Wenn eine Leitstelle oder Sicherheitszentrale neu gebaut oder erneuert werden soll, sind die ersten Themen, die typischerweise aufgegriffen werden, oft folgende: Fläche, Arbeitsplatzanordnung und Raumeinrichtung (z. B. Farbe der Möbel, Bodenbelag etc.).
Der Sicherheits-Berater meint dazu: ganz falscher Ansatz. Die Schritte zu einem Sicherheits- und Technikkonzept für eine Leitstelle müssen anders angegangen werden:
Das Rad muss nicht neu erfunden werden. Security- oder Projektmanager kennen den grundlegenden Managementprozess Plan – Do – Check – Act (PDCA), der sich in der Projektarbeit vielfach bewährt hat:,
Am Beginn steht die Analyse der Ausgangssituation. Mit einer baulich-/technischen Ist-Erhebung werden die Grundlagen zur vorhandenen Leitstellensituation, Neubausituation, zum Standort, zu technischen Versorgungen, evtl. schon vorliegenden Planungen etc. aufgenommen.
Sodann sind als zentrale Ausgangsbasis die wesentlichen Nutzeranforderungen, Funktions- und Betriebsziele zu identifizieren:
Welche Funktionen/Aufgaben sollen in der neuen Zentrale abgewickelt werden?
Welche Systeme sollen mit welchem Funktionsumfang aufgeschaltet und betreut werden?
Welche technische Unterstützung wird für Automatisierungen und Workflows gebraucht?
Welche grundlegenden Prozesse und Tätigkeiten sollen in der Zentrale abgewickelt werden?
Hieraus wird eine Zielbeschreibung mit Schutz- und Funktionszielen abgeleitet. Diese sollte umfassen:
Ziele für Objektschutz und Security
Verfügbarkeits- und Redundanzdefinition auf Basis von Kritikalität und Ausfallszenarien
Definition der Ausfall- und Verfügbarkeitsziele für die technische Infrastruktur der Leitstelle
Für die neue Zentrale müssen die betrieblichen Anforderungen erhoben und vorgegeben werden. Themen sind z. B.:
Einteilung von Sicherungs- und Schutzbereichen
Zugangsberechtigungen und ‑zonen
Logistische Abläufe: Anlieferung, Materialtransport, Post, Kommunikation etc.
Lagerungen, Materialvorhaltungen etc.
Besucherabwicklung, Fremdfirmen und ‑dienstleister etc.
Die Regelungen müssen sowohl die personenbesetzten (Arbeitsplätze) als auch die technischen Flächen (IT, Serverraum, RZ, Technik, …) umfassen.
Ganz wesentlich und auch in der DIN EN 50518 als einer der ersten Schritte gefordert: eine Risiko- und Gefährdungsanalyse. Für die Leitstelle (neu oder Bestand), deren Standort und technischen bzw. infrastrukturellen Funktionen wird eine leitstellen-spezifische Risiko- und Gefährdungsanalyse durchgeführt. Die Risiko- und Gefährdungsanalyse darf sich nicht nur darauf beschränken, die Gefährdungen zu erkennen bzw. zu identifizieren. Bei Vorhandensein beeinträchtigender Risiken muss mit entsprechenden Maßnahmen eine Risikominderung erreicht werden. Damit entsteht der erste konkrete Maßnahmenkatalog für die Umsetzung der Leitstelle.
Um nachvollziehbar zu bewerten, welche Art von IT-Ausstattung (z. B. Redundanzen) und welche Stärke von Maßnahmen die Leitstelle bzw. Sicherheitszentrale benötigt, ist die Risikoanalyse auch für Themen der IT- und Informationssicherheit durchzuführen. Die zu betrachtenden Gefährdungen sind die „elementaren Gefährdungen“ aus dem BSI-Grundschutzkompendium. Die Szenarien zu diesen Gefährdungen sind diejenigen, die von Standards wie dem BSI-Grundschutzkompendium oder der ISO 27001/2 explizit oder implizit adressiert werden. Auch dieser Schritt endet mit konkreten Maßnahmen zur Umsetzung.
