Blog

IT-Sicherheitskonzepte und Gebäude

Einige bspw. Firmenvertreter, die sich mit dem Thema IT-Sicherheit weniger beschäftigen, verstehen manchmal nicht wie umfangreich das Erstellen eines IT-Sicherheitskonzeptes ist. Mit einer Antivirensoftware und dem erhobenen Zeigefinger gegenüber den Kollegen ist es manchmal schon getan. (Und verdammt: Das ist dann schon häufig das maximal Mögliche für das Leute ich wie dankbar sind! So eine Art “Guter Anfang”!) Am Schlimmsten ist aber der Glaube, dass manche Systeme nicht angreifbar sind. Oder das Desinteresse, weil man ja gar nicht nachvollziehen könnte warum man selbst Ziel eines Angriffes werden sollte. Und dabei kann es noch so kleine Firmen in noch so kleinen Kommunen treffen.

Ein wichtiger Punkt in einem solchen Konzept ist das Gebäude in dem die eigene Firma ihren Sitz hat. Das spielt aber bei einigen Leuten tatsächlich keine Rolle.

Was gehört in so ein Konzept? Welche Fragen müsste man bspw. beantworten?

Hier eine Auswahl:

  • Wer kommt alles in das Gebäude?
  • Wird der Zugang auf Mitarbeiter beschränkt?
  • Kann man unbemerkt in das Gebäude gelangen?
  • Gibt es einen Empfang?
  • Gibt es eine Videoüberwachung?
  • In welchen Zeiten können Mitarbeiter selbst bei Zugangskontrolle in das Gebäude gelangen? Auch in der Nacht?
  • Wie sind die Fenster zu Kellerräumen, zum Erdgeschoss und je nach Bauart in der ersten Etage gesichert?
  • Gibt es Regeln zum Verschließen oder zum Öffnen?
  • Wer prüft die ordnungsgemäße Nutzung der Fenster und Türen?
  • Wie sieht die Fassade aus?
  • Gibt es einen Parkplatz nah am Haus und den Fenstern? Können betriebsfremde Personen vor meinen Fenstern parken?
  • Wie ist die Bepflanzung um das Haus herum? Kann man da etwas verstecken?

So banal es sich liest, aber auch diese Punkte sind wichtig.

Ein Beispiel:

Ein Gespräch mit einem Vertreter einer Werbeagentur. Das Szenario sieht wie folgt aus:

Die Werbeagentur hat die neuesten Apple-Notebooks. Natürlich die Teile, die keinen Netzwerkanschluss mehr haben, sondern ausschließlich per WLAN kommunizieren. Es warten wichtige Fristen und Aufträge.

kowa: Kann ich in Deine Firma kommen, ohne dass Du mich siehst? Oder einer Deiner Mitarbeiter?

Werbefritze: Ja, aber es ist ja immer jemand da.

kowa: Also kommt jeder einfach so durch Eure Tür?

Werbefritze: Ja. Ich halte diese Offenheit aber für richtig.

kowa: Okay. Wenn ich sehr früh komme, sieht mich dann jemand?

Werbefritze: Wenn die ersten Leute kommen, könntest Du eine Weile unbemerkt bleiben, aber man hört das ja.

kowa: Okay, wenn ich komme, hörst Du mich nicht. Können wir uns darauf einigen?

Werbefritze: Ja, aber was willst Du tun? Die Rechner sind passwortgeschützt, die Daten liegen in einem wirklich abgeschlossenen Raum.

kowa: Ich will gar nichts dergleichen haben. Ich bin die Konkurrenz. Ich will Euch einfach lahmlegen.

Werbefritze: Unser E-Netz ist so gesichert, dass ein Ausfall kompensiert werden kann. Unser WLAN-Netzwerk ist mit aktueller Verschlüsselung gesichert. Willst du Geräte stehlen? Dann holen wir schnell Ersatz und arbeiten weiter. Wir sind auf das Minimum reduziert. Smarte Technik, wenig Technik, das Wichtigste zentral gesichert. Selbst, wenn Du WLAN-Repeater aus der Steckdose ziehst, können wir das schnell ersetzen.

kowa: Hört sich gut an. Aber nein, ich stehle nicht. Ich nutze eher andere Produkte. Manches will ich nicht mal geschenkt. *Seitenhieb* Ich schleiche mich unbemerkt in einen Raum, in dem ich ein Gerät verstecken kann. Meinst Du das geht bei Dir?

Werbefritze: Ja, ich glaube das wird wohl überall funktionieren. Aber fremde Geräte entdecke ich doch leicht.

kowa: Dieses nicht. Sieht aus wie ein Feuermelder oder ähnliches. Oder es ist hinter einem Schrank versteckt. Alternativ verstecke ich es sogar außerhalb Eurer Firma, wenn die Möglichkeit da ist. Kann man etwas auf die Fassade Eurer Hauswand legen in der nähe Eurer Fenster?

Werbefritze: Ja, das geht. Altbau. Wir sind aber etwas höher.

kowa: Parkplätze vor dem Haus?

