10 essenzielle Maßnahmen für physische Sicherheit

Foto: Leremy | shutterstock.com

Obwohl CISOs im Allgemeinen eher selten mit dem gesamten Spektrum der Gesundheits- und Arbeitssicherheitsbelange betraut sind, spielen sie diesbezüglich doch eine wichtige, strategische Rolle – insbesondere, wenn es um physische Sicherheitssysteme mit IT-Anbindung und den direkten Zugang zu IT-Assets geht. Die wesentlichen limitierenden Faktoren für CISOs sind dabei in aller Regel:

• das Budget sowie

• nicht eindeutige Verantwortlichkeiten.

In diesem Artikel stellen wir Ihnen zehn essenzielle Maßnahmen für (mehr) physische Sicherheit vor, die CISOs auf dem Zettel haben sollten. Zunächst werfen wir jedoch einen kurzen Blick darauf, wie sich physische Security definiert – und warum sie von entscheidender Bedeutung für Unternehmen ist.

Warum physische Security wichtig ist

Der Begriff der physischen Sicherheit umfasst per Definition den Schutz von Personen, Eigentum und physischen Assets vor unberechtigtem Zugriff, Diebstahl und sonstigen Handlungen die zu Schaden oder Verlust führen. Dieser Bereich wird allzu oft zugunsten der Cybersicherheit vernachlässigt.

Für CISOs ist der Bereich vor allem deshalb so wichtig, weil die allermeisten modernen, physischen Sicherheitssysteme respektive -kontrollen auf irgendeine Art und Weise mit der IT verknüpft sind – von Badges und Keycards bis hin zur Videoüberwachung. Kommt es zu einem unberechtigten (physischen) Zugriff, können daraus in der Folge zudem auch Cyberangriffe und Data Breaches erwachsen. Es sollte deshalb im Interesse eines jeden Sicherheitsentscheiders liegen, entsprechende Vorkehrungen zu treffen, um den Zugriff auf diese Assets zu kontrollieren.

Das soll (und kann) nicht heißen, CISOs mit sämtlichen Tasks physischer Security zu betrauen. Zwar funktioniert es im Fall einiger kleinerer Unternehmen, die Rolle des CISO und des CSO zusammenzulegen – für viele große Unternehmen ist das jedoch keine Option, wie Max Shier, CISO beim Cyberrisk-Spezialisten Optiv, erklärt: “Wenn behördliche Auflagen bestehen oder es um größere Unternehmen geht, ergibt es unter Umständen keinen Sinn, die Bereiche Cybersecurity und physische Sicherheit zusammenzulegen. Die resultierenden Verantwortlichkeiten – etwa, sich um einen Wachdienst für Produktionsanlagen oder Bodyguards für Führungskräfte zu kümmern -, könnten Cybersecurity-Teams je nach Auslastung und Kapazität schnell überfordern.”

Sollte diese Option auch für Sie entfallen, weiß Howard Taylor, CISO beim Security-Dienstleister Radware, was zu tun ist: “Dann ist die Kommunikation und Koordination mit den physischen Sicherheitsteams für CISOs entscheidend, um ihre Ziele zu erreichen. Diese sollten in die Planungsprozesse für Business Continuity, Disaster Recovery sowie physische Anlagen und Einrichtungen einbezogen werden. Zusätzlich muss auch sichergestellt sein, dass die resultierenden, physischen Maßnahmen aus rechtlicher Sicht einwandfrei sind – etwa, dass Aufnahmen von Überwachungskameras keine Datenschutzregularien verletzen.”

Die Top Ten physischer Sicherheitsmaßnahmen

Ganz unabhängig von der jeweiligen Organisationsstruktur sollten CISOs mit allen Stakeholdern im Bereich physische Sicherheit kollaborieren. Folgende zehn Maßnahmen sollten Sie diesbezüglich vor allem auf dem Schirm haben.

