„Viele Unternehmen und Behörden konzentrieren ihre Sicherheitsmaßnahmen zu einseitig auf Cybersecurity und vernachlässigen die physische Sicherheit“, erklärt Kevin Heneka, Inhaber der Sicherheitsfirma Hensec. Bei Gefährdungsprüfungen, die sein Unternehmen regelmäßig durchführt, falle die ungleiche Balance immer wieder auf. „Die IT-Abteilungen haben manchmal 20 oder noch mehr Tools zur Cyberabwehr in Betrieb, aber die Sicherung des Firmengeländes lässt oftmals arg zu wünschen übrig“, berichtet der Sicherheitsfachmann aus der Betriebspraxis.
Digitale und analoge Sicherheit ganzheitlich denken
Zur Abhilfe rät er: „Unternehmen und Behörden sollten digitale und analoge Sicherheit zusammendenken und implementieren. Da die Gegner ganzheitlich operieren, ist auch eine 360-Grad-Abwehr notwendig, um sich vor hybriden Angriffen zu schützen.“ Als Beispiel nennt er die Absicherung von IT-Systemen vor physischer Sabotage. „Jede Cyberabwehr ist hinfällig, wenn der Serverraum Mängel bei den Zugangskontrollen aufweist, wie es nicht selten der Fall ist.“
Kevin Heneka weiß: „Cyberkriminelle, die Sicherheitskontrollen überlisten, wollen zusehends nicht nur an digitale Daten gelangen oder diese manipulieren, sondern bereiten physische Angriffe vor.“ Als Beispiel nennt er „einfache Videokameras aus Fernost zur Überwachung des Firmengeländes, die leicht auszuschalten sind, um anschließend die vernachlässigte Umzäunung zu überwinden.“
Drohnen und Smart Buildings als Sicherheitsrisiken
Der Sicherheitsexperte verweist sowohl auf eine steigende Spionagetätigkeit ausländischer Geheimdienste als auch auf neue Angriffsformen etwa durch Aktivisten oder Terroristen, vor denen sich Unternehmen und Behörden schützen müssten. Kevin Heneka gibt ein Beispiel: „Die wenigsten Firmen sind auf Drohnenangriffe ausreichend vorbereitet. Dabei gibt es längst gut funktionierende Drohnen-Detektions-Systeme made in Germany auf dem Markt, die ohne weiteres in ein umfassendes Sicherheitskonzept eingebunden werden können und auch sollten.“
Als weiteren Schwachpunkt, der häufig vernachlässigt wird, benennt Sicherheitsfachmann Kevin Heneka sogenannte Smart Buildings. Moderne Gebäude sind ohne ein Maß an Automatisierung gar nicht mehr denkbar – dies berge jedoch auch neue Gefahrenpotenziale insbesondere für hybride Angriffsformen. So könnten Unbefugte beispielsweise durch digitale Manipulation der Zugangskontrollen wie Türschlösser, Aufzüge und andere Zugangssysteme physische Sicherheitslücken schaffen, um Gebäude zu betreten. Der Hensec-Chef weiß: „Unternehmen wie Behörden verlassen sich allzu häufig blind auf reine Cyberabwehr und ziehen den Fall, dass sich aus digitalen Angriffsszenarien auch oftmals gravierende Konsequenzen für die analoge Welt ergeben, gar nicht ernsthaft ins Kalkül.“
Lesen Sie mehr zum Thema Zugangskontrolle!
Abhilfe „Red Teaming“
Hensec-Geschäftsführer Kevin Heneka empfiehlt Firmen und Verwaltungen, sich regelmäßig einem Red-Teaming-Test zu unterziehen. Dabei agiert eine Gruppe (das „Red Team“) als hypothetischer Angreifer, um die Robustheit im Ernstfall zu prüfen und dabei Schwächen und Sicherheitslücken aufzudecken. Red Teams nutzen – in Absprache mit dem Auftraggeber – eine Vielzahl von Techniken, die von Social Engineering über physische Eindringversuche bis hin zu komplexen Cyberangriffen reichen, um Schwachstellen in der Software, in den Prozessen, in der physischen Sicherheit oder im menschlichen Verhalten aufzudecken.
Kevin Heneka: „Viele Führungskräfte sind geschockt über die gravierenden Sicherheitsmängel in ihren Organisationen, die beim Red Teaming zutage treten. Das Problem der Cybersicherheit haben praktisch alle auf dem Radar, aber die Erkenntnis, wie leicht der physische Zutritt zum Firmengelände, zur IT-Zentrale oder gar zu den Chefbüros möglich ist, sorgt regelmäßig für helle Aufregung.“
.jpg "Effiziente Fehlererkennung mit der Wärmebildkamera WB-430")
