Schutzbedarf Sicherheitszentrale: Analyse kritischer Funktionen

Die physische Infrastruktur beinhaltet das bauliche Umfeld und die Hardware der Sicherheitszentrale: Schließtechnik (Schlüssel, Schlösser, Türen, biometrische Leser), Notstromversorgung, USV-Anlagen, Kommunikationsverkabelung, speziell gesicherte Räume (z. B. Guardroom, Serverräume) sowie Zutrittsbarrieren (Zäune, Schleusen).

• Sicherheitszentrale als Raum : Die Leitstelle selbst muss wie ein Rechenzentrum gesichert sein. Dies umfasst konforme Schutzräume nach DIN EN 50600 bzw. VdS (z. B. „sicherheitsgerichtete Räume“). Für solche Bereiche ist in der Regel ein hoher bis sehr hoher Schutzbedarf für alle Ziele anzunehmen: Die Vertraulichkeit interner Sicherheitsprozesse, die Integrität der Schaltanlagen (z. B. Waffenkammern oder Monitore) und die ständige Verfügbarkeit der Leit- und Kommunikationssysteme sind essenziell. Nach DIN EN 50600-2-5 wird empfohlen, vier Sicherheitsklassen für physische Sicherheit (Schutz vor Eindringlingen, Zutrittskontrollen, videoüberwachte Bereiche) umzusetzen.

• Schließ- und Zutrittstechnik : Elektronische Schließanlagen, Schlüsselkästen etc. Die Schlösser und Beschläge selbst sind typischerweise ausbruchhemmend (z. B. VdS-geprüft). Verfügbarkeit der Schließanlagen ist hoch: Bei Stromausfall müssen Notstromkonzepte oder mechanische Überbrückungen sicher funktionieren, sonst ist ggf. kein Zutritt möglich. Integrität ist hoch, da eine Sabotage (z. B. gewaltsames Öffnen) die gesamte Zugangskontrolle untergräbt. Die VdS-Richtlinien verlangen etwa bei Notstrom für Zutrittssysteme höchste Zuverlässigkeit.

• Notstromversorgung und USV – Kernanlage: USV für kritische IT/Radar/KMS und ggf. Diesel-Generatoren. Verfügbarkeit ist sehr hoch – Ausfälle würden den Betrieb der Sicherheitszentrale lahmlegen (alles, von Alarmleitung bis Brandmelde-Übertragung, fällt aus). Entsprechend setzt man redundante Systeme nach DIN EN 50600-Klasse 3/4 ein (»Wartung ohne Ausfall« bzw. »nahezu ausfallfrei«). Die Integrität von Stromversorgungskomponenten (z. B. gegen Überspannung oder Sabotage) ist ebenfalls sehr hoch. Für Vertraulichkeit (hier vor allem Funktionssicherheit) gilt: Manipulation (z. B. Brand durch Kurzschluss) kann direkt in Schäden münden.

• Kommunikationsverkabelung und Netzteile : Strukturierte Kabelführung und redundante Leitungen (Regel-/Notrufnetze). Verfügbarkeit ist hoch: Wichtige Verbindungen (z. B. Alarmzentralen, Internet) müssen mindestens nach Class 3/4 RZ-Standards geschützt sein. Auch hier sind Doppelwege und GLT-Rückfallebenen üblich. Integrität (z. B. Abschirmung) schützt vor elektromagnetischer Störung und Abhören (VdS 10010). Vertraulichkeit spielt bei reiner Verkabelung nur mittelbar eine Rolle (Schutz vor Abhören nach DIN EN 50600-2-5).

In Summe sind für physische Infrastruktur Verfügbarkeit und Integrität in der Regel sehr hoch einzustufen. Ein Ausfall der Stromversorgung oder eine physische Beschädigung (Brand, Sabotage am Schaltschrank, Beschädigung eines Kommunikationskabels) führt unmittelbar zum Stillstand der Sicherheitszentrale. Deshalb verlangen Normen wie DIN EN 50600 höchste Sicherheitsklassen bei der Energieversorgung und Leitungsführung. Ein Beispiel: Wird in der Leitstelle eine mobile 2‑WEGEN Funkantenne beschädigt, können Notrufe (z. B. an Polizei/Feuerwehr) unterbunden werden – ein hohes Risiko.

Gemäß VdS- und BSI-Empfehlungen müssen diese Anlagen regelmäßig gewartet und getestet werden (wiederkehrende Prüfungen, Wartungsverträge). Physische Abschottung (z. B. Panzerräume, Zutritt nur per Wachpersonal) und Videoüberwachung erhöhen die Integrität und Verfügbarkeit zusätzlich.

Zur Sicherheitszentrale gehören bestimmte Prozesse und Abläufe, etwa Alarm- und Störfallmanagement, Evakuierungssteuerung sowie Dienst- und Schichtübergaben.