1. IT-Einrichtungen und Rechenzentren härten

Rechenzentren, sensible IT-Einrichtungen und Computerräume in Mehrzweckbüros sind offensichtliche Bereiche, auf die CISOs ihr Augenmerk legen sollten, um die Kontrolle über den physischen Zugang zu gewährleisten. David Ortiz, CISO beim Konsumgüter-Unternehmen Church & Dwight, spezifiziert: “Sicherheitsentscheider sollten dafür Sorge tragen, dass der Zugang zu sämtlichen Räumen mit technischem Equipment auf die Personen beschränkt wird, die ihn benötigen. Zudem sollten Auftragnehmer ausschließlich in Begleitung Zugang zu solchen Räumlichkeiten erhalten. Idealerweise wird der Zugang protokolliert und täglich überprüft.”

Natürlich sollten die zu ergreifenden Maßnahmen je nach Einrichtung und ihrer Risikolage variiert und angepasst werden, empfiehlt Justin Fier, Senior Vice President of Red Team Operations beim Sicherheitsanbieter Darktrace: “Sämtliche Einrichtungen, die kritische Informationen beherbergen, sollten strengere Sicherheitskontrollen aufweisen, als solche die für weniger sensible Assets genutzt werden. CISOs müssen deshalb in erster Linie wissen, welche Daten und Ressourcen wo gespeichert und genutzt werden, das Risiko bestimmen, das im Fall eines unberechtigten Eindringens ensteht – und anschließend die physischen Sicherheitsmaßnahmen bei Bedarf entsprechend verstärken.”

2. Risiken im Büroalltag erkennen

Um sich Zugang zu Unternehmensnetzwerken zu verschaffen, nehmen kriminelle Angreifer auch ganz alltägliche Office-Settings ins Visier. Jeder Netzwerkanschluss könne so zu einem potenziellen Einfallstor in die IT-Umgebung werden, warnt Will Bass, Vice President Cybersecurity beim Rechenzentrumsspezialisten Flexential. Sein Rat an CISOs: “Setzen Sie sich intensiv mit der physischen Sicherheitsarchitektur und den Standards für alle Einrichtungen auseinander – unabhängig davon, ob es sich um sensible Facilities handelt oder nicht. Nur so können Sie sicherstellen, die richtigen Defense-in-Depth-Maßnahmen einzusetzen und unbefugten, physischen Zugriff zu verhindern.”

Optiv-CISO Shier ergänzt, dass das auch in Zeiten von Remote- und Hybrid Work relevant sei: “Trotzdem die Büros in vielen Fällen inzwischen weniger frequentiert sind, müssen Sicherheitsentscheider gewährleisten, dass Bürogebäude mit angemessenen physischen Sicherheitskontrollen ausgestattet sind. Drahtlose Zugangspunkte, Zugangskontrollen mit Ausweisen und Videoüberwachung sind weiterhin relevant und sollten keinesfalls unter den Tisch fallen.”

3. Laterale Bewegungen in physischen Räumen ausschließen

Wenn es darum geht, den Zugang zu Unternehmen physisch abzusichern, sollten CISOs außerdem ein Augenmerk darauf legen, ob sich Angreifer lateral durch physische Sperrzonen bewegen können. Alethe Denis, Senior Security Consultant beim Sicherheitsanbieter Bishop Fox, erklärt: “Hat sich ein Angreifer erst einmal Zugang zu Sperrbereichen verschafft, sinkt die Wahrscheinlichkeit aufzufliegen, drastisch. Schließlich gehen die allermeisten Menschen davon aus, dass Personen, die sich in Sperrbereichen aufhalten, zuvor eine Zugangskontrolle durchlaufen und bestanden haben.”

Ebenso wie Unternehmen Netzwerksegmentierung und Zero-Trust-Prinzipien einsetzten, um Netzwerkressourcen zu schützen, sollten sie auch im Bereich physische Security vorgehen, fordert die Sicherheitsexpertin: “Im Idealfall verhindern Treppenhäuser und Aufzüge mit Authentifizierungserfordernis sowie aufmerksame Mitarbeiter, dass es zu ‘Tailgaiting’ und einem möglichen Schaden für das Unternehmen kommt.”

4. Assets in Colocation- und Cloud-Umgebungen schützen

Das Adlerauge der Sicherheitsentscheider ist aber nicht nur gefragt, wenn es um unternehmenseigene Lokalitäten geht. Auch Colocation-Facilities oder -Rechenzentren sollten diesbezüglich berücksichtigt werden, fordert Shier: “Sollten Sie zum Beispiel ein Rechenzentrum mit anderen Unternehmen teilen, tun Sie gut daran, auch einzelne Serverracks abzusichern – etwa mit integrierten Ausweislesegeräten. Zudem ist es essenziell, Rechenzentren mit Kameras, Wachpersonal und weiteren Kontrollmaßnahmen auszustatten.”

