Tags
Sicherheit

Das massive Cybersicherheitsrisiko, das Sie dabei übersehen: Ihr Büro.

Eingang eines Bürogebäudes mit vielen Menschen, die durch die Türen gehen

Autoren

Stephanie Carruthers

Chief People Hacker for IBM X-Force Red

Sie verfügen über die neuesten und besten Spamfilter für jedes E-Mail-Konto. Endpoint Detection and Response (EDR) auf jedem vom Unternehmen bereitgestellten Gerät. Ein System zur Erkennung und Abwehr von Eindringlingen bewacht Ihr Netzwerk und schlägt Alarm, sobald etwas komisch aussieht.

Ihre Systeme sind vollständig gesperrt. Keine Hacker dringen hier ein.

Aber die Eingangstür Ihres Bürogebäudes? Das ist eine andere Geschichte. Ein Angreifer könnte sich wahrscheinlich ganz einfach Zugang verschaffen.

Vertrauen Sie mir. Ich weiß es aus Erfahrung, Ich bin derjenige, der sich den Zugang verschafft.

Einer der unterhaltsamsten Aspekte an der Arbeit als IBMs Chief People Hacker ist, dass ich physische Sicherheitsbewertungen durchführen kann. Im Grunde breche ich in die Gebäude von Kunden ein – mit Genehmigung! – um Schwachstellen in ihrer physischen Verteidigung zu identifizieren.  

Und wenn ich schon mal dabei bin, kann ich viel Schaden anrichten. Dieser unbeaufsichtigte Laptop im Pausenraum? Schade. Der gehört jetzt mir und ich verschaffe mir Zugriff auf jedes Dokument, auf das auch sein Besitzer zugreifen kann. Die vertraulichen Akten, die auf einem Schreibtisch in einem leeren, unverschlossenen Büro liegen? Auch meine.

Die meisten von uns betrachten Cybersicherheit als eine rein digitale Angelegenheit. Das ergibt Sinn – der Begriff „Cyber“ ist schließlich Programm. Aber Cyberangriffe können tatsächlich genau hier in der physischen Welt beginnen, und ich spreche nicht von empfindsamen Robotern, die mit uns ein Hühnchen zu rupfen haben (zumindest noch nicht).

Ich spreche von böswilligen Externen und sogar böswilligen Insidern, die Ihre Computersysteme direkt von Ihrem Gebäude aus gefährden können. Der Anruf kommt aus dem Haus!

Da immer mehr Unternehmen ihre Mitarbeiter ins Büro zurückholen, könnten diese physischen Angriffe häufiger auftreten – und erfolgreicher werden. Nach Jahren der Remote-Arbeit haben viele von uns vergessen, wie wichtig es ist, die Sicherheit ihrer Büros zu gewährleisten.

Werfen wir einen Blick auf einige physische Cybersicherheitsrisiken und darauf, was Unternehmen tun können, um sich dagegen zu rüsten. 

Mann schaut auf Computer

Verstärken Sie Ihre Sicherheitsintelligenz 


Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten. 


Anatomie des physischen Eindringens

Physische Eingriffe können sich ganz unterschiedlich abspielen, aber aufgrund meiner Erfahrungen geschehen sie in der Regel in drei Phasen:

  • Phase 1: Sammeln von Informationen
  • Phase 2: Erlangen von Zugang
  • Phase 3: Durchführen des Angriffs

Sehen wir uns diese Phasen genauer an.

Phase 1: Sammeln von Informationen

Die erste Phase einer physischen Bewertung von IBM X-Force besteht darin, Informationen über unsere Ziele zu sammeln. Natürlich bitten wir den Kunden nicht um diese Informationen. Das ist gar nicht nötig. Es ist erstaunlich, was man über ein Unternehmen herausfinden kann, wenn man seinen Mitarbeitern bei ihrem täglichen Leben zusieht.

Beispielsweise besuche ich möglicherweise den Instagram-Account des Unternehmens, um nach Bildern der Mitarbeiter zu suchen. Tragen sie Uniformen? Haben sie einen Dresscode? Diese Informationen kann ich nutzen, um mich anzupassen. (Und Sie haben gedacht – nein, gehofft– dass sich niemand die Fotos von der Weihnachtsfeier im Büro ansieht.)

Wenn ich wirklich Glück habe, erhasche ich vielleicht einen Blick auf einen Mitarbeiterausweis, was mir dabei helfen kann, eine überzeugende Fälschung zu erstellen. Damit komme ich zwar durch keine Tür, lässt mich aber unscheinbar wirken, wenn ich mich im Unternehmen bewege.

