenn in der Zentrale eine USV-Anlage
mit montiert werde, könnten Kameras
auch bei Stromausfall im Gebäude weiterlaufen.
Das Special Videoüberwachung enthält
ferner Marktübersichten zu CCTV-Kameras
(S. 60/61), zu Video-Encodern (S. 62/63),
zu Netzwerkkameras (S. 64/65), zu digitalen
Speichersystemen (S. 66/67), zu Videomanagement-Software
(S. 68/69) und zu
Monitoren (S. 70/71).
In der Fachzeitschrift s+s report (Ausgabe
3-2013, S. 55–59) behandelt Rechtsanwältin
Petra Menge Haftungsrisiken des
Errichters einer Videoüberwachungsanlage
anhand von Beispielfällen.
Die Fachzeitschrift Protector beschreibt
in der Ausgabe 10-2013 (S. 52/53) die
audiovisuelle Fernüberwachung als Dienstleistung.
Sie beschere dem Sicherheitsunternehmen
Protection One eine Erfolgsquote
von 95 %, in denen die Täter die
Flucht ergreifen, ohne weiteren Schaden
anzurichten.
In der Fachzeitschrift Security insight (Ausgabe
5-2013, S. 22/23) erläutert Winfried
Holzapfel, AVT Alarm- und Video Technik
GmbH, wie mit innovativer Technik datenschutzrechtliche
Anforderungen erfüllt
werden können. Eine wirklich sichere Lösung
beginne bei der Aufzeichnung, indem
ein intelligentes Video-Managementsystem
(VMS) zum Einsatz kommt, das in Echtzeitz
unterscheiden kann, ob es sich bei der Aufnahme
um statische Räume handelt oder
um Personen. Idealerweise verfüge dieses
VMS über zusätzliche Algorithmen, die in
Echtzeit alle Personenbilder verschlüsselt
und die so geschützten Daten im öffentlich
zugänglichen Speicher ablegt. Bestehe
ein berechtigtes Interesse daran, einen
aufgezeichneten Vorgang in einem klaren
Videostream anzuzeigen, so könne über ein
mehrschichtiges Authentifizierungsverfahren
der Rückverrechnungsvorgang gestartet

<strong>Focus</strong> on Security 11-2013
31
werden. Dabei sei darauf zu achten, dass
der Zugriff immer nur für eine klar begrenzte
Periode gilt und daher nur der betreffende
Zeitraum geöffnet und protokolliert wird.
Dem Verfahren der personenbezogenen
Verpixelung sei auf jeden Fall gegenüber
der Maskierung von Teilbereichen des
Bildes der Vorzug zu geben. In derselben
Ausgabe behandelt Katharina Geutebrück
die Funktionsmöglichkeiten eines Video-
Managementsystems (S. 24/25). Es analysiere
Bilder auf ihre Gefährdungswahrscheinlichkeit,
auf ihre Legitimität und darauf, ob
weitere Informationen enthalten sind, etwa
ein Nummernschild. Verknüpft werde das
Ganze dann mit anderen Gewerken wie Zutrittskontrolle,
Brandmeldetechnik oder der
Rollladen-Steuerung, woraus sich wiederum
weitere Prozesse in Gang setzen und neue
Informationen generieren ließen. Die Autorin
bezeichnet als wesentlichen Vorteil des G-
SIM von Geutebrück, dass es einem kleinen
Team von Bedienern ermögliche, weitläufige
und komplexe Videosysteme effizient und
komfortabel zu handhaben.
G-SIM berichte automatisch, was wo
passiert und was man sehen muss, um
die Vorfälle effektiv beurteilen zu können.
