Schliessen Sie Zuhause nicht ab?

Aufgepasst: Physische Schwachstellen bedrohen die Informationssicherheit genauso wie Cyberkriminelle

Datum
27. März 2017
Autor

Informationssicherheit ist mehr als Cybersicherheit. Wer seine Infrastrukturen, Prozesse sowie Informationen umfassend und strukturiert schützen will, muss die Mitarbeitenden für das Thema Informationssicherheit sensibilisieren und alle physischen Schwachstellen weit als möglich ausmerzen. Mit dem letzten Punkt tun sich viele Firmen und Organisationen schwer. Einige vernachlässigen ihn sogar ganz.

Warum durch das Fenster einsteigen …

Wer an Informationssicherheit denkt, denkt in der Regel an Angriffe von außen, meistens über das Internet. Einerseits, weil die Gefahr in einer vernetzten Welt täglich steigt, andererseits, weil die Medien immer häufiger über Cyberangriffe berichten. Cyberangriffe sind eine große Bedrohung für die Informationssicherheit. Aber leider nicht die einzige. Mindestens genauso gefährlich sind die fehlende Sensibilisierung vieler Mitarbeitender (siehe «Der Mensch als Schwachstelle im System») und physische Schwachstellen im Sicherheitskonzept. Manchmal ist der Weg durch die offene Vordertür für Cyberkriminelle einfacher als ein Angriff mit einer Phishing-E-Mail. Vor allem, wenn Firmen oder Organisationen physische Sicherheitsschwachstellen unterschätzen.

… wenn die Haustüre weit offensteht?

Nur 18 Stunden brauchte Felix Lindner aka FX, um über physische Schwachstellen in das Unternehmensnetzwerk der Stadtwerke Ettlingen einzudringen. Der Hacker, der Kunden berät und in ihrem Kampf gegen Cyberkriminelle unterstützt, benutzte für seinen Angriff eine ungesicherte Netzwerkdose im Gästehaus der Stadtwerke. Mit einem Modul verband Lindner sein Laptop mit dem Netzwerk, mit gängigen Programmen aus seinem Hackerwerkzeugkoffer drang er bis ins Allerheiligste vor, die Leitwarte. Als er drin war, rief er seinen Auftraggeber an, den Geschäftsführer: «Ein Knopfdruck – und in Ettlingen gehen die Lichter aus». Wäre sein Hack kein Penetrationstest gewesen, hätte Lindner die Energieversorgung in der süddeutschen Stadt einfach lahmlegen können. Das war 2014.

Selbsteinschätzung und Realität

Im Februar 2017 hat PricewaterhouseCoopers die Studie «Im Visier der Cybergangster – So gefährdet ist die Informationssicherheit im deutschen Mittelstand» (pdf) veröffentlicht. Obwohl die Gefahren gestiegen und die befragten mittelständischen Firmen sich dieser Gefahren durchaus bewusst sind, stagnieren ihre Investitionen in die IT-Sicherheit. Und die, die investieren, schützen sich lieber vor Angriffen aus dem Internet als vor Einbrüchen durch die offene Haustüre. Auffallend ist, wie stark die Selbsteinschätzung von der Realität abweicht. Zwar haben viele Firmen Schwierigkeiten, alle gesetzlich geforderten Sicherheitsmaßnahmen umzusetzen – aber 72 Prozent fühlen sich trotzdem «gut» oder sogar «sehr gut» vor Cyberangriffen geschützt.

KRITIS: Es gibt noch viel zu tun

Okay, die eine oder andere mittelständische Firma mag überfordert sein. Aber die Betreiber kritischer Infrastrukturen haben die Informationssicherheit im Griff, oder? Nicht alle, wie die Analysten von PricewaterhouseCoopers herausgefunden haben. Obwohl die KRITIS-Betreiber bis Juni 2017 die Auflagen des IT-Sicherheitsgesetzes erfüllen müssen, waren 2016 weniger als die Hälfte so weit: 73 Prozent hatten keinen Informationssicherheitsbeauftragten als Ansprechpartner für das Bundesamt für Sicherheit in der Informationstechnik benannt, 61 Prozent hatten keine Meldestelle für Cyberangriffe eingerichtet und 59 Prozent hatten kein Managementsystem für Informationssicherheit eingeführt. Die Situation hat sich inzwischen verbessert, aber die Zeit drängt.

Umfassend und strukturiert schützen

Ein Managementsystem für Informationssicherheit (ISMS) schließt die Lücke zwischen Cybersicherheit und physischer Sicherheit, weil es Infrastrukturen, Prozesse sowie Informationen umfassend und strukturiert schützt. Ein ISMS regelt unter anderem

  • die Zutrittskontrolle (Wer darf rein?),
  • die Zugangskontrolle (Wer darf die IT-Infrastruktur nutzen?) und
  • die Zugriffskontrolle (Wer darf auf welche Daten zugreifen?).

Diese drei Kontrollen gehören – neben der Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- sowie Datentrennungskontrolle – zu den technischen und organisatorischen Maßnahmen, die in Paragraf 9 des Bundesdatenschutzgesetzes (BDSG) vorgeschrieben sind. Ihr Ziel ist die Datensicherheit, die ein wichtiger und integrierender Teil des Datenschutzes ist.

Die drei Z: Zutritt, Zugang und Zugriff

Zutritts-, Zugangs- und Zugriffskontrolle wirken kombiniert. Darum sollten sie ganzheitlich gelöst und aufeinander abgestimmt werden. Welche und wie viele Maßnahmen sinnvoll und zweckmäßig sind, hängt von der Infrastruktur, den Prozessen und vor allem von den Informationen ab. Mögliche Schutzmaßnahmen:

Zutrittskontrolle (Wer darf rein?)

  • Empfang mit Personenkontrolle
  • Mitarbeiter- und Besucherausweise
  • (einbruchsichere) Türen und Fenster abschließen
  • Alarmanlagen, Videokameras, Wachleute
  • Schlüssel oder Chipkarten
  • biometrische Zutrittssysteme

Zugangskontrolle (Wer darf die IT-Infrastruktur nutzen?

  • Passwortschutz
  • Richtlinien für Benutzernamen und Passwörter
  • Magnetkarten oder Chipkarten
  • PIN-Verfahren
  • Spamfilter und Virenscanner
  • biometrische Zugangssysteme

Zugriffskontrolle (Wer darf auf welche Daten zugreifen?)

  • Berechtigungskonzepte
  • Administratorenrechte
  • Verschlüsselung (Datenträger, WLAN, Verbindungen usw.)
  • Regeln für mobile Datenträger und Endgeräte
  • wiederbeschreibbare Datenträger löschen
  • wiederbeschreibbare Datenträger datenschutzkonform vernichten

Fazit

Cyberangriffe bedrohen alle, ob mittelständische Betriebe oder Betreiber kritischer Infrastrukturen. Auch wenn KRITIS-Betreiber stärker gefährdet sind und sich deshalb intensiver mit ihrer Informationssicherheit auseinandergesetzt haben. Wichtig ist, dass Informationssicherheit nicht nur auf Cybersicherheit reduziert wird. Physische Schwachstellen und die mangelnde Sensibilisierung der Mitarbeitenden gefährden die Informationssicherheit genauso. Mit einem ISMS können alle Infrastrukturen, Prozesse sowie Informationen umfassend und strukturiert geschützt und sämtliche Schutzmaßnahmen aufeinander abgestimmt werden.