Seit 2010 gibt es die DIN EN 50518 Alarmempfangsstelle und seit Februar 2020 liegt diese in der inzwischen dritten und neuen Fassung vor. Diese Norm darf als Abbild von Regeln bzw. Stand der Technik nicht ausgeblendet werden. Wie man die Inhalte dieser Norm projektgerecht einbezieht, finden Sie in dem Beitrag auf Seite 388 dieser Ausgabe.
Darüber hinaus kann es notwendig oder angebracht sein, weitere leitstellenspezifische Regelwerke einzubeziehen und zu berücksichtigen. Diese können z. B. sein:
VdS Richtlinie 3138: Notruf- und Serviceleitstelle (NSL). Insbesondere bei Wach- und Sicherheitsdienstleistern wird stark auf eine Zertifizierung nach dieser Richtlinie gesetzt.
Die neue Vornorm DIN VDE V 0827–11: Notruf- und Serviceleitstelle (NSL).
Die Struktur und der Aufbau dieser Vornorm ist mit der VdS 3138 vergleichbar, sie bezieht aber einen weiteren Anwendungsbereich mit ein.
Leitstelleninfrastruktur ist IT-Infrastruktur. Seit 2014 liegt hierfür die DIN EN 50600 Informationstechnik – Einrichtungen und Infrastrukturen von Rechenzentren vor, die ebenfalls den Stand der Technik widerspiegelt. Die Inhalte der DIN EN 50600 (im Schwerpunkt Konzept und Ausführung der technischen Infrastruktur) müssen aufgegriffen und für die IT-Infrastruktur der Leitstelle berücksichtigt werden.
Erst nach Durchlaufen dieser genannten Schritte liegen die Grundlagen zum Erstellen eines Sicherheits- und Technikkonzeptes auf dem Tisch. Dieses gliedert sich in die Themenbereiche und Abschnitte:
Sicherheitskonzept für Bau bzw. Ausbau, Sicherheitstechnik und Objektschutz mit baulichen Anforderungen an Wände, Decken, Türen, Fenster, Schutzzonen, Gefahrenmeldetechnik, Brandschutz (baulich, vorbeugend, detektierend, abwehrend) …
Beschreibung der Leitstellensystemtechnik mit aufzuschaltenden Systemen, technische Schnittstellen, Gefahrenmanagement-/Leitsystem, Kommunikation und Alarmierung, Video-/Visualisierungstechnik, Leitstellensystemmöblierung etc.
Ganz wichtig, aber immer wieder aus dem Sichtfeld verloren: Ausführung einer hochverfügbaren technischen Leitstelleninfrastruktur mit Versorgungsmedien. Dazu zählen Elektrotechnik (Energieversorgung, Verteilungen MS/NSHV, Netzinstallationen, NEA, USV, Racktechnik …), Klima-/Lüftungstechnik, Gebäudeautomation, Monitoring und natürlich das nicht mehr wegzudenkende Thema der Energieeffizienz. Dabei gilt: Es genügen keinesfalls so pauschale Aussagen wie unterbrechungsfreier Strom mit USV und ausreichende Klimatisierung. Das Technikkonzept erarbeitet Leistungsbilanzen und konkrete technische Lösungen für die Versorgungsgewerke mit Vorgaben zu Leistungsanforderungen, Ausführung, Funktionsprinzipien, Systemen und technischen Planungen und Planungsschemata. Natürlich müssen für die technischen Anlagen auch Flächen und Raum mit entsprechendem Anforderungsprofil beschrieben sein.
