Die Gratis-Eintrittskarte: laxe Zutrittskontrollen
Dass der Zugang zu hoch sensiblen Bereichen nur einem ausgewählten Personenkreis gestattet ist, versteht sich von selbst. Dafür gibt es ausgeklügelte Konzepte, Technologien und Szenarien.
Allerdings gilt die IT-Abteilung nicht selten als Bedenkenträger und die Geschäftsführung schätzt die Situation als weit weniger kritisch ein. Um hier Abhilfe zu schaffen und die unternehmerischen Entscheidungen zu erleichtern, sind Sicherheits-Audits ein probates Mittel. Solche Audits reichen vom stichprobenartigen Kurzaudit über ein 360° Audit bis hin zu umfangreichen Fokus-Audits für sehr spezielle Anforderungsprofile. Aufgrund der Ergebnisse ist es für alle Beteiligten sehr viel einfacher den tatsächlichen Status quo in Sachen Informationssicherheit einzuschätzen.
Nur, es gibt genügend Unternehmensbereiche und Hardware, die per se weniger gut gesichert sind und die beim Thema Sicherheit nicht sofort im Fokus stehen. Einer der Gründe ist sicherlich, dass in vielen Unternehmen und Organisationen die IT-Abteilung sich ausschließlich um die IT-Sicherheit kümmert und beispielsweise das Facility-Management um physische Sicherheitseinrichtungen.
Betroffen sind, neben den schon erwähnten Netzwerkdosen und EDV-Verteilern auch frei zugängliche Büro- und Besprechungsräume oder eine Kantine. Hier einen versteckten WLAN-Router zu installieren, der eine ungesicherte Brücke aufbaut, und der dann später für einen gezielten Cyberangriff genutzt werden kann, ist beileibe kein Hexenwerk. Selbst Kameramasten, bestückt mit IP-Kameras lassen sich missbrauchen. Wenn auch vielleicht nicht von jedem. Lax gehandhabte Zugangskontrollen haben das Potenzial mühsam eingezogene IT-Sicherheitsmaßnahmen komplett auszuhebeln.
Um das Risiko zu senken, ist es hilfreich Sicherheitszonen zu definieren. Man kann sich das Vorstellen wie die Schalen einer Zwiebel: Ein Angreifer muss die Sicherheitsmaßnahmen in den jeweiligen Zonen erst ein Mal überwinden, bevor er an sein Ziel gelangt. Dazu braucht er das, von dem er am wenigsten hat: Zeit. Zutrittskontrolle ist ein komplexes Thema. Es gibt aber durchaus Maßnahmen, die sich problemlos und ohne großen Aufwand umsetzen lassen. Büro- und Meetingräume nach dem Verlassen immer abschließen, eine Besucheranmeldung einrichten und so weiter. Das geht allerdings nur, wenn die Mitarbeiter entsprechend sensibilisiert sind. Hier schließt sich der Kreis zur Studie von PwC. Das größte Sicherheitsrisiko sehen Unternehmen nach wie vor in schlecht geschulten, respektive schlecht ausgebildeten Mitarbeitern. Das sagen76 % der Befragten. Was die Ziele der Angriffe anbelangt sind das vor allem bei den Unternehmen der kritischen Infrastrukturen die Systemverfügbarkeit. 66 % der Befragten geben das als häufigstes Ziel von Angriffen an, bei den Betreibern kritischer Infrastrukturen sind die Zahlen naturgemäß noch höher und liegen bei einem Wert von 82 %.