Selbst wenn die physische Handhabung von Systemen vollständig von der Organisation abstrahiert sei – wie bei Public-Cloud- oder SaaS-Ressourcen – müssten CISOs dennoch darauf achten, wie diese Systeme physisch kontrolliert werden, ist Mike Pedrick, Vice President of Cybersecurity Consulting beim Managed-Service-Provider Nuspire, überzeugt: “Solche Offerings entbinden CISOs nicht von ihrer Verantwortung. Wenn überhaupt, setzt es sie zusätzlich unter Druck, die Bedeutung von Verträgen und Service Level Agreements sowie den Wert eines erfolgreichen Audits durch Dritte zu schätzen.”

5. Physische Cyber-Verbindungen analysieren

CISOs, die in Kritis-Organisationen tätig sind, sollten sich nicht nur Gedanken darüber machen, wie sich physische Handlungen auf die Cyberumgebung auswirken können. Sie müssen auch dazu in der Lage sein, einzuschätzen, wie sich Aktivitäten im Cyberraum auf physische Umgebungen auswirken könnten.

“Cyberangriffe auf industrielle Umgebungen können eine erhebliche Bedrohung für die physische Sicherheit darstellen”, konstatiert Almog Apirion, Mitbegründer des Remote-Access-Anbieters Cyolo. Angesichts der heutigen Konvergenz von IT- und OT-Umgebungen sollten CISOs jedoch generell – also auch wenn sie nicht im Kritis-Bereich tätig sind – sämtliche Verbindungspunkte zwischen dem physischen und dem Cyberraum im Blick haben. So fielen zum Beispiel auch physische Industrieanlagen in den Bereich des CISO, wenn diese remote gesteuert respektive gemanagt werden könnten, gibt Apirion zu bedenken.

6. IoT-Gerätschaften berücksichtigen

Ein weiterer Aspekt der physischen Security steht mit IoT-Devices in Zusammenhang. Flexential-Manager Bass erklärt: “IoT-Geräte befinden sich oft in frei zugänglichen Bereichen – wie etwa Überwachungskameras an der Außenseite eines Gebäudes. Der physische Zugang zu einem solchen Device ist ein potenzieller Einstiegspunkt. Zu verhindern, dass es dazu kommt, erfordert spezifische Schutzmaßnahmen und kann zur Herausforderung gereichen.”

Radware-CISO Taylor weist darauf hin, dass IoT-Gerätschaften wie OT-Systeme unter Umständen essenzielle Funktionen im physischen Raum steuern: “IoT-Systeme stellen eine Brücke zwischen Information und Aktion dar. Das macht sie im Rahmen physischer Angriffe zu einem attraktiven Ziel.” Der Sicherheitsentscheider appelliert deshalb, bei solchen Devices auf integrierte Monitoring-Funktionalitäten zu achten, um unbefugte Manipulationen von Software oder Malware-Befall zu verhindern. Er ergänzt: “Für den Fall, dass jemand das IoT-Gerät zerstört, sollte zudem ein Notfallplan existieren.”

7. Remote-Devices sperren

Der Netzwerkrand hat sich im Laufe der Zeit verändert. Für CISOs bedeutet das: Sie müssen auf Bedrohungsmodelle und Kontrollmaßnahmen setzen, die im jeweiligen Kontext ihres Unternehmens Sinn ergeben und ein akzeptables Risikolevel realisieren. Dazu sollten Security Stakeholder und Supply-Chain-Partner zusammenarbeiten, um die Integrität der Hardware sicherzustellen und der Belegschaft Security Best Practices an die Hand zu geben.

Die neue Arbeitswelt hat dabei das Problem der verteilten Gerätschaften weiter verstärkt, wie Darktrace-Sicherheitsexperte Fier erklärt: “Wegen der Popularität von Remote und Hybrid Work wird es für CISOs zunehmend herausfordernder, physische IT-Ressourcen abzusichern. Schließlich nutzen die Mitarbeiter ihre Geräte an vielen verschiedenen Orten, was grundsätzlich das Risiko von Verlust, Diebstahl und Missbrauch erhöht. Das Homeoffice hilft an dieser Stelle auch nicht – in diesem Fall müssen CISOs sich auch damit befassen, wie etwa Router im Homeoffice abgesichert sind.”