Vielleicht finde ich eine Liste von Anbietern auf Ihrer Website. Dann kann ich so tun, als würde ich Büromaterial in seinem Namen anliefern.

Vielleicht gehe ich zu Ihrem Gebäude und überwache es ein wenig. Welche Türen benutzen die Mitarbeiter? Gibt es separate Eingänge für die Öffentlichkeit? Haben Sie einen Sicherheitsdienst, und wo ist dieser positioniert?

Selbst die unbedeutendsten Details können gegen Sie verwendet werden. Ich könnte zum Beispiel Ihren Abholplan der Müllabfuhr in Erfahrung bringen. Seltsam, ich weiß, aber hören Sie mir zu: Wenn der Müll am Mittwoch abgeholt wird, schaue ich am Dienstagabend vorbei, weil ich weiß, dass der Müll draußen steht. Das bedeutet, dass die Wahrscheinlichkeit groß ist, dass ich ein Netzwerkpasswort auf einem Post-it finde, oder ein vertrauliches Memo, das jemand nicht vernichtet hat.

(Ich weiß, wie Sie mich gerade ansehen. Ich kann es durch den Bildschirm spüren. Es ist ja nicht so, dass mir dieser Teil der Arbeit Spaß macht! Wenn Sie also Ihre sensiblen Dokumente einfach schreddern könnten, wäre das großartig für mich. Wirklich.)

Phase 2: Erlangen von Zugang

Ich wünschte, ich könnte sagen, dass ich ernsthafte James-Bond-Manöver durchführe, um in die Gebäude meiner Kunden einzubrechen, aber die Wahrheit ist, dass ich normalerweise mit allen anderen durch die Eingangstür gehe. Diese Angriffsmethode wird „Tailgating“ genannt.

Tailgating bedeutet, dass ein böswilliger Akteur einer autorisierten Person in einen Sicherheitsbereich folgt. Zum Beispiel in einem Bürogebäude: Mitarbeiter benötigen oft eine Art Ausweis oder Anhänger, um die Tür zu öffnen. Als Angreifer haben Sie natürlich keine. Sie gehen also dicht hinter einem Mitarbeiter, so dass dieser beim Eintreten entweder die Tür aufhält oder Sie sie auffangen können, bevor sie sich schließt.

Wie sich herausstellt, ist Tailgating äußerst erfolgreich. Die Leute sind zuvorkommend! Selbst wenn sie wissen, dass Sie dort nicht hingehören, wollen die meisten von ihnen nichts sagen. Zu peinlich. Und Social Engineering setzt auf genau diese Art von allzu menschlicher Reaktion.

Das soll nicht heißen, dass Kriminelle nicht auch auf die altmodische Art und Weise in Gebäude einbrechen. Nur, dass sie das nicht wirklich brauchen.

Phase 3: Durchführen des Angriffs

Wenn ich reinkomme, kann ich wahrscheinlich etwas stehlen. (Naja, zumindest so tun, als würde ich etwas stehlen.) Sensible Dokumente und offen gelassene Geräte sind meine Hauptziele, aber das ist noch nicht alles. Es kann sein, dass ich einen Mitarbeiterausweis oder einen Satz Gebäudeschlüssel mitgehen lasse, um meinen Zugang zu erweitern und wieder zu kommen, falls ich weg muss.

Wenn ich ein Firmengerät in die Hände bekomme, kann ich auf das Unternehmensnetzwerk zugreifen. Ich kann mich als Besitzer des Geräts ausgeben und Phishing-E-Mails von seinem Konto aus senden. Ich kann schädliche Dateien in Unternehmensverzeichnissen ablegen.

Eine weitere lustige Sache, die ich machen kann, ist Baiting, also USB-Sticks mit Malware (naja, gefälschter Malware) im Gebäude abzulegen.

Die Menschen sind schon komisch: Wenn sie einen USB-Stick rumliegen sehen, haben sie den Drang, ihn einzustecken und zu sehen, was darauf ist. Vielleicht haben sie einfach ein gutes Herz und suchen nach der Identität des Besitzers. Vielleicht sind sie nur neugierig. So oder so, sie bringen sich in Schwierigkeiten. Dieser USB-Stick wird ihr Gerät heimlich mit etwas Bösartigem infizieren, etwa mit einem Keylogger oder Ransomware

Mixture of Experts | 12. Dezember, Folge 85

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Alle Episoden von Mixture of Experts ansehen

Drei Schritte, um Angreifer von Ihrem Gebäude fernzuhalten

Bei jeder physischen Bewertung schaue ich in der Regel darauf, wie lange es dauert, bis mich jemand stoppt. 