Werbefritze: Ja, aber einige Meter weg. Außenbereich ist bepflanzt!

kowa: Kann ich also unter Euren Fenstern auch was in Büschen oder Bäumen verstecken?

Werbefritze: Ja, das sollte gehen. Aber was nützt das?

kowa: Das ist mehr als ich brauche.

Werbefritze: Und was macht dieses Gerät?

kowa: Ich störe damit Euer WLAN.

Werbefritze: Das stellt man doch fest. Ein Tag und eine Fachfirma wird sowas festgestellt haben. Sicher wird das ärgerlich für mich, aber das Risiko ist kalkulierbar.

kowa: Ja, aber Du hast einen Tag verloren. Und Kosten für eine Fremdfirma. Und in den folgenden Tagen mache ich das erneut. Am schlimmsten, wenn es mir möglich ist entsprechende Geräte außerhalb eurer Büroräume zu platzieren. Dann hast du kaum eine Chance. Mit Batterie betrieben, wenn möglich per Strom.

Werbefritze: Okay. Aber ich bin in der dritten Etage. Nach dem ersten Tag sorge ich dafür, dass die Tür abgeschlossen wird und eine Klingel angebracht wird.

kowa: Machen Deine Kollegen manchmal Fenster auf?

Werbefritze: Natürlich.

kowa: Keine Klimaanlage?

Werbefritze: Nicht so wirklich.

kowa: Sind die Fenster offen, wenn Ihr Meetings habt und nicht im Büro?

Werbefritze: Ja, natürlich! Willst Du jetzt die Fassade hochklettern?

kowa: Wäre eine Möglichkeit. Aber viel zu anstrengend. Ich transportiere den Störsender per Videodrohne hoch. Ich sehe von der Ferne oder per Video ob Büros leer sind. Das Gerät lege ich irgendwo hin, wo es eine Weile dauert bis es gefunden wird. Selbst wenn es entdeckt wird, bringe ich am nächsten Tag ein neues Gerät.

Werbefritze: Ehrlich, wer sollte das tun? Das kostet doch Geld!

kowa: Eine gute Drohne 1.000 €. Kleine mobile Störsender gibt es für 200 €. Und bis 1.000 € bekomme ich einen WiFi-Jammer den ich noch nicht einmal in Deinen Büros unterbringen muss, weil die eine Reichweite von 100 Metern und mehr haben können. In geparkten Autos oder untervermieteten Büros unter Dir, oder über Dich. Je nach Aufwand. Und der Aufwand lohnt sich. Du hast nie wirklich ne Chance die Technik anderer Firmen im Haus überprüfen zu lassen.

Werbefritze: Ist doch viel zu teuer.

kowa: Wenn es für dich um einen Auftrag geht, der im sechsstelligen Bereich oder höher angesiedelt ist, lohnt es sich schon. Ein Konkurrent der versagt, ist ein guter Konkurrent. Wenn du Fristen einhalten musst, verlierst Du. Wenn Du ein Angebot nicht abgeben kannst, verlierst Du auch. Wenn Deine Mitarbeiter nicht auf Ihre Daten zugreifen können, keine E-Mails abrufen und beantworten können, verliert Deine ganze Firma! Alles kein Problem für mich. Am Ende aber für Dich!

Werbefritze: Das ist nicht gut.

kowa: Ich weiß. Die Technik kaufe ich anonym oder über Mittelsmänner. Habe ich etwas außerhalb stationiert und sollte ich merken, dass Du Polizei oder Fachfirmen holst, wird die Technik deaktiviert. Sind sie weg, schalte ich wieder ein. Finden die Jungs kleine mobile Geräte in den Büros Deiner Mitarbeiter, müssen die sich erstmal erklären. Wenn man Ihnen glaubt, prüft man die Zugangskontrollen. Gibt es eine Zugangskontrolle und keine Gäste sind in Deine Büros gekommen, bleibt der Verdacht beim Mitarbeiter, der sein Fenster offen gelassen hat. Den kannst du dann feuern. Im besten Fall werden weitere Störungen auf sein Konto gehen. Aus Rache, oder so.

Werbefritze: Du bist ein böser Mensch!

kowa: Na, so würde ich das jetzt nicht sagen.

Werbefritze: Und was mache ich jetzt?

kowa: Ein umfassendes Sicherheitskonzept, inklusive Aufklärung und Schulung und bessere Technik, die auch Kabel-Verbindungen möglich macht. Man fragt ja auch Leute wie mich, bevor man seine Firma mit falscher Technik ausstattet. Und man muss auch nicht immer in irgendwelche Hipster-Schicki-Micki-Szeneviertel ziehen. Und rasier Dir endlich diesen Hipster-Bart ab.

 

Was haben wir gelernt? Richtig: IT-Sicherheit macht auch vor der richtigen Auswahl und der richtigen Lage und der richtigen Ausstattung und dem ganzen Drumherum nicht halt. Und solltet Ihr einen Hipster-Bart tragen, weil Ihr zu viel Werbung schaut, dann helfe ich Euch jedenfalls nicht!

Tagged , , , , , , , , , , , , , , , , , ,