Leitstellen neu oder moder­ni­sieren – der Weg zum Sicher­heits- und Technik­konzept

| Peter Loibl

Wenn eine Leitstelle oder Sicher­heits­zen­trale neu gebaut oder erneuert werden soll, sind die ersten Themen, die typischer­weise aufge­griffen werden, oft folgende: Fläche, Arbeits­platz­an­ordnung und Raumein­richtung (z. B. Farbe der Möbel, Boden­belag etc.).

Der Sicher­heits-Berater meint dazu: ganz falscher Ansatz. Die Schritte zu einem Sicher­heits- und Technik­konzept für eine Leitstelle müssen anders angegangen werden:

  1. Das Rad muss nicht neu erfunden werden. Security- oder Projekt­ma­nager kennen den grund­le­genden Manage­ment­prozess Plan – Do – Check – Act (PDCA), der sich in der Projekt­arbeit vielfach bewährt hat:,
PDCA Regelkreis :: Grafik
PDCA Regel­kreis :: Grafik
  1. Am Beginn steht die Analyse der Ausgangs­si­tuation. Mit einer baulich-/tech­ni­schen Ist-Erhebung werden die Grund­lagen zur vorhan­denen Leitstel­len­si­tuation, Neubau­si­tuation, zum Standort, zu techni­schen Versor­gungen, evtl. schon vorlie­genden Planungen etc. aufge­nommen.
  2. Sodann sind als zentrale Ausgangs­basis die wesent­lichen Nutzer­an­for­de­rungen, Funktions- und Betriebs­ziele zu identi­fi­zieren:
    • Welche Funktionen/Aufgaben sollen in der neuen Zentrale abgewi­ckelt werden?
    • Welche Systeme sollen mit welchem Funkti­ons­umfang aufge­schaltet und betreut werden?
    • Welche technische Unter­stützung wird für Automa­ti­sie­rungen und Workflows gebraucht?
    • Welche grund­le­genden Prozesse und Tätig­keiten sollen in der Zentrale abgewi­ckelt werden?
  3. Hieraus wird eine Zielbe­schreibung mit Schutz- und Funkti­ons­zielen abgeleitet. Diese sollte umfassen:
    • Ziele für Objekt­schutz und Security
    • Verfüg­bar­keits- und Redun­danz­de­fi­nition auf Basis von Kriti­ka­lität und Ausfall­sze­narien
    • Definition der Ausfall- und Verfüg­bar­keits­ziele für die technische Infra­struktur der Leitstelle
  4. Für die neue Zentrale müssen die betrieb­lichen Anfor­de­rungen erhoben und vorge­geben werden. Themen sind z. B.:
    • Einteilung von Siche­rungs- und Schutz­be­reichen
    • Zugangs­be­rech­ti­gungen und ‑zonen
    • Logis­tische Abläufe: Anlie­ferung, Materi­al­transport, Post, Kommu­ni­kation etc.
    • Lagerungen, Materi­al­vor­hal­tungen etc.
    • Besucher­ab­wicklung, Fremd­firmen und ‑dienst­leister etc.

      Die Regelungen müssen sowohl die perso­nen­be­setzten (Arbeits­plätze) als auch die techni­schen Flächen (IT, Serverraum, RZ, Technik, …) umfassen.
  5. Ganz wesentlich und auch in der DIN EN 50518 als einer der ersten Schritte gefordert: eine Risiko- und Gefähr­dungs­analyse. Für die Leitstelle (neu oder Bestand), deren Standort und techni­schen bzw. infra­struk­tu­rellen Funktionen wird eine leitstellen-spezi­fische Risiko- und Gefähr­dungs­analyse durch­ge­führt. Die Risiko- und Gefähr­dungs­analyse darf sich nicht nur darauf beschränken, die Gefähr­dungen zu erkennen bzw. zu identi­fi­zieren. Bei Vorhan­densein beein­träch­ti­gender Risiken muss mit entspre­chenden Maßnahmen eine Risiko­min­derung erreicht werden. Damit entsteht der erste konkrete Maßnah­men­ka­talog für die Umsetzung der Leitstelle.
  6. Um nachvoll­ziehbar zu bewerten, welche Art von IT-Ausstattung (z. B. Redun­danzen) und welche Stärke von Maßnahmen die Leitstelle bzw. Sicher­heits­zen­trale benötigt, ist die Risiko­analyse auch für Themen der IT- und Informations­sicherheit durch­zu­führen. Die zu betrach­tenden Gefähr­dungen sind die „elemen­taren Gefähr­dungen“ aus dem BSI-Grund­schutz­kom­pendium. Die Szenarien zu diesen Gefähr­dungen sind dieje­nigen, die von Standards wie dem BSI-Grund­schutz­kom­pendium oder der ISO 27001/2 explizit oder implizit adres­siert werden. Auch dieser Schritt endet mit konkreten Maßnahmen zur Umsetzung.
  7. Seit 2010 gibt es die DIN EN 50518 Alarm­emp­fangs­stelle und seit Februar 2020 liegt diese in der inzwi­schen dritten und neuen Fassung vor. Diese Norm darf als Abbild von Regeln bzw. Stand der Technik nicht ausge­blendet werden. Wie man die Inhalte dieser Norm projekt­ge­recht einbe­zieht, finden Sie in dem Beitrag auf Seite 388 dieser Ausgabe.
  8. Darüber hinaus kann es notwendig oder angebracht sein, weitere leitstel­len­spe­zi­fische Regel­werke einzu­be­ziehen und zu berück­sich­tigen. Diese können z. B. sein:
    • VdS Richt­linie 3138: Notruf- und Service­leit­stelle (NSL). Insbe­sondere bei Wach- und Sicher­heits­dienst­leistern wird stark auf eine Zerti­fi­zierung nach dieser Richt­linie gesetzt.
    • Die neue Vornorm DIN VDE V 0827–11: Notruf- und Service­leit­stelle (NSL).

