KRITISCHE INFRASTRUKTUR (KRITIS) 54 DSD 3 | 2023 Managementoberfläche vorhanden sein, in die alle vorhandenen und neuen Subsysteme integriert werden können, einschließlich mehrerer verschiedener Zutrittslösungen. Sehr hilfreich für KRITIS-Betreiber ist hierbei die DIN EN 60839-11, mittels derer eine Risikoermittlung vor der Beschaffung und Umsetzung eines Zutrittsmanagements durchgeführt werden kann. Mithilfe dieser Norm werden die Eintrittswahrscheinlichkeit eines Risikos und das potenzielle Schadensausmaß gegenübergestellt. Unternehmen und Organisationen werden dann in vier Risikograde eingeteilt, die den spezifischen Bedürfnissen und Anforderungen entsprechen. KRITIS-Unternehmen fallen in der Regel mindestens in den Risikograd 3 oder sogar 4 (mittel bis hoch und hoch) gemäß DIN EN 60839-11-1. Bei einem hohen Risikograd wird ein sehr hohes Wissen beim potenziellen Angreifer vorausgesetzt, ebenso wie eine hohe Fertigkeit im Umgang mit der zu attackierenden Zutrittslösung sowie umfassendes Wissen über Erkennungsmethoden und IT-Technologien. Identität als besonders zu schützender Angriffsvektor bei Zutrittslösungen Ein besonders zu schützender Angriffsvektor bei KRITIS-Betreibern betrifft die Identität einer Person oder eines Besuchers, wie unter Punkt 1 aufgeführt. Dies kann in Form einer Karte, eines elektronischen Schlüsselanhängers oder eines biometrischen Merkmals erfolgen. Es ist von entscheidender Bedeutung, eine moderne IDTechnologie mit einer hohen Standardverschlüsselung einzusetzen, beispielsweise Mifare Desfire EV2 oder höher mit einer mindestens AES 128-Bit-Standard-IT-Verschlüsselung. Dadurch wird vermieden, dass die ID-Zutrittskarte innerhalb weniger Sekunden geklont werden kann. Für biometrische Merkmale gilt dasselbe, wobei auch eine hochsichere und erweiterte Sensorik zum Einsatz kommen sollte, wie beispielsweise Lebenderkennung, Fake-Detektionssensorik und KI-Technologie. In der Praxis verwenden jedoch einige KRITIS-Betreiber noch immer leicht klonbare Karten- und Biometrietechnologien, wie zum Beispiel Legic Prime, Mifare Classic oder einfach klonbare Fingerabdrucktechniken. Dies stellt ein fahrlässiges Risiko dar und sollte schnellstmöglich durch sichere Technologien ersetzt werden. Häufig möchten Kunden die ID-Zutrittskarte auch als Lichtbildausweis oder zur Zeiterfassung verwenden, wie es bereits bei einigen Bedarfsträgern in Deutschland der Fall ist. Dabei entsteht jedoch eine Kollision zwischen dem Komfort, nur ein Medium zu haben, und der erforderlichen Trennung betrieblicher und sicherheitstechnischer Aspekte, wie es auch in der DIN ISO 27001 definiert ist. Gerade KRITIS-Betreiber sollten besonderes Augenmerk auf diese Trennung legen. Es ist keinesfalls empfehlenswert, die Zutrittskarte gleichzeitig als Lichtbildausweis zu nutzen, um Angreifern keinerlei Anhaltspunkte zu geben, wo der gefundene Ausweis verwendet werden könnte. Auch bei der hybriden Verwendung als Zutrittskarte und Zeiterfassungskarte Bild: # 212873702 / stock.adobe.com
RkJQdWJsaXNoZXIy Mjc4MQ==