Ich erinnere mich an eine Bewertung, bei der es vier Stunden dauerte, bis der Sicherheitsdienst mit der Suche nach mir begann, obwohl eine Mitarbeiterin bemerkte, dass ich ihr ins Gebäude gefolgt war. (Und ich bin trotzdem rausgeschlichen, bevor sie mich fanden!)

Ich möchte damit sagen, dass unsere physischen Sicherheitspraktiken oft ziemlich schlecht sind. Stattdessen können Sie Folgendes tun:

Überdenken Sie Ihre Annahmen

Wir alle wissen, was passiert, wenn man Annahmen trifft, oder?

Sie machen einem schlechten Schauspieler die Arbeit viel leichter.

Einer der größten Fehler, den Menschen bei der physischen Sicherheit machen, besteht darin, dass sie davon ausgehen, dass alle richtigen Schutzmaßnahmen vorhanden sind. Und ich spreche von einfachen Dingen, wie der Annahme, dass die „automatisch verriegelnde Tür“ tatsächlich automatisch verriegelt. Oder dass die Leute die Aktenvernichter benutzen. Oder dass Mitarbeiter völlig unbekannte Leute im Flur anhalten und fragen, was sie tun.

Dann komme ich hinein und stelle fest, dass das Türschloss lange Zeit nicht funktioniert hat. Menschen werfen vertrauliche Dokumente in den normalen Müll. Sie sehen einen Fremden im Flur und denken: „Das geht mich nichts an!“

All diese kleinen Fehler summieren sich und ermöglichen es Angreifern, unbemerkt raffinierte Angriffe auszuführen. (Siehe meinen vorherigen Beitrag über die Zeit, als ich eine Rezeptionistin dazu gebracht habe, ein ungeprüftes Flash-Laufwerk an ihren Computer anzuschließen, während der Sicherheitsdienst direkt hinter mir stand und nach mir suchte.)

Ich ermutige Unternehmen, nichts einfach nur anzunehmen. Überprüfen Sie, ob die Tür verriegelt ist. Vertrauen Sie nicht nur dem kleinen roten Licht auf dem Ausweisleser. Probieren Sie es aus. Sagen Sie den Leuten, was sie vernichten sollen. Wenn Sie einen Fremden sehen, scheuen Sie sich nicht, ihn zu fragen, was er tut. (Das können Sie sogar höflich tun: „Hey, ich sehe, Sie haben keinen Besucherausweis. Lassen Sie sich von mir zur Sicherheitskontrolle bringen, sonst werden Sie ständig angehalten!“) 

Bieten Sie bessere Schulungen zur physischen Sicherheit an

Bei Schulungen zur Cybersicherheit sollte mehr Zeit auf physische Sicherheit verwendet werden. Es ist vielleicht nicht der häufigste Angriffsweg, stellt aber in der Abwehr vieler Unternehmen eine klaffende Lücke dar.

Denken Sie nur an eine durchschnittliche Cybersicherheitsschulung. Wenn hierbei überhaupt die physische Sicherheit behandelt wird, was selten der Fall ist, wird normalerweise nichts weiter angesprochen als „Lassen Sie nicht zu, dass Ihr Laptop gestohlen wird.“

Die physische Sicherheit sollte mit der gleichen Prägnanz behandelt werden wie andere Themen. So geht es in Schulungen beispielsweise häufig um Warnsignale in Phishing-Nachrichten, wie schlechte Grammatik und dringende Anfragen. Wie wäre es, wenn man den Mitarbeitern beibringt, rote Flaggen bei Bürobesuchern zu erkennen, z. B. dass sie ohne Ausweis und ohne Begleitung herumlaufen?

Je expliziter die Anweisung ist, desto besser. Nehmen wir zum Beispiel das Tailgating. Den Leuten einfach zu sagen, sie sollen keine Fremden in das Gebäude lassen, bereitet sie nicht gerade darauf vor, auf einen Tailgater im jeweiligen Moment zu reagieren.

Stattdessen sollten die Leute genau wissen, wie der Prozess abläuft, wenn sie einen Fremden entdecken. Normalerweise sagt man einfach: „Wen möchten Sie gerne sehen? Ich bringe Sie zur Sicherheitskontrolle, damit Sie einchecken können.“ Wenn Sie es mit einem echten Besucher zu tun haben, wird dieser die Hilfe zu schätzen wissen. Wenn Sie es mit einem Angreifer zu tun haben, wird dieser die Mission wahrscheinlich abbrechen, jetzt wo er entdeckt wurde.

Erinnern Sie sich an den Teil über das Überdenken von Annahmen? Kein Detail ist zu unbedeutend, um es in eine Schulung zur physischen Sicherheit aufzunehmen. Sagen Sie den Leuten, sie sollen sensible Daten und Geräte sperren. Stellen Sie sicher, dass sie über die Aktenvernichtungsbehälter Bescheid wissen. Zeigen Sie ihnen die Gefahren nicht identifizierter USB-Sticks auf.

Richten Sie Ihren Bereich so ein, dass die physische Sicherheit gefördert wird

Machen Sie es Ihren Mitarbeitern so einfach wie möglich, Richtlinien, Prozesse und Best Practices zur physischen Sicherheit einzuhalten, indem Sie sicherstellen, dass ihnen die benötigten Ressourcen direkt zur Verfügung stehen.

Ich empfehle zum Beispiel, die Telefonnummer und E-Mail-Adresse aller Sicherheitskontakte an jedem Schreibtisch und auf jedem Gerät zu haben. Auf diese Weise wissen die Mitarbeiter sofort, an wen sie sich wenden können, wenn etwas passiert. Es sollte auch einfach sein, direkt den Sicherheitsdienst zu rufen, also erwägen Sie die Platzierung eines physischen Sicherheitsschalters.

Und stellen Sie sicher, dass Ihre Mitarbeiter über Möglichkeiten zur Sicherung ihrer Geräte und Dokumente verfügen, z. B. persönliche Schließfächer, abschließbare Aktenschränke und Computerschlösser an jedem Schreibtisch.

Cybersicherheit beginnt mit physischer Sicherheit

Cyberangriffe finden nicht nur online statt, sodass Sie sich nicht auf rein digitale Abwehrmaßnahmen verlassen können.

Wenn es hier eine wichtige Lektion gibt, dann vielleicht die folgende: Für die physische Sicherheit sind kleine Details genauso wichtig und vielleicht sogar wichtiger als das Gesamtbild.

Natürlich benötigen Sie eine physische Sicherheitsstrategie, die wiederum mit einer Cybersicherheitsstrategie verknüpft ist. Aber es ist nicht unbedingt ein Mangel an strategischem Denken, der Unternehmen anfällig für physische Angriffe macht. Oft ist es eine Frage der Praxis: Wissen die Menschen genau, was sie gegen physische Bedrohungen tun sollen, und sind sie dazu befähigt?

Indem Sie Ihre Annahmen überdenken und in eine bessere Ausbildung investieren und Ihre Mitarbeiter mit den richtigen Ressourcen ausstatten, können Sie viele potenzielle Angriffe vereiteln. Und während Sie damit meine Arbeit erschweren würden, würden Sie die Welt viel sicherer machen.

Der Kompromiss ist also wahrscheinlich wert. 
Weiterführende Lösungen
Sicherheitslösungen für Unternehmen

Transformieren Sie Ihr Sicherheitsprogramm mit Lösungen vom größten Anbieter von Unternehmenssicherheit.

 Cybersicherheitslösungen entdecken
Cybersicherheit-Services

Transformieren Sie Ihr Unternehmen und verwalten Sie Risiken mit Beratungsleistungen im Bereich Cybersicherheit sowie Cloud- und Managed-Security-Services.

         Mehr über Cybersicherheitsservices
    Cybersicherheit mit künstlicher Intelligenz (KI)

    Verbessern Sie die Geschwindigkeit, Genauigkeit und Produktivität von Sicherheitsteams mit KI-gestützten Cybersicherheits-Lösungen.

         KI für Cybersicherheit erkunden
    Machen Sie den nächsten Schritt

    Ganz gleich, ob Sie nach Lösungen für Datensicherheit, Endpunktmanagement oder Identitäts- und Zugriffsverwaltung (IAM) suchen – unsere Experten helfen Ihnen bei der Etablierung eines hohen Sicherheitsstatus. Transformieren Sie Ihr Unternehmen und managen Sie Risiken mit einem globalen Branchenführer für Beratungsleistungen im Bereich Cybersicherheit sowie Cloud- und Managed-Security-Services.

         Cybersicherheitslösungen entdecken Entdecken Sie Cybersicherheitsservices