Kennen Sie alle Sicherheitsrisiken in der IT?

Dieser Beitrag soll auf ein häufig unterschätztes Risiko aufmerksam machen. Der Artikel stellt ferner 5 konkrete Maßnahmen zur Verfügung, wie Sie das Risiko reduzieren können.

Cyber Security ist aufwendig und teuer. Die Unternehmen betreiben einen riesigen Aufwand, um auf den neusten Stand der Technik zu bleiben und geschützt gegen Hacker zu sein. Viele Unternehmen haben begriffen, dass die IT-Sicherheit ein absolutes Muss für ein Unternehmen ist.

Lohnt sich der Aufwand für die IT-Sicherheit?

Unternehmen investieren viel Geld für Ihre IT-Sicherheit und bemühen sich z. B:

• … um ein Virtual Private Network (VPN), sodass die Kommunikation außerhalb des internen Netzwerks im Home-Office verschlüsselt bleibt und Hackern keine Chance haben.
• … um eine zwei oder drei Faktor Authentifizierung für die Mitarbeiter-Computer und die verwendete Software, um die maximale Sicherheit zu gewährleisten.
• … um ein Information Security Management System (ISMS) und Cybersecurity Automationen. Diese hochkomplexe Software braucht viel Konfiguration und Wartung bis diese funktioniert. Die IT-Abteilung im Unternehmen legt viel Wert auf die Sicherheit des internen Netzwerks, der genutzten Software und Hardware. Reichen die Maßnahmen aus?

Unterschätztes Sicherheitsrisiko in vielen Unternehmen

Ein häufig unterschätztes IT-Sicherheitsrisiko ist der physische Zugang auf das Unternehmensgelände. Wer geht bei ihnen tagtäglich in das Gebäude rein bzw. raus?

Mit einem sauberen Hemd und schwarzen Anzug (bzw. angepasst an die inoffizielle Kleiderordnung) kommt jeder Hacker in die meisten Büros in Deutschland. Sobald das Unternehmen mehr als 100 Mitarbeiter beschäftigt, kennt nicht mehr jeder jeden. Der Hacker gibt sich als ein anspruchsvoller Kunde auf Besuch oder als der kompetente Berater vor Ort aus. Andere Hacker kleiden sich wie eine Reinigungskraft, um sich in das Gebäude zu schleichen.

Ihre Sicherungssysteme sind nicht so sicher wie sie glauben

„Jede unserer Türen ist nur mit der persönlichen Unternehmens-Chip-Karte öffenbar“. Das stört den Hacker wenig. Der Hacker tritt wie in den folgenden Szenarien sehr authentisch auf:

• Wenn eine Gruppe von Mitarbeitern durch die gleiche Zugangs-Tür geht, schließt sich der Hacker der Gruppe an, bevor die Tür zu fällt.
• Lässt sich die Tür von der netten Mitarbeiterin offenhalten, weil er „in Eile“ ist.
• Beginnt Small Talk mit einem Mitarbeiter, gibt sich als der „neue Mitarbeiter“ aus und lässt sich das Büro zeigen. Der Hacker im Gebäude richtet mit den folgenden 3 Arten Schaden an, die auch die Wirtschaftsspione der Mitwettbewerber gerne nutzen.

Malware auf USB-Sticks – USB-Dropping

Der Hacker platziert präparierte USB-Sticks mit dem Unternehmens-Logo in leeren Büros, Konferenzräumen und auf Schreibtischen. Auf den USB-Sticks ist eine Malware installiert (Trojaner, Virus, Ransomware).

In der nächsten Woche muss ein Mitarbeiter schnell ein paar große Dateien übertragen. Der Mitarbeiter nimmt sich unbewusst einen USB-Stick, der auf den Schreibtisch liegt. Der USB-Stick infiziert den Laptop und der Virus breitet sich im internen Netz aus (USB-Dropping). Der Hacker schließt an einen Computer einen Micro-USB-Stick an, der aussieht wie ein Wireless-Tastatur-Empfänger. Die USB-Sticks nehmen jeden Tastendruck auf und senden diese an den Hacker über das Internet. Der Hacker ist jetzt im Besitz von jedem eingegebenen Passwort (Keylogger).

James Bond in der Realität – Verwanzung

Der Hacker verteilt in den Konferenzräumen und in Büros hinter Heizungen und Schränken Audio-Wanzen. Die Mitarbeiter reden oft über sensible Themen und Strategien in den Konferenzräumen. Die Audio-Dateien sendet die batteriebetriebene Wanze über das Mobilfunknetz an den Hacker zurück.

Chaos im Büro – Hardware zerstören

Der Hacker kann physischen Schaden an der Hardware im Gebäude verursachen, indem er …

• … eine Überspannung an Rechnern provoziert.
• … einige Kabel umsteckt und mit der Fehl-Verkabelung für Chaos sorgt.
• … einen Kurzschluss herbeiführt, sodass die Generalsicherung durchglüht.
• … einen Kabelbrand legt. Diese Schäden sind reparabel, bedeuten aber einen (Teil-)Ausfall der IT-Infrastruktur in ihrem Unternehmen. Der Schaden begrenzt sich nicht nur auf den Sachschaden, sondern die „IT-Panne“ kann den Ruf des Unternehmens Schaden.

5 Maßnahmen für Schutz vor den Gebäude-Hackern

Wie kann ich mein Unternehmen vor solchen Gebäude-Hackern absichern? Die folgenden fünf Maßnahmen senken das Risiko für eine solche Form des Hackings.

1. Stellen Sie Sicherheitspersonal auf, das überprüft, ob jede Person die Chip-Karte anhält und die Mitarbeiter einzeln durchgehen.
2. Geben Sie nicht jedem Mitarbeiter Zutritt zu jedem Bereich. Beschränken Sie die Zutritts-Karte nur auf ein Büro.
3. Lassen Sie Ihren Computer nie unbeaufsichtigt bzw. schließen Sie Büros ab, wenn sie in die Mittagspause gehen oder auf das stille Örtchen müssen.
4. Verbieten Sie USB-Sticks: Die Cloud ist für große Dateien eine sichere Alternative, die Firewalls und Antivirenscannern überwachen können.
5. IT-Kabelschränke und Serverräume müssen besonders abgesichert sein und nur ein beschränkter, geschulter Personenkreis darf die Räume betreten.

Vita / Bio / Autor

Steffen Lippke schreibt mit Leidenschaft an seinem Tutorial-Blog für Hacking + Coding Lippke.li , mit dem er Anfänger die Technologien von morgen praxisnah erklärt. Neben Blogging entwickelte Steffen PGEI Pro (pgei.de ), einen Installer für Photoshop und GIMP Erweiterungen.

Quelle Bild: Ussama Azamm