Laut Fier nehmen kriminelle Hacker zunehmend solche Devices ins Visier. Sein Tipp, um Abhilfe zu schaffen: “Erwägen Sie, Personen, die für Angreifer von besonderem Interesse sein könnten – etwa Führungskräfte und Administratoren – mit speziell abgesicherter Hardware auszustatten.”

8. Auf integrierte Access Control setzen

Facility Teams sind für die alltäglichen Administrationsaufgaben in Zusammenhang mit physischen Zugangskontrollen – und der Gebäudesicherheit im Allgemeinen – zuständig. Diesbezüglich empfiehlt es sich allerdings, Sicherheitsentscheider einzubeziehen, wie Church & Dwight CISO Ortiz vorschlägt: “Ein CISO sollte mit den Teams für physische Sicherheit zusammenarbeiten, um die Risikolage physischer Zugangskontrollen zu durchdringen. Das beinhaltet zum Beispiel zu wissen, ob der Zugang zu einer Einrichtung durch einen Empfangsbereich gesichert wird, per Badge erfolgt oder ob Videoüberwachungssysteme im Einsatz sind. Zudem sollten die Zugangssysteme auf verdächtige Aktivitäten überprüft werden.”

Der Manager ist davon überzeugt, dass CISOs auch einen Beitrag dazu leisten sollten, die Access-Control-Maßnahmen mitzugestalten und in logische Zugangskontrollen zu integrieren. “Physische und logische Zugangskontrollen müssen Hand in Hand gehen. Das gilt insbesondere, wenn Zugangsdaten verlorengehen oder Mitarbeiter entlassen werden”, hält Ortiz fest.

9. Überwachungssysteme (und deren Daten) absichern

Videoüberwachungssysteme zu monitoren, fällt ebenfalls nicht ins native Zuständigkeitsgebiet von CISOs. Trotzdem sollten Sicherheitsentscheider ein Interesse daran haben, mitzureden, wenn es darum geht, diese Systeme zu designen und abzusichern. Schließlich sind sie in der Regel die Spezialisten, wenn es um Datenschutz und Compliance geht.

“In Anbetracht der unterschiedlichen Datenschutzbedenken, der gesetzlichen Verpflichtungen und anderer Aspekte, die mit einer Videoüberwachung einhergehen, sollten CISOs eine tragende Rolle einnehmen, wenn es darum geht, diese Systeme zu managen”, bestätigt Darktrace-Manager Fier und fügt hinzu: “Dazu müssen sie eng mit den relevanten Teams, beispielsweise der Rechtsabteilung, zusammenarbeiten und sicherstellen, dass die jeweils geltenden Gesetze und Datenschutzvorschriften eingehalten werden.”

Davon abgesehen seien moderne CCTV-Systeme auch Teil der IT-Umgebung – vergrößerten also die Cyberangriffsfläche von Unternehmen, erklärt Jonathan Sword, Director der Security-Beratung Agility Cyber: “Es ist üblich, dass die Überwachungskameras von Bürogebäuden mit dem Hauptnetzwerk des Unternehmens verbunden sind. Sie sind also für andere Benutzer im Netzwerk einsehbar – und damit potenziell auch für Bedrohungsakteurre, die sich Zugang verschafft haben.”

10. Überwachungsdaten bereithalten

Essenziell ist für CISOs und ihre Incident-Response-Teams schließlich auch, jederzeit auf den Output dieser Überwachungssysteme zugreifen zu können. Das Ziel ist dabei, mit Hilfe der Überwachungsaufnahmen Aktivitäten in physischen Räumen schnell und einfach mit Aktionen logischer Systeme zu verknüpfen.

Bishop-Fox-Security-Expertin Denis erklärt: “Wenn es zu einem Angriff kommt, bei dem Daten gefährdet sein könnten und das Überwachungsmaterial Erkenntnisse zum Status der Attacke geben kann, sollte das IT-Sicherheitsteam auch auf diese Daten zugreifen können.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.