      Die Struktur und der Aufbau dieser Vornorm ist mit der VdS 3138 vergleichbar, sie bezieht aber einen weiteren Anwen­dungs­be­reich mit ein.
  9. Leitstel­len­in­fra­struktur ist IT-Infra­struktur. Seit 2014 liegt hierfür die DIN EN 50600 Infor­ma­ti­ons­technik – Einrich­tungen und Infra­struk­turen von Rechen­zentren vor, die ebenfalls den Stand der Technik wider­spiegelt. Die Inhalte der DIN EN 50600 (im Schwer­punkt Konzept und Ausführung der techni­schen Infra­struktur) müssen aufge­griffen und für die IT-Infra­struktur der Leitstelle berück­sichtigt werden.
  10. Erst nach Durch­laufen dieser genannten Schritte liegen die Grund­lagen zum Erstellen eines Sicher­heits- und Technik­kon­zeptes auf dem Tisch. Dieses gliedert sich in die Themen­be­reiche und Abschnitte:
    • Sicher­heits­konzept für Bau bzw. Ausbau, Sicher­heits­technik und Objekt­schutz
      mit baulichen Anfor­de­rungen an Wände, Decken, Türen, Fenster, Schutz­zonen, Gefah­ren­mel­de­technik, Brand­schutz (baulich, vorbeugend, detek­tierend, abwehrend) …
    • Beschreibung der Leitstel­len­sys­tem­technik mit aufzu­schal­tenden Systemen, technische Schnitt­stellen, Gefah­ren­ma­nagement-/Leit­system, Kommu­ni­kation und Alarmierung, Video-/Visua­li­sie­rungs­technik, Leitstel­len­sys­tem­mö­blierung
      etc.
    •  Ganz wichtig, aber immer wieder aus dem Sichtfeld verloren: Ausführung einer hochver­füg­baren techni­schen Leitstel­len­in­fra­struktur mit Versor­gungs­medien. Dazu zählen Elektro­technik (Energie­ver­sorgung, Vertei­lungen MS/NSHV, Netzin­stal­la­tionen, NEA, USV, Racktechnik …), Klima-/Lüftungs­technik, Gebäu­de­au­to­mation, Monitoring und natürlich das nicht mehr wegzu­den­kende Thema der Energie­ef­fi­zienz. Dabei gilt: Es genügen keines­falls so pauschale Aussagen wie unter­bre­chungs­freier Strom mit USV und ausrei­chende Klima­ti­sierung. Das Technik­konzept erarbeitet Leistungs­bi­lanzen und konkrete technische Lösungen für die Versor­gungs­ge­werke mit Vorgaben zu Leistungs­an­for­de­rungen, Ausführung, Funkti­ons­prin­zipien, Systemen und techni­schen Planungen und Planungs­schemata. Natürlich müssen für die techni­schen Anlagen auch Flächen und Raum mit entspre­chendem Anfor­de­rungs­profil beschrieben sein.
    • Aus-/Rück­fall­kon­zeption mit Backup- und Redun­danz­sze­narien
    • Beschreibung von integra­tiven und gewer­ke­über­grei­fenden Funktions- und Härte­tests, die zur Fertig­stellung gewähr­leisten, dass alle Systeme nicht nur einzeln, sondern auch im Verbund richtig agieren (Stich­wörter: Brand­fall­steu­er­matrix, Funktionen der Gebäu­de­au­to­mation)
  11. Ein Betriebs­konzept greift alle zuvor beschrie­benen Themen auf und ist die Basis für den Leitstel­len­be­trieb. Dieses beschreibt auch die Anfor­de­rungen an Organi­sation, Personal, Ausbildung und Quali­fi­kation. Zusätzlich dürfen natürlich Ausfall- und Wieder­in­be­trieb­nahme, also die Regelungs­themen von Business Continuity Management (BCM) und Krisen­handling nicht fehlen.
  12. Leitstel­len­systeme sind IT-Systeme. Diese Erkenntnis ist nicht neu. Das daraus resul­tie­rende Erfor­dernis nach Informations­sicherheit und der Imple­men­tierung im Sicher­heits- und Technik­konzept aber offenbar doch. Fakt ist, dass die Prinzipien der IT- und Informations­sicherheit Berück­sich­tigung und Anwendung finden müssen. Die bewährten Standards hierfür sind die Normen­reihe der DIN ISO/IEC 27001 ff. Infor­ma­ti­ons­si­cher­heits­ma­nagement und das Grund­schutz­kom­pendium bzw. die Grund­schutz­ka­taloge des BSI (Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik).
    Z. B. können die Controls der DIN ISO 27001 aufge­griffen und den Leitstel­len­themen zugewiesen werden. Natürlich braucht es für solche Konzep­tions- und Planungs­leis­tungen quali­fi­ziertes Know-how zu IT- und Informations­sicherheit, wie es z. B. ISMS-(Lead) Auditoren besitzen.

