zurück zur Übersicht

Physische Sicherheit und Cybersicherheit rücken näher zusammen

Vor zehn Jahren war das Leben noch einfach. Firmen hatten Wachen, die patrouillierten mit großen Hunden in der Umgebung und behielten zwischen den Runden die Bildschirme der Kameras im Auge.

Zur gleichen Zeit hatte der Systemadministrator ein Auge auf seine Konsolen für Firewalls und AV, während er die meiste Zeit des Tages damit verbrachte, abgestürzte Windows-Laptops neu zu installieren.

Die beiden Welten interagierten selten. Heute sind sie miteinander verflochten, und je früher die Unternehmen dies erkennen, desto besser. Große, zukunftsorientierte Firmen passen sich den aktuellen Trends an und legen die Abteilungen für physische Sicherheit und Cybersicherheit zusammen.

Die ersten Tage

Die Verbrecher der alten Schule handelten mit Waffen, Drogen und Prostitution. Als Hacker ihnen Software zum Überfallen von Banken präsentierten, begannen sie, Online-Banken im Westen zu betrügen. Da Erpressung schon immer ein beliebtes Geschäftsmodell in der Welt der Kriminellen war, lieferte Ransomware eine willkommene digitale Version dafür. Die Kriminellen führten eine massenhafte automatisierte Erpressung durch, indem sie Jagd auf unsere Daten machten.

Erfahrene Erpresser

Ransomware hat sich nicht zu der Gelddruckmaschine entwickelt, die sich die Kriminellen erhofft hatten, aus einem ganz einfachen Grund: Die Leute haben nicht bezahlt. Vielleicht waren Bitcoin-Transaktionen vor 4 Jahren für den durchschnittlichen User einfach zu kompliziert. Viele Kriminelle gehen nun zum Cryptojacking über, einem anderen Angriffstyp, der die gleiche Botnetz-Infrastruktur nutzt, ohne dass ein Opfer mit einem Zahlungsprozess konfrontiert wird. Aber Kriminelle werden Kriminelle bleiben, und sie sehnen sich nach Erpressung: Im vergangenen Jahr haben Hacker in einem Hotel in Österreich das elektronische Schlüsselsystem sabotiert. 180 Skifahrer standen in der Lobby und konnten ihre Zimmer nicht betreten. Das Management sah keine andere Möglichkeit, als zu zahlen, da es nicht schnell genug gewesen wäre, die Polizei zu rufen und die Schlüsselprogramme neu zu installieren. Mit anderen Worten: Kriminelle bauen sich verstärkt maßgeschneiderte Methoden, um zu erpressen.

Wie viel ist unsere Sicherheit wert?

Generell messen wir unserer physische Sicherheit einen höheren Stellenwert bei als unserer Cybersicherheit. Hier kommt das IoT ins Spiel, der Tsunami der vernetzten (und verwundbaren) Geräte, die in unsere Häuser und unser Leben eindringen. Ob Öfen, Türklingeln, Autos oder die Millionen anderen, billigen Online-Geräte, wie Wifi-Router und Kameras, die aus China auf den Markt kommen. Experten sind sich einig, dass alles, was damit zusammenhängt, verwundbar ist. Für Kriminelle gibt es enorme Möglichkeiten, diese Geräte als Einfallstor in unsere Netzwerke zu nutzen. Aber es gibt auch den direkten Ansatz, Menschen durch ihre angeschlossenen Autos oder sogar medizinische Geräte wie Herzschrittmacher zu erpressen. Obwohl es nur wenige dokumentierte Vorfälle gibt, gibt es klare Anzeichen dafür, dass Geräte in der Nähe der Brust anfällig werden. Wenn Sie gerne Leute erpressen, dann ist es das, worauf Sie gewartet haben.

Unsichere Sicherheitsmerkmale

Zurück zu den CCTV-Kameras. Ihr Zweck ist es, Menschen, die sich reinschleichen, sichtbar zu machen. Paradoxerweise weisen vor allem die „preiswerten“ Typen ihrerseits eine sehr löchrige Sicherheit auf. Wer sieht den Eindringling, der sich nicht durch das Haupttor einschleicht, sondern durch die Kamera, die dieses schützt? Wenn Sie denken, „das wird mir nie passieren“, denken Sie nochmal nach. Wenn staatlich geförderte Spionagegruppen einen toten Winkel haben, könnte das bei Ihnen auch der Fall sein.

Was jetzt?

Physische Sicherheit und Cybersicherheit greifen ineinander. Sicherheitskräfte und Leute von Infosec sollten die Grauzone gemeinsam betreten, um zu sehen, wo sich ihre Zuständigkeiten überschneiden und ausrichten. Erstellen Sie Prozeduren und üben Sie. Heutzutage können ethische Hackerfirmen Ihnen zusätzlich zu ihren Hacking-Bemühungen physische Zugriffstests anbieten. Die Hackerin kommt im schicken Anzug, trägt einige Papiere bei sich und eine Banane und betritt Ihren Firmensitz mit einem Lächeln und einem Kopfnicken. Sie verbindet einen Wifi-Zugangspunkt mit dem internen Netzwerk und ihre Kollegen übernehmen aus der Ferne. Es ist an der Zeit, physische und digitale Sicherheit in einer Gleichung zu betrachten. Sehen Sie, wo sie sich ausrichten und überlappen, und fangen Sie an, Löcher zu stopfen.

Warum die Banane, fragen Sie? Nun, haben Sie jemals einen Eindringling mit einer Banane gesehen? Die negative Assoziation bringt manchen dazu, zu denken: „Sicherlich kann die kein Eindringling sein, wenn sie eine Banane in der Hand hält.“


Links:

https://www.cubespotter.de/cubespotter/ist-kryptomining-die-neue-ransomware/

Hackers Use New Tactic at Austrian Hotel: Locking the Doors – The New York Times

https://www.shodan.io/explore/tag/webcam

Dutch agencies provide crucial intel about Russia’s interference in US-elections – Tech – Voor nieuws, achtergronden en …

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer