[datensicherheit.de, 31.01.2025] „Viele Unternehmen und Behörden konzentrieren ihre Sicherheits­maßnahmen zu einseitig auf Cybersecurity und vernachlässigen die physische Sicherheit“, warnt Kevin Heneka, Inhaber der Sicherheitsfirma hensec, in seiner aktuellen Stellungnahme. Bei Gefährdungsprüfungen, die sein Unternehmen regelmäßig durchführe, falle diese ungleiche Balance immer wieder auf: „Die IT-Abteilungen haben manchmal 20 oder noch mehr ,Tools’ zur Cyber-Abwehr in Betrieb, aber die Sicherung des Firmengeländes lässt oftmals arg zu wünschen übrig“, so Henekas Erfahrung aus der Betriebspraxis.

Unternehmen sollten digitale und physische Sicherheit ganzheitlich denken

Zur Abhilfe rät Heneka: „Unternehmen und Behörden sollten digitale und analoge Sicherheit zusammen­denken und implementieren. Da die Gegner ganzheitlich operieren, ist auch eine 360-Grad-Abwehr notwendig, um sich vor hybriden Angriffen zu schützen!“

Als Beispiel nennt er die Absicherung von IT-Systemen vor physischer Sabotage: „Jede Cyber-Abwehr ist hinfällig, wenn der Serverraum Mängel bei den Zugangskontrollen aufweist, wie es nicht selten der Fall ist.“

„Cyber-Kriminelle, die Sicherheitskontrollen überlisten, wollen zusehends nicht nur an digitale Daten gelangen oder diese manipulieren, sondern bereiten physische Angriffe vor.“ Als Beispiel nennt Heneka „einfache Videokameras aus Fernost zur Überwachung des Firmengeländes, die leicht auszuschalten sind, um anschließend die vernachlässigte Umzäunung zu überwinden.“

Unternehmen und Behörden müssen sich auf Angriffe durch Aktivisten, Terroristen und Spione vorbereiten

Heneka verweist sowohl auf eine steigende Spionagetätigkeit ausländischer Geheim­dienste als auch auf neue Angriffsformen – etwa durch sogenannte Aktivisten oder Terroristen, vor denen sich Unternehmen und Behörden schützen müssten. Er nennt ein Beispiel: „Die wenigsten Firmen sind auf Drohnenangriffe ausreichend vorbereitet. Dabei gibt es längst gut funktionierende Drohnen-Detektions-Systeme made in Germany auf dem Markt, die ohne Weiteres in ein umfassendes Sicherheitskonzept eingebunden werden können und auch sollten.“

Als weiteren Schwachpunkt, der häufig vernachlässigt wird, benennt Heneka sogenannte Smart Buildings: Moderne Gebäude seien ohne ein Maß an Automatisierung gar nicht mehr denkbar – dies berge jedoch auch neue Gefahrenpotenziale insbesondere für hybride Angriffsformen. So könnten Unbefugte beispielsweise durch digitale Manipulation der Zugangskontrollen wie Türschlösser, Aufzüge und andere Zugangssysteme physische Sicherheits­lücken schaffen, um Gebäude zu betreten.

„Unternehmen wie Behörden verlassen sich allzu häufig blind auf reine Cyber-Abwehr und ziehen den Fall, dass sich aus digitalen Angriffsszenarien auch oftmals gravierende Konsequenzen für die analoge Welt ergeben, gar nicht ernsthaft ins Kalkül.“

Schwachstellen-Analysen in Unternehmen und Behörden mittels „Red Teaming“

Heneka empfiehlt Firmen und Verwaltungen, sich regelmäßig einem „Red Teaming“-Test zu unterziehen: Dabei agiere eine Gruppe (eben das sogenannte Red Team) als hypothetischer Angreifer, um die Robustheit im Ernstfall zu prüfen und dabei Schwächen und Sicherheitslücken aufzudecken.

„Red Teams“ nutzten – in Absprache mit dem Auftraggeber – eine Vielzahl von Techniken, welche von „Social Engineering“ über physische Eindringversuche bis hin zu komplexen Cyber-Angriffen reichten, um Schwachstellen in der Software, in den Prozessen, in der physischen Sicherheit oder im menschlichen Verhalten aufzudecken.

Heneka betont abschließend: „Viele Führungskräfte sind geschockt über die gravierenden Sicherheitsmängel in ihren Organisationen, die beim ,Red Teaming’ zutage treten. Das Problem der Cyber-Sicherheit haben praktisch alle auf dem Radar, aber die Erkenntnis, wie leicht der physische Zutritt zum Firmen­gelände, zur IT-Zentrale oder gar zu den Chefbüros möglich ist, sorgt regelmäßig für helle Auf­regung!“

Weitere Informationen zum Thema:

WIKIPEDIA
Red Team