Universelle Zugangskontrolle und Authentifizierungstechnologien von ELATEC
  1. Home
  2. Blog
  3. Der Countdown für KRITIS läuft: In sechs Schritten zu einem sicheren und konformen Zutritts- und Zugangskontrollsystem
Zutrittskontrolle Single Sign-on Markttrends

Der Countdown für KRITIS läuft: In sechs Schritten zu einem sicheren und konformen Zutritts- und Zugangskontrollsystem

Organisationen, die für Kritische Infrastrukturen zuständig sind, sind heutzutage erheblichen Bedrohungen ausgesetzt. Diese reichen von Sabotageakten und technischen Ausfällen bis hin zu Naturkatastrophen und dem Klimawandel. Um diese Herausforderungen zu meistern und neue Vorschriften wie das KRITIS-Dachgesetz in Deutschland und die NIS-2- und CER-Richtlinien für die Europäische Union zu erfüllen, müssen Unternehmen jetzt Maßnahmen ergreifen, um ihre Zutritts- und Zugangskontrollsysteme an die Vorschriften anzupassen. Wir haben sechs Schritte zusammengestellt, um Unternehmen dabei zu unterstützen, die KRITIS- und NIS-2/CER-Anforderungen für Zutritts- und Zugangskontrollsysteme umzusetzen.

Was ist das KRITIS-Dachgesetz?

Das deutsche KRITIS-Dachgesetz, das am 6. November als Gesetzesentwurf verabschiedet wurde, ist eine Reaktion auf zwei bedeutende Richtlinien der Europäischen Union: NIS-2 (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, 2022/2555) und CER (Richtlinie über die Resilienz kritischer Einrichtungen, 2022/2557). KRITIS betrifft deutsche Betreiber von Kritischen Infrastrukturen, definiert als Unternehmen oder Einrichtungen, deren Störung oder Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit, die Sicherheit der Lieferkette oder andere wesentliche gesellschaftliche Funktionen hätte.

Durch die Umsetzung der NIS-2- und der CER-Richtlinie in deutsches Recht schafft KRITIS einen ganzheitlichen Rahmen, der sowohl die Cybersicherheit als auch die physische Widerstandsfähigkeit berücksichtigt. Mit dem Gesetz erfüllt Deutschland die Anforderungen der NIS-2- und der CER-Richtlinie der EU, die am 16. Januar 2023 in Kraft traten. Die EU-Mitgliedstaaten sind verpflichtet, diese Richtlinien in nationales Recht umzusetzen. Die meisten Mitgliedstaaten arbeiten aktuell daran. In den letzten Jahren wurden in anderen Teilen der Welt vergleichbare Gesetze und Rechtsvorschriften zum Schutz Kritischer Infrastrukturen erlassen, darunter in den Vereinigten Staaten, dem Vereinigten Königreich, Indien, Japan, China und Südkorea. Diese Welle globaler Regulierungsmaßnahmen spiegelt das Bewusstsein für die Anfälligkeit von Infrastrukturen wie Verkehrs-, Energie- und medizinischen Systemen angesichts der zunehmenden Bedrohung durch Terrorismus, Naturkatastrophen und Cyberangriffe wieder.

Sechs Schritte zur Einhaltung von KRITIS-Vorgaben bei der Zutritts- und Zugangskontrolle

Die Zutritts- und Zugangskontrolle sind Eckpfeiler des KRITIS-Dachgesetzes und vergleichbarer globaler Rechtsvorschriften. Zutritts- und Zugangskontrollsysteme schützen sowohl materielle Güter (wie Gebäude und Geräte) als auch immaterielle Güter (wie Netzwerke und sensible Daten), indem sie die Einschränkung und Überwachung des Zugangs ermöglichen. Eine wirksame Zugangskontrolle stellt sicher, dass nur befugtes Personal Zugriff auf kritische Anlagen und sensible Daten erhält. Dadurch wird das Risiko von Sabotage, Diebstahl, Cyberangriffen und Betriebsunterbrechungen verringert. Hier erfahren Sie, wie Unternehmen ihre Zugangssysteme anpassen können, um die Einhaltung von KRITIS und vergleichbaren Rechtsvorschriften zu gewährleisten.

