Firewalls, Backups, Intrusion Detection and Prevention Systems, Endpoint Protection, Web-Filter, Sandboxes and Timemachines. Quarantäne-Netzwerke, Proxys, Anti-Spam-Engines, ReCoBS, SIEM, High Availability Cluster… die Liste von IT-Security-Systemen und -Konzepten sind schier unendlich.
Aber all das hilft nichts, wenn Unternehmen nicht auch die physische IT-Sicherheit im IT-Sicherheitskonzept berücksichtigen. In der Regel geht es Angreifer nicht um die grobe Zerstörung von Infrastrukturen. Viel mehr geht es um minimale Änderungen mit großen Auswirkungen oder das Mitlesen von Informationen. Die Gründe für Spionage sind vielfältig: Erpressung, Wertpapierbetrug, Konkurrenzschwächung, Diebstahl von geistigen Eigentum, staatliche Interessen wie Destabilisierung und Propaganda oder für allerhand Ideologien.
Wenn Hacker es auf den elektronischen Weg gelingt, den Zugang zu Server und PCs zu bekommen und der Aufwand lohnenswert ist, dann nehmen sie die physische IT ins Visier. Das sind dann selten Menschen, die mit dunklen Kapuzenpullis herumlaufen. Vielmehr können Geübte auch vermeintlich „normale“ Menschen durch psychologische Tricks zu solchen Handlungen überzeugen.
Für wenige Euro kann jeder Daumen-große USB-Zwischenstecker kaufen. In unbeobachteten Momenten können Angreifer diese Geräte zwischen Tastatur und PC stecken. Vergleichbare Geräte gibt es auch für Netzwerkverbindungen.
Die einen halten es für einen Mythos, andere für eine Fundgrube: die Suche nach Informationen im Papierkorb oder -container (auch „dumbster diving“). Passwörter, Inventarlisten, Netzwerkpläne, Architekturskizzen und Konzeptentwürfe im Müll bieten gute Möglichkeiten, um sich weitere Informationen zu erarbeiten.
Welche Punkte sollte man beachten?
Server- und Netzwerkschränke sollten in Bereichen stehen, die nicht durch überprüfte Personen (Hilfsarbeiter, Praktikanten, Besucher, Kunden) erreicht werden können. Ist das nicht möglich, müssen diese Schränke fest verschlossen und mit Öffnungssensoren versehen werden. Auf Glas- und Gittertüren sollte verzichtet werden.
Netzwerkdosen sollten ebenfalls nicht frei zugänglich sein. Die Klassiker sind Drucker in kleinen Räumen, Überwachungskameras, Info-Bildschirme oder ähnliches. Ist ein Zugangsschutz nicht möglich, müssen wir diese Netzwerkports vom restlichen Netzwerk separieren.
PCs im Bereich von Kunden- oder Besucherkontakten sollten so aufgestellt sein, dass ein ungehinderter Zugriff an die Schnittstellen nicht möglich sind. Die Mitarbeiter-PCs in Bau- oder Elektronikmärkten sind häufig so aufgestellt, dass die Rückseite der Geräte in Richtung der Kunden stehen. Zudem dürfen PCs nicht unbeobachtet bleiben.
Mobile Geräte sollten, wo möglich, auf verschlüsselte Datenträger zurückgreifen, um Installationen wie Rootkits zu erschweren.