Datensicherheit – Cybersecurity – mal anders gedacht!




Bildquelle: www.ekey.net

Datenbiebstahl, Cyberkimimalität, Unternehmenspionage – Begriffe, die man beinahe tagtäglich irgendwo vernimmt. Die voranschreitende Digitalisierung zeigt neben ihren vielen positiven Seiten auch ihre negativen. Verbrecher sind erfinderisch und nutzen intensiv die neuen Technologien der Datenvernetzung, um ihren Lebensunterhalt auf diese verachtende Art zu bestreiten. Und sie sind dabei unfassbar erfolgreich. Glaubt man dem Artikel der  OÖNachrichten liegt der Schaden bei weltweit 500 Milliarden Eur pro Jahr. Das Geschäft ist äußerst lukrativ auf beiden Seiten, sowohl bei den Kriminellen als auch bei den Anbietern von Schutzprodukten und Beratern.

Nun ich schreibe jetzt nicht über Firewalls, Virenscanner, sichere Datenverbindungen, Passwörter, Verschlüsselungen usw. Nein ich betrachte mal einen ganz anderen Bereich, der meistens gehörig vernachlässigt wird, den physischen Zutritt und Zugang zu Gebäuden.

Stellen Sie sich mal folgende Fragen:

  • Wissen Sie immer welche Mitarbeiter im Haus sind?
  • Arbeiten externe Unternehmen (z.B. Reinigung, Wartungspersonal) beschäftigt? Wissen Sie wer da reinigt, arbeitet?
  • Wie gehen sie mit ehemaligen Mitarbeitern um? Können die Ihr Haus uneingeschränkt betreten?
  • Haben Sie eine Regelwerk für den Umgang mit Besuchern im Haus?

Wenn sie hier einmal mit „Nein“ antworten müssen, dann haben sie vielleicht ein Problem und Handlungsbedarf.


Ich erzähle euch eine kurze Geschichte:

Ein mittelständisches Unternehmen hat beschlossen den physischen Zutritt zu regeln. Man hat ein Zutrittskontrollsystem angeschafft und installiert. Nun mussten alle Mitarbeiter berechtigt werden und zu den Mitarbeitern zählten auch die Reinigungskräfte eines externen Dienstleistungsunternehmen. Kein Problem dachte man. Nun hier war es anders. Die Identifikation der Benutzer bei Zutritt erfolgte nämlich über das biometrisches Merkmal „Fingerabdruck“. Hier werden von jedem Benutzer ein oder auch mehrere Finger erfasst, die Merkmale extrahiert und als sogenanntes Template im System hinterlegt. Will man dann eine Tür öffnen, muss der Finger beim Fingerprintleser vorgehalten (gezogen) werden. Hier werden dann auch die Merkmale extrahiert und mit dem abgespeicherten Template verglichen. Die Tür öffnet nur, wenn eine statistisches Maß der Übereinstimmung der beiden Finger besteht.
Bei den betriebseigenen Mitarbeitern gab es es keine Schwierigkeiten, die Finger wurden als Templates erfasst und gespeichert und die Zutrittsberechtigungen vergeben. Alle waren zufrieden. Anders war es aber bei einer Mitarbeiterin der Reinigungsfirma. Sie hatte erhebliche Bedenken, denn wenn sie nur mit einem berechtigten Finger – also ihrem Finger – Zutritt erhalten kann, dann kann ja ihr Schwager nicht mehr abends reinigen. Was? Warum sollte Ihr Schwager reinigen? Sie ist doch zuständig? Wer ist überhaupt ihr Schwager? Es gab ziemliche Aufregung. Die Geschäftsführung der Reinigungsfirma musste kommen… egal, ist nicht so wichtig.


Hinter der ganzen Angelegenheit steckte eine banale Ursache. Ihr Schwager hat ihre Arbeit am Abend gemacht, weil sie selbst krank war. Sie hatte Angst gekündigt zu werden, wenn sie in Krankenstand geht (eigentlich für ein Land wie Österreich traurig). Und da die Putzkolonne immer am Abend unterwegs ist, wo die meisten unternehmensangehörigen Mitarbeiter ausser Haus sind, fiel die „Ersatzkraft“ nicht auf. Wobei sich die Frage stellt, ob das überhaupt jemandem aufgefallen wäre, wo doch Mitarbeiterwechsel bei den Reinigungsfirmen nicht selten ist.

In Summe war das aber eine riesige Sicherheitslücke, die nur durch den Zufall geschlossen werden konnte, dass man sich für ein biometrisches Zutrittskontrollsystem entschieden hat! Karten, Schlüssel usw. kann man weitergeben, einen Finger nicht. Da muss der berechtigte vor Ort sein.

So stelle ich heute die These auf: „Solange der physische Zutritt zu Unternehmen nicht ordentlich organisiert und beschränkt ist, ist der einfachste Weg in ein Unternehmen, um Daten und Informationen zu sammeln, der durch die Tür!“ Und da helfen ihnen keine Firewalls, keine Virenscanner und keine gut gewählten Passwörter.

Sie müssen jederzeit wissen wer in ihrem Haus unterwegs ist. Ganz besonders gilt das für betriebsfremde Personen. Das ist nicht nur ein Thema des Schutzes ihrer Daten, sondern auch Schutz der Besucher selbst, ganz besonders, wenn man im Unternehmen gefährliche Maschinen und/oder Anlagen betreibt. So müssen Zutrittskontrollsysteme ordentlich geplant und umgesetzt werden. Das beginnt schon bei den baulichen Maßnahmen über Technologieauswahl und dem Betrieb der Anlage und endet bei den organisatorischen Belangen und dem Bewusstsein der Mitarbeiter, dass physische Zutrittskontrolle ein wichtiger Bestandteil der Unternehmenssicherheit ist. Es braucht ein hohes Mass an Konsequenz damit es sicher funktioniert.

 


Kontaktieren sie uns.


Autor

Manfred Brunner – Ingenieur, Digitalisierer, Projektmanager, Querdenker, Technischer Redakteur, Sachverständiger, Heimwerker, Musiker, Familienvater, Mühlviertler – manfred.brunner@electronic-consulting.at


Teile den Beitrag:



Bildquellen: www.pixabay.com

Schreibe einen Kommentar