Schlage eine Kamera Alarm, dann ziehe der
Bediener per Maus die Meldung auf den
hinterlegten Lageplan-Viewer. Der Plan der
auslösenden Kamera werde sofort aufgerufen
und das Bild auf die Vergrößerungsstufe
eingestellt. Auch Markus Strübel,
Securiton, befasst sich mit intelligenter
Videoüberwachung (S. 28–30). Intelligente
Videobildanalysen seien softwarebasierte
Algorithmen zur automatischen
Auswertung digitaler Bilder. Mit Hilfe der
unterschiedlichen Verfahren ermöglichten
sie die Erkennung definierter Objekte und
Ereignisse. Die Objektklassifizierung erlaube
die Unterscheidung definierter Objektarten,
spezifischer Objekteigenschaften und
spezifischer Objektzustände. Der anwendungsorientierte
Ansatz führe zu einer sehr
hohen Detektionswahrscheinlichkeit und
einer äußerst geringen Fehlalarmrate auch
bei schwierigen Umgebungsbedingungen.
Zutrittskontrolle
Ulrich Sobers, Redaktion WiK (Ausgabe
5-2013, S. 65/66) empfiehlt die Zutrittskontrolle
via Cloud als kostengünstig und komfortabel.
Für Unternehmen, die das Ausspähungsrisiko
als gering einstufen, bedeute eine
externe Lösung für Zeit oder Zutritt keine
Erhöhung der Sicherheitsgefährdung. Zudem
könne durch vergleichsweise einfache Maßnahmen
ein Mehr an Sicherheit für die Zutrittskontrolle
erreicht werden, etwa durch ein
Splitting bei der Datenhaltung. Kostengünstig
sei vor allem die Nutzung einer public Cloud.
Für Störfälle wie ein Stromausfall im Objekt
oder eine Kabelstörung im Netzwerk müssten
die Komponenten vor Ort stand alone-fähig
sein. Für die Zutrittskontrolle müssten an
den Türen oder zumindest bei den nachgelagerten
Steuereinheiten auch hardwareseitig
Voraussetzungen für den Zugang zum Web
bereitgestellt werden.
Der Wandel bei Identitätsausweisen weg
vom Magnetstreifen hin zu Smartcards,
sei unumstritten, schreibt Protector in der
Ausgabe 10-2013, S. 30/31). Die Vorteile
der smarten Lösung sprächen vielfach für
sich, weil personalisierte Daten wie PIN und
PUK eingebracht werden können. Außerdem
sei sie multifunktional einsetzbar
durch die Integration von Bezahl-, Signier-,
Verschlüsselungs- und Ausweisfunktion für
die Zutrittskontrolle sowie PC-Anmeldung
auf nur einer Karte. Die Vorteile beschreibt
Protector näher an dem Zutrittskontrollsystem
der Norwegischen Post mit der iClassSE
Zutrittskontrollplattform von HID Global,
die auf einer offenen Umgebung mit Secure
Identity Objects basiere – einer neuen portablen
Ausweismethodik. Die Lesegeräte seien
im Innen- wie im Außenbereich vandalismusresistent.

Impressum
<strong>Focus</strong> on Security enthält Informationen zum Unternehmensschutz und wird monatlich
herausgegeben. Der <strong>Focus</strong> on Security erscheint per elektronischem Newsletter, der an
1.800 Abonnenten verteilt wird.
Hinweis der Redaktion:
Sämtliche Personenbezeichnungen im Plural gelten auch ohne ausdrückliche Nennung
gleichermaßen für männliche und weibliche Personen.
Herausgeber:
Manfred Buhl, Vorsitzender der Geschäftsführung, Düsseldorf
Verantwortlicher Redakteur:
Thomas Mensinger, Leiter Unternehmenskommunikation, Berlin
Beratender Redakteur:
Reinhard Rupprecht, Bonn
focus.securitas.de
Kontakt
Securitas Holding GmbH
Redaktion <strong>Focus</strong> on Security
Hallesches Ufer 74–76
D-10963 Berlin
Sitz: Düsseldorf, Amtsgericht Düsseldorf HRB 33348
Geschäftsführer: Manfred Buhl (Vors.), Jens Müller,
René Helbig, Elke Hollenberg, Gabriele Biesing
Vorsitzender des Aufsichtsrates: Dr. Carl A. Schade
E-Mail: info@securitas.de