• Alarm- und Störfallmanagement : Jeder eingehende Alarm (Brand, Einbruch, Störmeldung) wird nach festem Plan abgearbeitet. Fehler in diesem Prozess können verheerende Folgen haben. Verfügbarkeit der Prozesse ist extrem wichtig (24/7-Bereitschaft). Integrität (Vollständigkeit/Genauigkeit der Laufkarten und Entscheidungen) ist sehr hoch, da falsche Abläufe zu verzögerten Rettungsmaßnahmen führen. Vertraulichkeit der Inhalte (z. B. Sicherheitskonzepte, Schwachstellenberichte) ist hoch, damit potentielle Angreifer keine Einblicke erhalten.

• Dienst- und Schichtübergaben : Übergabeprotokolle (Elektronisch/analog) enthalten Angaben über vergangene Vorkommnisse und Zustände. Verfügbarkeit der Dokumente ist hoch (fehlende Infos können zu Fehleinschätzungen führen). Integrität ist hoch, um keine Lücken in der Information zu haben. Vertraulichkeit ist gering bis normal (meist organisatorische Infos, aber sie dürfen nicht in falsche Hände geraten).

• Evakuierungssteuerung : Die Koordination von Evakuierungen (Alarmläufe, Lautsprecheransagen, Laufwegsteuerung) ist lebenswichtig. Hier sind Integrität und Verfügbarkeit sehr hoch: Falsche Evakuierungsbefehle oder ein Totalausfall der Alarmanlagen kann Menschenleben gefährden. (Arbeitsschutz und Bauordnungen schreiben regelmäßige Evakuierungsübungen und funktionsfähige Notfallkommunikation vor.)

Die genannten Prozesse stützen sich zum Teil auf IT-Systeme (z. B. digitale Alarmkarten) und erfordern also auch dort CIA-Schutz. Die Schutzbedarfskategorie ergibt sich aus möglichen Schadensszenarien: Auslassungsfehler im Alarmprozess oder fehlerhafte Übergaben können Großschadensereignisse (Brand im Unbeaufsichtigten, verspätete Rettung) auslösen. Daher ist in allen Zielen mindestens hohes Schutzniveau erforderlich. Beispielsweise werden im Grundschutz-Profil Flughäfen „Zutrittskontrolle“ bzw. „Ausweisverwaltung“ als hoch|sehr hoch|sehr hoch bewertet – analog hierzu sind im Sicherheitsleitstand vergleichbare Abläufe zu bewerten.

Diese Abläufe sind auch arbeitsrechtlich sensibel: Das ArbSchG fordert Notfall- und Gefährdungsbeurteilungen sowie Notfallpläne, die umgesetzt und geübt werden müssen. Interne Richtlinien und ES-Ausbildung (gemäß ISO 27001 A.7.2 bzw. VdS 10000) stellen sicher, dass Personalprozessbeteiligte regelmäßig geschult sind.

Unter Kommunikationsmitteln fallen alle Kanäle, die die Sicherheitszentrale nutzt: Notruftelefone (intern/extern, z. B. Direktleitung 112), Funkgeräte (z. B. für Wachpersonal), digitale interne Leitstellen-Kommunikation (Alarmmonitoring, Störmeldungsnetz) sowie Betriebstelefonie und E-Mail.

• Notruftelefonie : Interne und externe Notrufanschlüsse müssen durchgehend verfügbar sein. Daher ist Verfügbarkeit sehr hoch: Ein Ausfall verhindert lebensrettende Notrufe. Vorkehrungen wie Zweitanschlüsse, USV für Telefone etc. sind Pflicht. Integrität (z. B. zuverlässiger Gesprächsaufbau) ist ebenso sehr hoch – Telefonleitungen dürfen weder gezielt überlastet noch unverschlüsselt abgehört werden. Vertraulichkeit ist hoch (Gespräche enthalten oft personenbezogene Notrufdaten). Arbeitsschutz schreibt (z. B. ASR V3A5) Notruftelefone in Arbeitsbereichen vor und verlangt Hinweise zur Notrufabfrage.

• Funk- und Betriebsfunk : Funkgeräte mit Personal und Rettungsdiensten (incl. verschlüsselter Funkkanäle). Verfügbarkeit ist hoch (Spektrumallokation, redundante Basisstationen); Integrität hoch (klare Übermittlung, keine Störungen, modulationssichere Hardware). Sabotage (GSM-Störsender, Jammer) ist zu verhindern. Die Vertraulichkeit hängt von der Verschlüsselung ab – insbesondere bei sicherheitskritischen Kanälen ist diese sehr hoch zu bewerten.

