Nicht immer verstecken sich Angreifer hinter ihren Bildschirmen und greifen aus der Ferne an. Womöglich steht ein Cyberkrimineller direkt hinter Ihnen, wenn Sie morgens die Firma betreten. Das sind die häufigsten Methoden von physischen Cyberangriffen.
Tailgating, auch Piggybacking genannt, ist eine Social-Engineering-Methode, die genutzt wird, um physischen Zugang zu sicherheitskritischen Bereichen zu erlangen. Angreifer nutzen unter anderem die Gutgläubigkeit von Mitarbeitern aus, um ungehindert in eingeschränkte Bereiche vorzudringen. Beim Tailgating folgt ein Angreifer einem Mitarbeiter oder Zulieferer einfach durch einen Zugang, welcher normalerweise eine Authentifizierung erfordert.
Dem Einfallsreichtum und der Dreistigkeit der Betrüger sind dabei keine Grenzen gesetzt: „Ich bin neu hier und habe meine Karte vergessen, können Sie mir aufmachen?" oder „Ich muss Pakete liefern, halten Sie mir die Tür auf?". Mit Vorwänden wie diesen versuchen Angreifer unter vorgegebenen Gründen Zutritt zu erlangen.
Je nach Unternehmensgröße und Beschaffenheit des Firmengeländes, können Tailgating-Angriffe unterschiedlich ablaufen: Betrüger können sich auf die Suche nach ungenutzten oder unbewachten Eingängen machen oder über Zäune klettern und sich so selbst Zutritt zu verschaffen, bevor sie sich hinter tatsächlichen Mitarbeitern ins Gebäude schmuggeln. Bei gesicherten Zugängen eignet sich die Masche der angeblich vergessenen Zugangskarte, in großen Unternehmen, mit mehr Anonymität, könnten sie eine Unterhaltung mit Mitarbeitern beginnen und so unbemerkt am Empfang vorbei gelangen.
Ebenso wie bei Cyberangriffen, gilt es auch Tailgating proaktiv zu begegnen, um das Gefahrenpotenzial zu minimieren: Mit einer Reihe von Sicherheitsvorkehrungen kann verhindert werden, dass Unbefugte Zugang zu Ihren Räumen erhalten und sich dort an den Geräten zu schaffen machen. Dazu zählen beispielsweise:
Oftmals bleiben im Büroalltag Dokumente oder Papiere mit vertraulichen Informationen liegen, sei es auf dem Schreibtisch, am Drucker oder am Empfang. Diese sensiblen Unterlagen sind anfällig für Verluste und könnten leicht in falsche Hände geraten. Auch wenn sie nicht direkt aus dem Büro entfernt werden, könnten sie Besuchern Einblick in Informationen ermöglichen, die nicht für ihre Augen bestimmt sind.
Die Bedrohung des Dokumentendiebstahls und die potenziellen Auswirkungen auf die IT-Sicherheit eines Unternehmens sind erheblich. Um diesem Risiko entgegenzuwirken, bietet sich die Einführung einer Clear-Desk-Policy an. Diese Richtlinie stellt sicher, dass Schreibtische und genutzte Geräte am Ende des Arbeitstages aufgeräumt werden, um die Wahrscheinlichkeit zu verringern, dass sensible Dokumente unbeaufsichtigt zurückgelassen werden. Mitarbeiter sollten zudem dazu angehalten werden, nicht länger benötigte sensible Dokumente nach Gebrauch zu vernichten.
Um das Risiko von Dokumenten- und auch Gerätediebstahl zu minimieren, sollten Mitarbeiter sensibilisiert werden, ihre Geräte und vertrauliche Unterlagen niemals unbeaufsichtigt zu lassen. Büros können zudem mit gesicherten Schubladen und Aufbewahrungsmöglichkeiten ausgestattet werden, um vertrauliche Dokumente sicher zu verwahren. Selbsterklärend ist auch die Schaffung von Zugangsbeschränkungen und die Installation von Warnsystemen, um Einbrüche zu verhindern.
Eine weitreichende Sicherheitsmaßnahme ist außerdem die Ausstattung von allen Geräten, die Zugang zu Unternehmensinformationen haben, mit Datenverschlüsselungssoftware und Fernlöschungsfunktion. So kann im Falle eines Diebstahls oder Verlusts schnell und effektiv reagiert werden, um potenzielle Schäden zu minimieren.
In Unternehmen mit Kundenbesuchen oder sonstigen Empfangsbereichen, besteht das Risiko, dass externe Besucher auf verschiedene Weisen – gezielt oder versehentlich – sensible Informationen in die Hände gespielt bekommen – ohne dass dies zu einer tatsächlichen Entwendung von Dokumenten führt.
Physische Dokumente, die auf Schreibtischen oder in offenen Bereichen liegen, könnten unbeabsichtigt von neugierigen Blicken erfasst werden. Zudem könnte ein unaufmerksamer Mitarbeiter vertrauliche Papiere liegen lassen, während er sich mit einem Besucher unterhält. Auch die Gefahr des visuellen Hacking besteht, bei dem Besucher oder unautorisierte Personen auf Bildschirme schauen und sensible Daten erfassen können. Selbst bei sorgfältigem Umgang mit Papierdokumenten könnte auch eine unverschlossene Aktentasche oder ein unbeaufsichtigter Ordner eine Gelegenheit für Informationsdiebstahl bieten.
Überdies könnten Besucher während Besprechungen ungewollt vertrauliche Gespräche oder Informationen mithören, wenn keine geeigneten Vorkehrungen getroffen werden. Die Gewährleistung von Privatsphäre kann beispielsweise durch den Einsatz geräuschüberdeckender Vorkehrungen, sowie durch die Bereitstellung von separaten Räumen für vertrauliche Gespräche weiter verbessert werden.
Unautorisierte Personen stellen eine weitere ernsthafte Gefahr für die IT-Sicherheit Ihres Unternehmens dar. Insbesondere wenn es schwierig ist zu verfolgen, wer zu einem bestimmten Zeitpunkt am Arbeitsplatz anwesend war oder ist, wird es nahezu unmöglich, ein effektives Maß an physischer Sicherheit aufrechtzuerhalten. Nicht registrierte Besucher erhöhen dieses Risiko erheblich, da im Falle eines Vorfalls nicht klar ist, ob sie zu einem bestimmten Zeitpunkt anwesend waren oder nicht.
Beispielsweise durch die Ausgabe von Besucherausweisen können Unternehmen sicherstellen, dass alle Personen, die sich im Gebäude aufhalten, registriert sind. Dies schafft nicht nur Transparenz darüber, wer berechtigt ist, sich im Unternehmen aufzuhalten, sondern ermöglicht auch die Überprüfung von Zugangsprotokollen, um festzustellen, wer zum Zeitpunkt eines Vorfalls anwesend war. Verlieren Sie bei allen Passwortrichtlinien, MFA, SOC-Implementierungen und Phishing-Awareness-Kampagnen nicht die physische IT-Sicherheit Ihres Unternehmens aus den Augen! Informieren Sie sich über die potenziellen Risiken und Angriffsflächen und schulen Sie Ihre Mitarbeiter, um deren Mitwirkung an einem sicheren Arbeitsplatz zu gewährleisten. Nur so ist es möglich, ein hohes Bewusstsein für IT-Sicherheit in Ihrem Unternehmen zu etablieren.