    Bei KRITIS-Unter­nehmen bzw. ‑Sektoren ergibt sich zusätz­liche Brisanz: Im IT-Sicher­heits­gesetz ist den KRITIS-Stellen per Gesetz auferlegt, Informations­sicherheit nach Stand der Technik einzu­halten. Als Stand der Technik gelten die oben angege­benen DIN ISO/IEC 27001 ff. und auch der BSI-Grund­schutz, der im Übrigen mit der DIN ISO/IEC 27001 Hand in Hand geht.
  13. Und, last but not least, das oft leidig gesehene Thema Daten­schutz: In jeder Leitstelle werden perso­nen­be­zogene Daten erhoben oder verar­beitet. Das beginnt mit der Video­technik, die z. B. Leitstel­len­zu­gänge, Umfeld, Technik­flächen etc. überwacht und hört mit den perso­nen­be­zo­genen Kontakt- und Alarm­daten eines Gefah­ren­ma­nagement- oder Leitsystems noch lange nicht auf. Ausgangs­basis ist eine aus Sicht der Betrof­fenen durch­zu­füh­rende Risiko- und Folge­ab­schätzung, gefolgt von Maßnahmen und Vorgaben für Technik und Betrieb, die in Verzeich­nissen zu Verar­bei­tungs­tä­tig­keiten dokumen­tiert sind. Dabei gilt immer der gesetzlich gefor­derte Anspruch nach Sicher­stellen der Angemes­senheit bei der Verar­beitung von perso­nen­be­zo­genen Daten. Eine Wahl- oder Entschei­dungs­freiheit, wie z. B. im Umgang mit Normen und Regeln der Technik gibt es dabei nicht. Das verbind­liche Bundes­da­ten­schutz­gesetz (BDSG) und die zu Grunde liegende EU-Daten­schutz­grund­ver­ordnung (DSGVO) lassen keine Ausnahmen zu.

Mit den beschrie­benen Schritten und Inhalten legt das Sicher­heits- und Technik­konzept die Grund­lagen für eine quali­fi­zierte Planung der Leitstelle oder Sicher­heits­zen­trale, indem es alle relevanten Anfor­de­rungs­pa­ra­meter einbe­zieht und für einen künftigen sicheren Betrieb die techni­schen, baulichen und organi­sa­to­ri­schen Ablei­tungen und Vorgaben, einge­bettet in das normative und gesetz­liche Regelungsfeld, trifft. Damit ist das Sicher­heits- und Technik­konzept der zentrale Baustein der Bedarfs­planung. Und jeder Projekt­ma­nager weiß, dass alles, was in der Bedarfs­planung richtig und vollständig festgelegt wird, in der Umsetzung richtig Geld und Zeit spart. Hier den Sparstift anzusetzen wäre deshalb ein absolut falscher Ansatz.

Veröf­fent­li­chung in Sicher­heits-Berater, 19–2020