• Leitstellen- und IT-Kommunikation : Eigene Inhouse-Netze für Alarme und Betrieb (z. B. verschlüsseltes LAN/WAN zwischen Sicherheitszentrale und Standorten). Integrität und Verfügbarkeit sind hoch, da Ausfall oder Manipulation (z. B. Falschnachrichten) die Einsatzkoordination lahmlegen würde. Die Vertraulichkeit hängt vom übertragenen Inhalt (z. B. Objektdaten, Lagebilder) ab, ist aber grundsätzlich hoch einzustufen.

Aus Sicht der Schutzziele ist Kommunikation kritischer Infrastrukturen analog zu IT-Netzen zu behandeln: ISO 27001 A.13/A.14 fordert Maßnahmen gegen Verlust oder Abhören von Daten. Die VdS empfehlen bei Alarm- und Notrufkommunikation ebenfalls redundante Wege und Authentifizierung. So verlangt eine Haufe-Empfehlung unter Arbeitsschutz, Notruftelefone mit vorgefertigten Leitfaden an den Sprechstellen zu versehen (z. B. „Wer? Wo? Was?“) und dass die Rettungskette idealerweise über die Leitstelle des Wachdienstes/der Sicherheitszentrale läuft. Somit ist der Schutzbedarf für Leitungen/Netze generell hoch bis sehr hoch, um eine ständige Einsatzfähigkeit zu gewährleisten.

Zu den personen- und betriebsspezifischen Daten zählen insbesondere Protokolle und Logs der Sicherheitsprozesse (Zutrittshistorien, Schichtpläne, Alarmprotokolle), aber auch Personalstammdaten, Einsatzpläne oder externe Lage- bzw. Wetterdaten.

• Zugangshistorien und Zutrittsdaten : Sie enthalten personenbezogene Daten (wer wann welches Objekt betreten hat). Hier greift unmittelbar die DSGVO: Vertraulichkeit ist sehr hoch, da unberechtigte Offenlegung sensible personenbezogene Daten (Standortverfolgung) bereithält. Integrität ist sehr hoch, weil Manipulation (z. B. nachträgliches Löschen oder Hinzufügen von Zutritten) eine Täuschung der Sicherheitsüberprüfung darstellen kann. Verfügbarkeit ist hoch – im Ernstfall müssen vergangene Zugriffe nachvollziehbar sein. Eine Grundlage ist z. B. BSI-Standard ORP.4 Identitäts- und Berechtigungsmanagement.

• Personaldaten und Einsatzpläne : Diese Daten (Dienstpläne, Kontaktdaten) gehören zu den schützenswerten Betriebsdaten. Vertraulichkeit ist hoch (Betroffenendaten, Schichtgeheimnis). Integrität ist hoch (z. B. richtige Personaleinsatzplanung, Manipulation könnte Überlastung oder Lücken erzeugen). Verfügbarkeit ist normal bis hoch (bei Personalausfällen ist schnelle Einarbeitung/Korrektur nötig).

• Sicherheitsprotokolle und -dokumentation : Nachtprotokolle, Inspektionslisten, Wartungsnachweise u. Ä. Hier ist vor allem Integrität hoch (ein lückenhaftes Protokoll kann Revisionen behindern und Hinweis auf Systemfehler verwischen). Vertraulichkeit und Verfügbarkeit sind normal; dennoch sind Betriebsanweisungen und Prüfungsnachweise zumeist zugriffsge­schützt archiviert.

Es verlangt insbesondere die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO eine angemessene Vertraulichkeit und Integrität (z. B. rechtzeitige Löschung alter Logs, Betroffenenrechte auf Auskunft). Der BSI-Leitfaden „Zutrittskontrolle und Datenschutz“ betont, dass Zutrittskontrolle Teil der technischen und organisatorischen Maßnahmen ist und direkt dem Schutzziel Vertraulichkeit dient. Analog müssen auch andere Betriebsdaten (z. B. Schaltpläne, Sicherheitskonzepte) vertraulich bleiben.

Die organisatorischen Vorgaben ergänzen die technischen Mittel: Hierzu gehören Einsatz- und Betriebsanweisungen, Zutrittsregelungen (Zutrittskonzept), Schulungen/Unterweisungen, Dokumentationspflichten sowie klare Verantwortlichkeiten und Eskalationsketten bei Störungen. Solche Maßnahmen sind zentrale Forderungen in Standards wie ISO 27001 Anhang A (z. B. A.7 Awareness, A.12 Betriebssicherheit) und VdS 10000ff.

• Dokumentation und Nachweisführung: Alle Abläufe (Alarmpläne, Schichtbücher, Wartungsnachweise, Zutrittskonzepte) müssen formell dokumentiert und versioniert vorliegen. Integrität dieser Dokumente ist hoch, da fehlerhafte oder fehlende Dokumentation bei Audits bzw. im Notfall zu Management-Fehlern führt. Regelmäßige Aktualität (Change-Management, Lessons-learned) ist Pflicht.

