Liebe Leserinnen, liebe Leser,
in letzter Zeit wird viel über IT-Sicherheit diskutiert und nachgedacht. Es gibt kaum noch einen Bereich in unseren Schulungen, wo sie keine Rolle spielt. Wie setzen Cyber-Kriminelle KI für ihre Zwecke ein? Welche Sicherheitslücken müssen beim Programmieren geschlossen werden? Oder: Wie schütze ich übergreifend Daten in der Multi-Cloud?
Alles dreht sich um die IT und die Infrastruktur dahinter. Das ist auch richtig, aber vergessen wir dabei nicht etwas?
Cyber-Kriminelle tragen keine schwarzen Hoodies, dazu Sonnenbrillen, und sitzen in abgedunkelten Räumen in Nordkorea. Jeder von uns könnte praktisch ein Hacker sein – und das aus den unterschiedlichsten Gründen.
Deswegen reicht es nicht, sich nur um die IT-Sicherheit Gedanken zu machen. IT-Sicherheit muss umfassend berücksichtigt werden, und dazu zählen auch Gebäude, Server-Räume oder Menschen. Und in dem Fall spricht man dann von: physischer Sicherheit.
Was ist physische Sicherheit?
Physische Sicherheit, die auch als Objektschutz bezeichnet wird, sollte immer Bestandteil der IT-Sicherheit sein. Denn hierbei geht es darum, dass Hardware, Server-Räume, Infrastrukturen und Mitarbeitende vor äußeren Gefahren und Einwirkungen geschützt werden.
Im Fokus stehen dabei Feuer, Wasserschäden, Naturkatastrophen, aber auch Einbrüche, Diebstahl, Vandalismus oder Sabotagen.
Bestimmt fragen Sie sich jetzt: Wie oft wird denn ein Rechenzentrum überflutet? Oder in einen Server-Raum eingebrochen?
Wenn wir uns vor Augen halten, dass mehr als ein Drittel aller Cyber-Kriminellen ehemalige Mitarbeitende und Partner sind, ergibt sich eine ganz andere Sicherheitslage. Meist sind es Personen, die sich im Unternehmen, im Rechenzentrum und mit den gängigen Sicherheitsmaßnahmen bestens auskennen.
Wenn dann eine unzufriedene Mitarbeiterin oder ein Mitarbeiter das Unternehmen verlässt oder es zu Streitigkeiten mit Partnerunternehmen bzgl. der Bezahlung von Rechnungen kommt, steigt das Sicherheitsrisiko.
Wie sieht physische Sicherheit aus?
Viele von uns kennen die Anweisung: Die Tür zum Server-Raum ist immer verschlossen zu halten. Eine wichtige Anweisung, die dennoch gerne ignoriert wird. Schließlich geht man davon aus, dass Cyber-Kriminelle irgendwo im Ausland sitzen und nicht im Büro um die Ecke.
Deshalb sind typische Bestandteile der physischen Sicherheit: Zutrittskontrollen (ZuKos), Videosicherheitssysteme, Einbruch- und Überfallmeldeanlage (EMA/ÜMA), Brandmeldeanlagen, Rack-Überwachung und -schutz, Wärmebildkameras, datenschutzkonforme Gesichtserkennung, nachvollziehbare Änderungen an IT-Systemen usw.
Das klingt alles natürlich viel mehr nach George Orwells 1984 als nach einer deutschen IT-Abteilung. Aber die Zeiten ändern sich. Und wenn wir das Thema IT-Sicherheit ernst nehmen, werden wir auch mehr im Bereich physische Sicherheit unternehmen müssen.
Physische Sicherheit beginnt bereits im Kopf
Der wichtigste Punkt ist sicherlich, dass wir immer daran denken, dass IT-Sicherheit mehr ist als „nur die Firewall und das Anti-Viren-Programm“ auf dem Laptop. Je größer und vernetzter die IT aufgestellt ist, desto größer wird auch die Angriffsfläche. Das gilt vor allem für Mitarbeitende im Home-Office!
Vielleicht sollte auch nicht jeder in der IT-Abteilung ein und aus gehen können, wie er möchte. Und vielleicht ist es nicht ratsam, den Fachinformatiker-Azubi, der montags davon immer berichtet, was er am Wochenende im Darknet gefunden hat, mit den wichtigsten Sicherheitsmaßnahmen zu betrauen.
Denken Sie immer daran, dass physische Sicherheit auch nur ein Teilbereich ist. Sicherheit muss immer umfassend gedacht werden: von der Firewall über die Zutrittskontrolle bis hin zum Empfangspersonal, das E-Mails empfängt und weiterleitet. Erst dann, wenn die Sicherheit überall berücksichtigt wird, kann wirklich Sicherheit entstehen.
Warum sich sorgen?
Natürlich gibt es in fast jedem größeren Unternehmen Fachpersonal, das sich um das Thema IT-Sicherheit kümmert. Sicherheits-Tools, Security Operations Center (SOC), Netzwerk-Monitoring, Intrusion Detection, unbeschreibbare Backups u. v. m. werden eingerichtet, damit nichts passiert. Warum sollte man sich da noch sorgen?
Leider ist das Thema physische Sicherheit bei Unternehmen noch nicht wirklich angekommen. Bedrohungen wie Ransomware werden mehr gefürchtet als die offene Tür zum Server-Raum. Und das wird sich leider nicht so schnell ändern.
29
Irgendwas mit IT-Sicherheit lernen?
Wie ich bereits erwähnt habe, findet sich das Thema IT-Sicherheit in allen Seminaren und Workshops wieder. Und wenn nicht – dann fragen Sie einfach nach. Unsere Dozentinnen und Dozenten stehen Ihnen gerne mit ihrem Wissen zur Verfügung.
Wer sich gleich ganz intensiv mit IT-Sicherheit auseinandersetzen möchte, dem empfehlen wir unsere Security-Seminare. Wie wäre es mit Intrusion Detection, WLAN-Hacking, IT Grundschutz nach BSI oder Malware Inside? Hier finden Sie viele Seminare für die unterschiedlichsten Interessenschwerpunkte.
Gerne beraten wir Sie auch dazu, welche Kurse Sie in welcher Reihenfolge am besten buchen sollten. Sie müssen ja nicht alle auf einmal machen.
Hier finden Sie eine Übersicht über all unsere Seminare.
Sie haben eigene Ideen? Oder möchten Ihr Wissen in bestimmten Sicherheitsfragen erweitern? Schreiben Sie uns. Gerne nehmen wir Ihre Ideen für die nächsten Seminare auf oder entwickeln Ihnen ein Individualtraining.
Ich wünsche Ihnen jetzt schon viel Spaß mit unseren Schulungen und viel Erfolg!
Ihr
Oliver Haberger
Dipl. Kfm. Univ.
Geschäftsführer