  1. Umstellung auf passwortlose Anmeldung mit starker, Phishing-resistenter MFA

    Passwortbasierte Systeme sind anfällig für Phishing und andere Cyberangriffe. Die Umstellung auf eine passwortlose Anmeldung mit starker, phishing-resistenter Multi-Faktor-Authentifizierung (MFA) erhöht die Zugangssicherheit. Dieser Schritt erfüllt die NIS-2-Compliance-Anforderungen und beugt den wichtigsten Cybersicherheitsrisiken vor. Gleichzeitig wird eine reibungslose und sichere Authentifizierung für befugtes Personal gewährleistet. Für eine passwortlose, phishing-resistente MFA für digitale Anwendungen können RFID-Karten und Token mit einer Benutzer-PIN oder mobile NFC-Ausweise (Near Field Communication) auf dem Smartphone mit PIN oder integrierten biometrischen Merkmalen verwendet werden. Derselbe RFID- oder NFC-Berechtigungsnachweis kann auch für die Zutrittskontrolle verwendet werden.

  2. Verwendung starker Verschlüsselung für Zugangsanwendungen

    Um sensible Daten in Zugangssystemen zu schützen, müssen Unternehmen für die gesamte Kommunikation zwischen Geräten und gespeicherten Credentials auf robuste Verschlüsselungsprotokolle wie AES-256 oder auf die fortschrittliche Kryptographie mit elliptischen Kurven (Elliptic Curve Cryptography - ECC) setzen. Eine starke Verschlüsselung schützt vor unbefugtem Abfangen von Daten oder Manipulation und gewährleistet die Einhaltung von Vorschriften zur Cybersicherheit und zum physischen Schutz. Sie umfasst auch die Verschlüsselung der Kommunikation zwischen dem RFID-Lesegerät und der Benutzerkarte oder dem Smartphone sowie zwischen dem Lesegerät und Backend-Systemen für die Zugangsverwaltung.

  3. Modernisierung der Zutrittskontrolle

    Robuste Zutrittskontrollsysteme werden benötigt, um Einrichtungen der Kritischen Infrastruktur vor unbefugtem Zutritt, Sabotage und physischen Bedrohungen zu schützen, die essenzielle Dienste beeinträchtigen könnten. Zur Einhaltung der Vorschriften kann eine Aufrüstung der physischen Systeme und der Hardware erforderlich sein. Dazu können z. B. verstärkte Schlösser, ein Manipulationsschutz bei RFID-Lesegeräten und anderen Sicherheitselementen oder sichere Zugangsschranken genutzt werden. Ebenfalls geeignet sind Maßnahmen zum Schutz vor unbefugtem Zutritt, wie beispielsweise Drehkreuze oder Drehschleusen. Unternehmen können eine Zonenstrategie einführen, bei der einzelne Zonen in unterschiedliche Sicherheitsstufen eingeteilt werden, um den Zutritt zu kritischen Bereichen für unbefugtes Personal zu begrenzen. In Sicherheitsbereichen können MFA-Methoden wie PIN-Codes oder biometrische Verifizierung mit dem RFID/NFC-Berechtigungsnachweis kombiniert werden, um zu verhindern, dass unbefugte Personen mit gestohlenen Karten oder Smartphones Zutritt erhalten.

  4. Vereinheitlichung von Zutritt- und Zugangsmethoden

    Das KRITIS-Dachgesetz verfolgt einen einheitlichen Ansatz für physischen Schutz und Cybersicherheit. Der Grund dafür liegt darin, dass physische und digitale Sicherheit unweigerlich miteinander verbunden sind. Beispielsweise können Cyberangriffe dazu genutzt werden, physische Systeme zu sabotieren oder Zugangssysteme zu manipulieren, um unbefugten Zutritt zu ermöglichen. Gleichzeitig kann eine Sicherheitsverletzung physischer Art in einem Serverraum oder an einer anderen sensiblen Einrichtung zu einem digitalen Sicherheitsverstoß führen. Einheitliche Zugangssysteme, die die Zutritts- und Zugangskontrolle kombinieren, bieten eine nahtlose Verwaltung und Überwachung aller Zugangspunkte – sowohl digital als auch physisch. In einem einheitlichen System kann derselbe Berechtigungsnachweis (Karte, Token oder Mobile Credential) verwendet werden, um den Zutritt zu physischen Einrichtungen (Türen, Drehkreuze, Aufzüge, Geräte usw.) und den Zugang zu digitalen Systemen (z. B. durch Single Sign-on-Systeme (SSO) für Dateien, Anwendungen und Geschäftssysteme) zu ermöglichen. Einheitliche Systeme erhöhen nicht nur die Benutzerfreundlichkeit und vereinfachen die Verwaltung des Zugangssystems, sondern verbessern auch die Sicherheit, indem sie eine bessere Überwachung des Nutzerverhaltens und eine Erkennung von Anomalien ermöglichen.