• Schulungen und Awareness: Das Personal in der Sicherheitszentrale benötigt regelmäßige Fortbildungen (Notfallmanagement, Datenschutz, IT-Security). Dies ist im Sinne ISO 27001 A.7 vorgeschrieben. Fehlendes Training erhöht das Risiko von Bedienungsfehlern. Schulungsunterlagen selbst enthalten meist unkritische Informationen (Vertraulichkeit normal), Integrität und Verfügbarkeit sind jedoch wichtig (es dürfen keine veralteten Informationen eingesetzt werden).

• Zutritts- und Befugnisregelungen: Organisatorische Zutrittskontrollen (Zwei-Personen-Regel, unterschriebene Berechtigungslisten) unterstützen die technischen Systeme. Hier schützt man durch klare Rollenzuordnung (Prinzip „need-to-know“) sensible Bereiche. Verfügbarkeit der Verfahren ist normal (Prozesse sind eingerichtet), Integrität ist hoch (fehlende Freigaben dürfen keinen Zugang gewähren), Vertraulichkeit der Listen ist hoch (Mitarbeiterdaten).

• Eskalationsketten und Notfallplanung: Für jeden sicherheitskritischen Vorfall müssen Verantwortlichkeiten und Eskalationsstufen definiert sein. Sofortmaßnahmentrio wie in [33] genannt (Wachdienst, Leitstelle, externe Rettung) zeigt die Wichtigkeit einer Leitstelle im Krisenfall. Verfügbarkeit der Eskalationswege (z. B. Notfallhandbuch, Alarmliste) ist sehr hoch, Integrität hoch (es dürfen keine falschen Eskalationsstufen vorliegen).

Diese organisatorischen Maßnahmen selbst sind nicht direkt mit CIA zu klassifizieren, da sie meist struktureller Natur sind. Jedoch untermauern sie die Umsetzung der Schutzziele: Beispielsweise bewerten BSI und VdS regelmäßige Überprüfungen/Wartungen als elementar – „Sicherheitseinrichtungen werden regelmäßig geprüft, erprobt und optimiert“. Ein Mangel an Dokumentation oder Schulung stellt eine indirekte Gefährdung (G19: Offenlegung schützenswerter Informationen, G20: unzuverlässige Quellen) dar.

Zusammenfassend lässt sich sagen, dass für die Sicherheitszentrale sämtlicher Schutzbedarf bei Verfügbarkeit und Integrität in der Regel hoch bis sehr hoch anzusetzen ist – insbesondere, weil Fehler oder Ausfälle unmittelbar die physische Sicherheit von Personen gefährden und kritische Unternehmensprozesse lahmlegen können. Vertraulichkeit ist meist hoch einzustufen, da viele Systeme personenbezogene oder sicherheitsrelevante Daten verarbeiten (Zutrittslisten, Alarmprotokolle, interne Lageberichte).

• Vertraulichkeit: Gefährdet durch unbefugte Kenntnisnahme von Sicherheitsplänen, Personaldaten oder Videoaufzeichnungen. Maßnahmen: Zugangsbeschränkung, Verschlüsselung, Datenschutzkonformität (DSGVO). BSI-Grundschutz und VdS fordern strenge Trennung und Protokollierung der Zugriffe (z. B. verschlüsselte Kommunikationskanäle für interne Alarme).

• Integrität: Gefährdet durch Sabotage, Manipulation der IT/GLT oder menschliche Fehler in Prozessen. Maßnahmen: Manipulationssichere Ausstattung (VdS-geprüfte Komponenten), Signaturverfahren für Protokolle, duale Kontrolle (Vier-Augen-Prinzip). BSI und ISO 27001 betonen hier Alarmsicherung und Berechtigungskonzepte (Annex A.9 und A.11).

• Verfügbarkeit: Am kritischsten – Ausfall der Sicherheitszentrale kann das Unternehmen existentiell bedrohen. Maßnahmen: Hochverfügbare Architektur (DUAL-Standorte, Notstrom, Backup-Leitstelle), präventive Wartung, 24/7-Personalbedeckung. In DIN EN 50600 entspricht das Klassifizierungsziel Verfügbarkeit bis Klasse 4 (»nahezu ausfallfrei«).

Typische Bedrohungsszenarien (Feuer, Einbruch, Stromausfall, Cyberangriffe, Insider) entsprechen den „elementaren Gefährdungen“ des BSI. Das ganzheitliche Schutzkonzept orientiert sich am All-Gefahrenansatz: Gegen alle (bekannten) Bedrohungen werden adäquate bauliche, technische und organisatorische Maßnahmen ergriffen.