Logo bauplaner-special.com
  • Fachartikel
  • Sicherheits- und gebäudetechnische Anlagen sind IT-Systeme

Sicherheits- und gebäudetechnische Anlagen sind IT-Systeme

Bauprojekt vs. IT-Projekt

Deutsches Ingenieurblatt 3/2022
TVN Production GmbH & Co. KG
SWISS TXT
Brandschutz und Sicherheitstechnik
Ingenieurbüro – Recht & Finanzen
Projekte, die zum Ziel haben, sicherheitstechnische Anlagen, Systeme oder auch Gebäudeautomation zu planen, auszuschreiben, zu installieren und zu betreiben, können nicht allein als Bauprojekt abgewickelt werden. Bei diesen Systemen sind nach dem Stand der Technik in gleicher Weise Anforderungen an die logische Sicherheit, also die Informationssicherheit, zu berücksichtigen. Dies findet in traditionellen Bauprojektansätzen, die stark dem Leistungsansatz der HOAI folgen, nicht statt. Es sind Leistungen zu erbringen, die einem IT-Projekt entsprechen. |

Sicherheits- und gebäudetechnische Überwachungs-, Steuer- und Regelsysteme sind nach heutigem Standard IT-Systeme. Videotechnik zum Beispiel umfasst Kameras mit IP-Anschluss, Switchen, Servern, Clients und Speichersystemen. Ein analoges Element ist nur das Objektiv mit einem optisch-elektrischen Sensor, der Licht in elektrische Signale umsetzt. Eine moderne Zutrittskontrollanlage besteht aus Tür-Controller (embedded Linux) und I/O-Modulen mit Netzanschluss, Switchen, Servern und Clients. Einzig Brand- und Einbruchmeldeanlagen stellen in der Regel noch autarke Systeme dar, die allerdings über Gefahren- bzw. Physical-Security-Information-Management-Systeme (PSIM) ebenfalls in die IP- und IT-Welt gehoben werden.

Heute weitestgehend, zukünftig umfassend werden alle sicherheits- und gebäudetechnischen Endgeräte und Systeme direkt über eine strukturierte, anwendungsneutrale Kommunikationskabelanlage (Ethernet, LAN – Local Area Network –, WLAN) mit Servern lokal oder in der Cloud kommunizieren. Auf den Servern werden eine oder mehrere Softwareapplikationen zur Erfassung, Analyse und Aufbereitung der erzeugten Daten laufen. Ähnlich ist die Entwicklung der Gebäudeautomation, die wesentlich enger mit der Sicherheitstechnik interagieren wird, als es heute der Fall ist. Denn das Ziel sind intelligente, smarte und energieeffiziente Gebäude, die auch dem Sicherheits- und Automationsgedanken hinsichtlich Safety und Security Rechnung tragen.

Wo lässt sich Sicherheitstechnik einordnen?
Sicherheitstechnik stellt im herkömmlichen Projekt einen Teil der technischen Anlagen eines Gebäudes dar, im speziellen von Fernmelde- und informationstechnischen Anlagen. Diese fallen bei der Kostenzuordnung in den Teil der DIN 276 Kosten im Bauwesen, Kostengruppe 450. Ähnlich verhält es sich bei der Gebäudeautomation. Diese wird in der Kostengruppe 480 geführt.

Diese Kosten werden in der HOAI aufgegriffen und als anrechenbare Kosten für die (fast) proportionale Honorarermittlung zugrunde gelegt. In der Konsequenz bedeutet das: Viele Kosten, viel Honorar. Wenige Kosten, wenig Honorar. Wer viel plant, bekommt viel Honorar. Wer wenig, aber optimiert plant, wird durch die aktuellen Regelungen benachteiligt. Erst recht, weil mögliche Bonus-Malus-Regelungen in der Praxis kaum angewandt oder vom leistungspflichtigen Vertragspartner unterlaufen oder angefochten werden.

IKT-Themen: eine Abgrenzung
Beispielhaft für eine Ausführungsplanung können als Grundleistung das „Fortschreiben der Berechnungen und Bemessungen zur Auslegung der technischen Anlagen und Anlagenteile“ und für Besondere Leistungen das „Anfertigen von allpoligen Stromlaufplänen“ genannt werden. Somit sind die baulichen physischen Themen, zu denen die Sicherheitstechnik grundsätzlich in Beziehung steht, über die HOAI gut abgedeckt und kalkulierbar. Doch wie schaut es aus mit den nicht greifbaren Themen insbesondere der logischen Sicherheit?

Man könnte meinen, dass informations- und kommunikationstechnische Themen (IKT) ebenfalls über die HOAI abgedeckt werden, da doch „Fernmelde- und informationstechnische Anlagen“ mit zum Planungsinhalt gehören. Dem ist allerdings nicht so.

Folgende zentrale Leistungen der Informationssicherheit werden in keiner der Phasen als Grundleistung verbindlich gewürdigt oder auch nur angesprochen:

  • Bedarfserhebung und -Planung
  • IT-Lösungskonzept erstellen
  • Risikobewertung bzw. Risikoanalyse
  • Schutzbedarfseinstufung des Systems (z. B. gem. Risikoanalyse)
  • Lastenheft Informations- und IT-Sicherheit
  • Differenzierung von Maßnahmen in technischer bzw. organisatorischer Hinsicht
  • Iterationsprozesse der logischen Sicherheitsmaßnahmen bei veränderten Lösungskonzepten seitens der Bieter für Informationstechnik (IT) und prozessualer Steuerungstechnik, Operational Technology (OT)
  • Pflichtenhefterstellung durch den Ausführenden: Begleitung, Qualitätssicherung und Controlling 
  • Schwachstellenanalyse und Penetrationstests
  • IT-Projektansatz und Dokumentation gem. ITIL (IT-Infrastructure Library): Begleitung, Qualitätssicherung und Controlling

Hoher Anspruch bei der Informationssicherheit
Die Anforderungen an IT (Information Technology) und OT (Operational Technology, z. B. auch Sicherheits- und Gebäudetechnik) sowie die Maßnahmen zur Erbringung der Informationssicherheit erfordern eng verzahnte und voneinander abhängige Arbeitspakete, die einen hohen Anspruch an die Ressourcen Zeit und Personal stellen.