Aus-/Rückfallkonzeption mit Backup- und Redundanzszenarien
Beschreibung von integrativen und gewerkeübergreifenden Funktions- und Härtetests, die zur Fertigstellung gewährleisten, dass alle Systeme nicht nur einzeln, sondern auch im Verbund richtig agieren (Stichwörter: Brandfallsteuermatrix, Funktionen der Gebäudeautomation)
Ein Betriebskonzept greift alle zuvor beschriebenen Themen auf und ist die Basis für den Leitstellenbetrieb. Dieses beschreibt auch die Anforderungen an Organisation, Personal, Ausbildung und Qualifikation. Zusätzlich dürfen natürlich Ausfall- und Wiederinbetriebnahme, also die Regelungsthemen von Business Continuity Management (BCM) und Krisenhandling nicht fehlen.
Leitstellensysteme sind IT-Systeme. Diese Erkenntnis ist nicht neu. Das daraus resultierende Erfordernis nach Informationssicherheit und der Implementierung im Sicherheits- und Technikkonzept aber offenbar doch. Fakt ist, dass die Prinzipien der IT- und Informationssicherheit Berücksichtigung und Anwendung finden müssen. Die bewährten Standards hierfür sind die Normenreihe der DIN ISO/IEC 27001 ff. Informationssicherheitsmanagement und das Grundschutzkompendium bzw. die Grundschutzkataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik). Z. B. können die Controls der DIN ISO 27001 aufgegriffen und den Leitstellenthemen zugewiesen werden. Natürlich braucht es für solche Konzeptions- und Planungsleistungen qualifiziertes Know-how zu IT- und Informationssicherheit, wie es z. B. ISMS-(Lead) Auditoren besitzen.
Bei KRITIS-Unternehmen bzw. ‑Sektoren ergibt sich zusätzliche Brisanz: Im IT-Sicherheitsgesetz ist den KRITIS-Stellen per Gesetz auferlegt, Informationssicherheit nach Stand der Technik einzuhalten. Als Stand der Technik gelten die oben angegebenen DIN ISO/IEC 27001 ff. und auch der BSI-Grundschutz, der im Übrigen mit der DIN ISO/IEC 27001 Hand in Hand geht.
Und, last but not least, das oft leidig gesehene Thema Datenschutz: In jeder Leitstelle werden personenbezogene Daten erhoben oder verarbeitet. Das beginnt mit der Videotechnik, die z. B. Leitstellenzugänge, Umfeld, Technikflächen etc. überwacht und hört mit den personenbezogenen Kontakt- und Alarmdaten eines Gefahrenmanagement- oder Leitsystems noch lange nicht auf. Ausgangsbasis ist eine aus Sicht der Betroffenen durchzuführende Risiko- und Folgeabschätzung, gefolgt von Maßnahmen und Vorgaben für Technik und Betrieb, die in Verzeichnissen zu Verarbeitungstätigkeiten dokumentiert sind. Dabei gilt immer der gesetzlich geforderte Anspruch nach Sicherstellen der Angemessenheit bei der Verarbeitung von personenbezogenen Daten. Eine Wahl- oder Entscheidungsfreiheit, wie z. B. im Umgang mit Normen und Regeln der Technik gibt es dabei nicht. Das verbindliche Bundesdatenschutzgesetz (BDSG) und die zu Grunde liegende EU-Datenschutzgrundverordnung (DSGVO) lassen keine Ausnahmen zu.
Mit den beschriebenen Schritten und Inhalten legt das Sicherheits- und Technikkonzept die Grundlagen für eine qualifizierte Planung der Leitstelle oder Sicherheitszentrale, indem es alle relevanten Anforderungsparameter einbezieht und für einen künftigen sicheren Betrieb die technischen, baulichen und organisatorischen Ableitungen und Vorgaben, eingebettet in das normative und gesetzliche Regelungsfeld, trifft. Damit ist das Sicherheits- und Technikkonzept der zentrale Baustein der Bedarfsplanung. Und jeder Projektmanager weiß, dass alles, was in der Bedarfsplanung richtig und vollständig festgelegt wird, in der Umsetzung richtig Geld und Zeit spart. Hier den Sparstift anzusetzen wäre deshalb ein absolut falscher Ansatz.