Digitale Risiken der physischen Sicherheitstechnik

Stefan Bange, Country Manager DACH, Digital Shadows, zu den digitalen Risiken der physischen Sicherheit.

Es ist Zeit, für die digitale Sicherheit der physischen Sicherheitstechnik zu sorgen. Denn wie viel Schutz können Überwachungskameras und Zugangskontrollen tatsächlich bieten, wenn sie für Hacker und Cyberkriminelle angreifbar bleiben?

Die digitale Angriffsfläche wächst, Cyberkriminelle schärfen die Waffen und es vergeht kein Tag, an dem nicht über ein neues Datenleck berichtet wird. Angesichts dieser Welle an Bedrohungen, scheint die Sicherheitsstrategie vieler Unternehmen darin zu bestehen, sich hinter einer Schutzmauer zu verschanzen, dort mit eingezogenem Kopf Angriffe auszusitzen und das Ende der Belagerung abzuwarten.

In der Hoffnung, dass Next-Generation-Firewall und Virenscanner die IT schützen und Feueralarm und Sicherheitstüren die physische Sicherheit garantieren, vergessen sie jedoch eines: Die Belagerung wird nicht aufhören und die Angriffe werden nicht nachlassen. Ganz im Gegenteil, beginnt mit dem IoT und der digitalen Transformation derzeit die eigentliche Angriffswelle.

Digitale Risiken bestehen auch für Offline-Systeme

Brandgefährlich wird es dann, wenn ausgerechnet die Systeme, welche die IT-Infrastruktur schützen sollen, zum Angriffspunkt für Hacker werden. Dabei müssen die Geräte nicht einmal zwangsläufig mit dem Internet vernetzt sein, um ein digitales Risiko darzustellen. Ein Großteil an sensiblen und sicherheitskritischen Informationen befindet sich längst dort, wo sie nicht hingehören, nämlich frei zugänglich im Open-, Deep- und Dark-Web. Dazu gehören neben Login-Daten und Zugangsberechtigungen auch die Gebäudepläne samt IT-Infrastruktur.

Allein 2019 spürte das Photon Research Team von Digital Shadows 2,3 Milliarden solcher vertraulichen Dokumente auf falsch konfigurierte File-Storage-Diensten auf. In den meisten Fällen steckt dahinter nicht einmal eine böse Absicht. In anderen Fällen gehen Mitarbeiter oder Dritte ganz bewusst vor, um dem Unternehmen zu schaden oder sich mit dem Verkauf im Dark Web etwas zu verdienen.

Nicht immer sind die Motive hinter den Hackerangriffen klar. Als bei einem Hotel in den USA die Wellness-Landschaft verrücktspielte und Extremschwankungen bei den Temperaturen die Gäste verärgerte, brauchte es ein paar Tage die Ursache herauszufinden.

Ein Hacker hatte sich den Spaß gemacht, die sanitären Anlagen zu hacken und aus der Ferne zu manipulieren. Was in der Wellness-Oase ärgerlich ist, kann im Kühlsystem eines Rechenzentrums extreme Schäden anrichten. Sicher, ein Rechenzentrum ist keine Hotelsauna. Nicht ohne Grund gleichen moderne Rechenzentren Hochsicherheitstrakts, während ihr Standort wie ein Staatsgeheimnis gehütet wird. Doch bleiben auch Staatsgeheimnisse nicht immer „geheim“ und im Ernstfall bleibt keine Zeit für Nachbesserungen.

Systeme der physischen Sicherheitstechnik sollten Angriffsfläche verkleinern

Eine zentrale Aufgabe des digitalen Risikomanagements ist es, die Angriffsfläche so klein wie möglich zu halten. Das funktioniert nur mit einer kontinuierlichen Überwachung der Bedrohungslandschaft. Diese endet weder an der Perimetergrenze des Unternehmens noch bei den Sicherheitssystemen selbst. Für Hacker nützliche Informationen, finden sich in den unterschiedlichsten Orten. Dazu gehören File-Hosting- und Sharing-Seiten, Cloud- Services, FTP-Server, Code Repositories, Paste Sites, Social-Media-Kanäle sowie die schwer zugänglichen Marktplätze und Foren des Dark Webs, wo das Monitoring besonders schwierig (und gefährlich) ist. Alle diese Quellen gilt es, im Auge zu behalten und abzudecken.

Die Auflistung von sicherheitsrelevanten Key-Assets ist eine gute Trockenübung. Der Katalog kann sich je Unternehmen stark unterscheiden. Was bei der Unternehmensführung ganz oben auf der Liste steht, ist für Angreifer vielleicht gänzlich uninteressant. Social-Media-Accounts werden auf Unternehmensseite oft unterschätzt. Sie sind aber bei Hackern ein beliebtes Mittel, um Mitarbeiter via Phishing und Social Engineering zur Freigabe von unternehmenskritischen Informationen zu bewegen.

Der Fokus auf wichtige Assets vereinfacht auch die Nachverfolgung. Dateien und Dokumente des neuen biometrischen Videoüberwachungssystems lassen sich beispielsweise mit fest definierten Markern wie technischen Wasserzeichen oder Schutzvermerken taggen. Stehen vertrauliche Produktinfos dann in einem kriminellen Forum zum Verkauf, sind die automatisierten Monitoringtools in der Lage, die heiklen Dokumente in kürzester Zeit aufzuspüren. Werden darüber hinaus Personen in die Liste der zu schützenden Assets aufgenommen, meldet das System, wenn es „geleakte“ Fingerabdrücke (etwa auf dem Marktplatz Genesis Store) oder eine Zugangskarte eines Mitarbeiters entdeckt.

Proaktives Digitales Risikomanagement

Die Definition von Key-Assets ist entscheidend, wenn Unternehmen nicht in einer Flut an irrelevanten und banalen Suchergebnissen untergehen wollen. Digitales Risikomanagement ist daher mehr als nur Threat Intelligence. Es setzt die Bedrohungen in einen Kontext, evaluiert und priorisiert Risiken und entlastet so Sicherheitsteams.

Ein Überblick über die gesamte Angriffsfläche im Kontext der aktuellen Bedrohungslandschaft, muss fester Bestandteil einer jeden Sicherheitsstrategie sein. Und ja, das schließt auch Geräte und Systeme der physischen Sicherheit mit ein. Gänzlich werden sich digitale Risiken damit natürlich nicht beseitigen lassen. Trotzdem können Unternehmen mit den richtigen Waffen und einer detaillierten Landkarte aus der Deckung gehen und auch im IoT-Zeitalter handlungsfähig bleiben.

Stefan Bange, Country Manager DACH, Digital Shadows

Diesen Artikel sowie ein darauf aufbauendes Interview mit dem Autor Stefan Bange lesen Sie auch im aktuellen PROTECTOR 3/2020 auf den Seiten 36 bis 38.