Die Anforderungen zur Informationssicherheit werden regelgerecht auf Basis einer Schutzbedarfseinordnung und eines Lastenhefts definiert, das Funktionalitäten beschreibt, die über eine oder mehrere zentrale unterschiedlich lizenzierte Softwareapplikationen und im Umfang immer nachrangigere Hardware erbracht werden.

Folgende wichtige Leistungen sind ebenfalls nicht in gängigen Projektbeschreibungen für IT-Systeme und -Projekte entsprechend gefordert bzw. beschrieben:

  • IT und Netzwerk-Konzept
  • Systemarchitektur
  • Schnittstellen
  • Standards
  • Leistungsabgrenzung
  • Abnahmekriterien auf Basis der Anforderungen
  • Durchführung von Softwaretests inklusive iterativer (schrittweise sich wiederholender) Prozesse zur Fehlerbeseitigung

Zentrale Regelungen zur Informationssicherheit, z. B. BSI-Grundschutz, kommen in Deutschland vom BSI (Bundesamt für Sicherheit in der Informationstechnik).

  • Für kritische Infrastrukturen ist die Einhaltung des Stands der Technik zur Informationssicherheit gesetzlich verordnet (IT-Sicherheitsinformationsgesetz).
  • Für alle anderen Unternehmen ist es, angesichts der IT-Bedrohungen, natürlich ebenso ein Muss, Informationssicherheit zu implementieren.

Das aktuell in der Edition 2022 erschienene IT-Grundschutz-Kompendium des BSI oder der gleichwertige und konforme weltweite Standard DIN ISO/IEC 27001 ff bilden eine belastbare und gut anwendbare Handreichung als Abbild des Stands der Technik.

Erhöhter Aufwand
Betrachtet man ein Projekt „Erneuerung oder Modernisierung von Sicherheits- oder Gebäudetechnik“ in seiner Gesamtheit, so besteht neben der Dokumentation von Grundrissen, Schnitten, Ansichten und Betriebsanleitungen ein zusätzlicher Dokumentationsaufwand für Anforderungen, die sich aus dem Themengebiet der Informationssicherheit ergeben, und damit einhergehend auch für die Sicherheitsanforderungen an IT und OT.

Wartung war gestern
Zudem ergeben sich bei IT-Anwendungen massive und unmittelbare Auswirkungen auf Wartungs- und Instandhaltungsregelungen und -Verträge. Wartung im herkömmlich angewandten Stil – prüfen, ölen, schmieren, abwischen, reparieren, Ersatzteilbevorratung, … – funktioniert bei IT-Systemen schon lange nicht mehr, auch wenn die Wartungs- und Instandhaltungsverträge oft noch auf den klassischen AMEV-Regeln basieren.

Gebraucht werden IT-Systempflegeleistungen mit belastbaren Regelungen für First- und Second-Level-Support, Patchmanagement, Software- und Schnittstellenpflege, Updates für die Anwendungen, Online- und Remote-Zugriffe, Service Level Agreements (SLAs) und Leistungskennzahlen, sogenannte Key-Performance-Indicators (KPI), zur Überprüfung und Leistungsmessung. Alles Leistungen, die das traditionelle Bauprojekt nicht kennt.

Dies betrifft alle sicherheits- und gebäudetechnischen Gewerke, die einen digitalen System- und Funktionsumfang umfassen und über das Netz mit TCP (Transport Control Protocol) bzw. IP (Internet Protocol) kommunizieren und über eine Bedienoberfläche gesteuert werden können.

Fazit
Bei Projekten zur Sicherheitstechnik oder auch der Gebäudeautomation lautet die Frage nicht: „Handelt es sich um ein Bauprojekt oder ein IT-Projekt?“ – beides ist für die Umsetzung richtig und notwendig. Der angesichts der Digitalisierung immer mehr reduzierte, aber nicht weniger wichtige physische Teil wird die „konventionellen Projektleistungen“ weiterhin erfordern. Darüber hinaus sind für den logischen (IT-)Teil erweiterte und neue Leistungen vorzusehen.

Diese sind schon mit der Bedarfsplanung (Leistungsphase 0), der Konzeption und Planung, aber auch innerhalb eines Lastenhefts zu beschreiben und durch den Auftragnehmer in Form eines Pflichtenhefts, der Dokumentation und der fachlichen Ausführung zu erbringen.

Diese zusätzlichen Leistungen müssen selbstverständlich honoriert werden, bei allen beteiligten Seiten, den Projektanten und Planenden, aber auch bei den Ausführenden und Auftragnehmenden. Die neuen Anforderungen führen schließlich bei allen zu veränderten und zum Teil erheblich höheren Anforderungen, als wenn nur Kabel, Komplettsysteme und Komponenten geplant, platziert und errichtet werden. Das herkömmliche Bauprojektverständnis greift bei IT-Gebäudesystemen nicht mehr.

VON ZUR MÜHLEN’SCHE GmbH, 
Sicherheitsberatung
www.vzm.de

Zur Übersicht

Login

Mehr Informationen zum Login für Mitglieder und Abonnenten finden Sie hier!

Mehr...

Ähnliche Beiträge