  5. Einführung von Echtzeitverfolgung, Protokollierung und Überwachung des Nutzerverhaltens

    Durch Echtzeitverfolgung und die Überwachung des Nutzerverhaltens, die häufig durch KI-gesteuerte Zugangsmanagement-Tools ermöglicht werden, können Unternehmen Anomalien oder potenzielle Bedrohungen proaktiv erkennen. Eine umfassende Protokollierung der Zugangsereignisse gewährleistet die Nachvollziehbarkeit und erleichtert die Analyse nach einem Sicherheitsvorfall. KI-basierte Analysesysteme können verdächtiges Verhalten oder potenzielle Verstöße wie z. B. wiederholte fehlgeschlagene Zutrittsversuche oder Standortabweichungen erkennen und umgehend Echtzeitwarnungen oder automatische Sperrungen auslösen.

  6. Einrichtung von Reaktions- und Meldeprotokollen für Sicherheitsvorfälle

    Der KRITIS-Gesetzesentwurf stellt die Bedeutung einer raschen und wirksamen Reaktion auf Sicherheitsvorfälle heraus. Unternehmen sollten Protokolle für die Erkennung, Meldung und Bekämpfung von zugangsbezogenen Sicherheitsvorfällen entwickeln und pflegen. Unternehmen sollten außerdem routinemäßige Audits und Penetrationstests für Zutritts- und Zugangskontrollsysteme durchführen, um potenzielle Schwachstellen zu erkennen und zu beseitigen. Dadurch wird sichergestellt, dass das System robust bleibt und die Konformität mit den sich entwickelnden Standards und Vorschriften, einschließlich KRITIS in Deutschland und vergleichbaren Gesetzen in der EU und weltweit, gewährleistet ist.

Benötigen Sie Unterstützung bei der Einhaltung von KRITIS-Vorgaben bei Ihrem Zutritts- oder Zugangskontrollsystem?

Die Zugangskontrolle stellt nicht nur eine gesetzliche Anforderung dar, sondern ist auch eine strategische Investition in die Resilienz, um essenzielle Dienste vor Cyberangriffen, Sabotage und Betriebsunterbrechungen zu schützen. Gemeinsam mit unseren Partnern unterstützen wir bei ELATEC Unternehmen, die für Kritische Infrastrukturen in Deutschland und weltweit verantwortlich sind, indem wir ihnen helfen, ihre Zutritts- und Zugangssysteme zu stärken, um für neue Vorschriften wie KRITIS gewappnet zu sein.

RFID und Mobile Credentials sind das Herzstück von robusten, sicheren und KRITIS-konformen Zutritts- und Zugangssystemen. Unsere Lesegeräte der TWN4 MultiTech-Familie bieten die perfekte Kombination aus hochwertiger Hardware (hergestellt in Deutschland und in den USA) und leistungsstarker, anpassbarer Software für eine zukunftssichere Lösung.

Share on Facebook Facebook Share on Linkedin Linkedin
Zurück zur Übersicht

Verwandte Beiträge

Wie eine durchdachte Authentifizierung Ihre Nachhaltigkeitsstrategie stützt

Smarte Verwaltung des Parkzugangs – mit modernen Authentifizierungslösungen

Authentifizierung in Zeiten von Cyberattacken

LEAF Identitätsnachweise bieten Interoperabilität und Sicherheit

Sollte Ihr Unternehmen „Zero Trust“ einführen?

Einfach trifft sicher: Single Sign-on plus Zwei-Faktor-Authentifizierung.

Nie mehr Ärger mit Passwörtern. Automatische Einmalanmeldung per Single Sign-on.

Mobile Authentifizierung für Self-Service-Transaktionen

Kontaktlose Authentifizierungslösungen für Reinraumumgebungen

Einmal alles richtig machen: Sicherere Authentifizierung mit Single Sign-on

Ihr Authentifizierungs-Update Jetzt den ELATEC Newsletter abonnieren

DER ELATEC NEWSLETTER Ihr Authentifizierungs-Update

Als regelmäßiger Leser sind Sie beim Thema Authentifizierung immer auf dem neusten Informationsstand, kennen die aktuellen Trends und erhalten wertvolle Tipps. Wenn Sie sich für unseren Newsletter anmelden, stellen wir sicher, dass Sie keinen neuen Blogartikel mehr verpassen. Und obendrein erhalten Sie noch mehr spannende Neuigkeiten über unsere Produkte, Veranstaltungen und Branchentrends.

Nehmen Sie Kontakt mit uns auf

Weitere Kontakte