Datenschutz beginnt an einer anderen Stelle als wir denken
Viele Menschen wissen mittlerweile, wie sie ihre digitalen Daten schützen können: zum Beispiel durch sichere Passwörter oder das Sperren des Computers. Aber wo liegen diese Daten eigentlich? Und sind sie dort auch sicher vor physischen Angriffen wie Diebstahl, Vandalismus oder der Manipulation von Endgeräten? Ob Papierakten oder Laptops – ein Eindringen in Büroräume muss nicht zwangsläufig das Ziel haben, etwas zu entwenden:
Manche Eindringlinge nehmen nichts mit, sie lassen etwas dort!
Im Internet kann leider jede und jeder Hardware-Hacking-Werkzeuge frei und kostengünstig erwerben. Sie können in der Regel an Standard-Schnittstellen (USB-Anschlüsse, Ethernet-Anschlüsse etc.) von Informations- und Kommunikationstechnik angebracht werden. Sie sehen aus wie ein einfacher USB-Stick und gaukeln dem Betriebssystem vor, es handele sich um eine angeschlossene Tastatur. Nach der Anmeldung tätigt das Hacking-Werkzeug automatisiert Tastatureingaben, um das Betriebssystem mit Schadsoftware zu kompromittieren. Damit Täterinnen und Täter einen solchen Angriff vollziehen können, müssen sie in den Raum gelangen, in dem die entsprechenden Geräte stehen. Um dies zu vermeiden, gibt es den „physischen Perimeterschutz“. Folgendes sollten Sie deshalb unbedingt beachten.
Nicht abgeschlossene Türen lassen sich mit leichten Tricks öffnen.
Lassen Sie deshalb unabgeschlossene Türen mit Türaußenknäufen nie zu lange unbeaufsichtigt. Schließen Sie Türen möglichst ab oder verwahren Sie zumindest Ihre sensiblen Daten sicher. Bereits das Sperren des Rechners hilft.
Eine Angreiferin oder ein Angreifer benötigt mit entsprechenden Hilfsmitteln weniger als zehn Sekunden, um eine Tür zu öffnen.
Halten Sie daher bitte Augen und Ohren offen. Sensibilisieren Sie Ihre Bürokolleginnen und Bürokollegen sowie im privaten Bereich auch Ihre Nachbarinnen und Nachbarn.
Viele Schlüssel haben aktive oder passive Schlüsselcodes eingraviert. Dadurch können Angreiferinnen und Angreifer sie leicht reproduzieren.
Lassen Sie Ihre Schlüssel aus diesem Grund nicht offen liegen. Ganz besonders dann nicht, wenn Schlüsselcodes eingraviert sind. Bewahren Sie Ihre Schlüssel in einem Schlüsseletui oder noch besser direkt am Körper auf.
Auch ohne entsprechende Gravur können Profis Schlüssel nachmachen.
Verleihen Sie daher Ihre Schlüssel möglichst nie und lassen Sie sie nicht unbeaufsichtigt liegen. Tragen Sie Ihre Schlüssel bestenfalls am Körper. Wenn Sie ein Zutrittskonzept erarbeiten, beteiligen Sie dabei Ihre Informationssicherheitsbeauftragte oder Ihren Informationssicherheitsbeauftragten.
Selbst wenn die potenzielle Einbrecherin oder der potenzielle Einbrecher Ihren Schlüssel nie in der Hand hatte, kann sie oder er die Tür mit entsprechenden Hilfsmitteln öffnen.
Achten Sie deshalb beim Kauf neuer Schlösser auf ausreichenden Schutz. Empfehlenswert sind beispielsweise Schlösser mit einer sogenannten Pick- und Schlagschlüssel-Hemmung (PSH) oder einer Magnetcodierung.
Nach Feierabend das Fenster gekippt lassen, damit das Büro über Nacht – oder sogar das ganze Wochenende – durchlüften kann? Klingt verlockend. Leider finden auch hier Einbrecherinnen und Einbrecher schnell Wege, um einzudringen.
Schließen Sie daher immer alle Fenster und Türen ordnungsgemäß, bevor Sie das Dienstgebäude oder Ihre privaten Räume verlassen.
Hintergrund
Kürzlich beschloss der Niedersächsische IT-Planungsrat Mindeststandards für das Ausstatten und Nutzen von Systembetriebsräumen zum Thema „Physischer Perimeterschutz“. IT.Niedersachsen betreibt ein Informationssicherheitsmanagementsystem (ISMS) gemäß landesweit geltender Vorgaben. Das System beinhaltet risikoorientierte Sicherheitsbetrachtungen für die vom Landesbetrieb angebotenen Services. Der Landesbetrieb orientiert sich dabei auch an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Im IT-Grundschutz-Kompendium wird in Baustein INF.1 – Allgemeines Gebäude unter Ziffer 2.6 als mögliche Gefährdungslage der unbefugte Zutritt thematisiert. Das BSI stellt fest, dass „nicht offensichtliche Manipulationen weit höhere Schäden als direkte Zerstörungsakte verursachen“ können.
Industriestandards zum physischen Perimeterschutz bestimmen in sogenannten Widerstandsklassen, welchen Werkzeugangriffen von simulierten „Tätertypen“ (Gelegenheitstäterin oder Gelegenheitstäter bis erfahrene Täterin oder erfahrener Täter) die verbauten Schutzmaßnahmen an Türen und Schaltschränken Stand halten können.
Damit berücksichtigen diese Industriestandards die häufigste Form des Eindringens, das sogenannte „offene Eindringen“. Methoden des verdeckten und heimlichen Eindringens durch Angreiferinnen und Angreifer beinhalten Fachwissen. Das Know-how steht nicht zwangsläufig mit Informationssicherheit in Verbindung, sondern eher mit dem Öffnen von Türen und Fenstern durch Schlüsseldienste. „Nicht offensichtliche Manipulationen“ verursachen allerdings zum Teil höhere Schäden als direkte Zerstörungsakte.
Teaserbild: Copyright Adobe Stock – stock.adobe.com
Wie geraten Daten nicht in falsche Hände? Wie schütze ich Organisation und Prozesse? In seinen Beiträgen sensibilisiert unser Informationssicherheits-beauftragter Steffen Rösemann Mitarbeitende und Öffentlichkeit.