Die Digitalisierung ist in den meisten Unternehmen vorangekommen und damit wächst auch die Erkenntnis, dass diese Systeme unter den ständigen Angriffen von Hackern stehen und es sie dagegen zu schützen gilt.

Firewalls, Security Operations Center, Endpoint Detection und Response und ähnliche Lösungen geben ihr Bestes Unternehmen gegen digitale Angriffe zu schützen.
Zum Glück wird es immer einfacher mit Unternehmen aller Branchen über Cybersicherheit zu reden. Die Notwendigkeit des kontinuierlichen Testens und Verbesserns ist oftmals durch eigene, schmerzliche Erfahrungen bekannt und es gibt immer häufiger dedizierte Ansprechpartner und Budgets. Allerdings ist unser Anspruch die Sicherheit von Unternehmen ganzheitlich zu verbessern und dazu gehört mehr als alles Digitale.

In diesem Artikel möchte ich vor allem die Notwendigkeit für das Implementieren und Testen von physischen Sicherheitsmaßnahmen beschreiben, da diese leider viel zu oft stiefmütterlich behandelt werden.

50.000€ EDR und 20€ Schloss?

Auch wenn die wenigsten Firmengeheimnisse heute noch zu Papier gebracht werden, sondern oftmals digital gespeichert und gesichert werden, gehört zu diesen digitalen Daten immer, auch in der Cloud, ein physisches Gerät das diese speichert oder abrufen kann. Diese physischen Geräte stehen an physischen Orten wie Serverräumen, Büros oder leider auch mal entsperrt im Zug, während der Mitarbeiter im Bordbistro eine Currywurst isst.

Diese physischen Geräte und Orte sollten ebenfalls im Sicherheitskonzept eines Unternehmens betrachtet werden, denn sie sind der Schlüssel zu all den Systemen und Geheimnissen deren Vertraulichkeit, Integrität und Verfügbarkeit Angreifer an den Kragen wollen. Im digitalen Bereich sind sie oftmals bis auf die Zähne bewaffnet mit all den Tools und Programmen, die zu Beginn des Artikels aufgelistet wurden. Aber im physischen Bereich schützt sie allzu oft nur eine Tür mit einem 20€ Schloss oder hin und wieder leider auch nichts.

Kommt ein nordkoreanischer Hacker ins Büro…

Jetzt steht die Frage im Raum: „Kommt denn der nordkoreanische Hacker mit dem Regio nach Gelsenkirchen und bricht bei mir ein?“ und diese Frage ist berechtigt, denn all den Reports zu Folge, die wir immer lesen, kommen die meisten Hacker aus Ländern, die sich fernab des Zuständigkeitsbereiches deutscher und europäischer Behörden befinden. Machen diese Angreifer sich wirklich die Mühe bis zu meinem Büro zu fahren, um da einzubrechen? Und die Antwort lautet: „Wahrscheinlich nicht, ABER…“ und wie immer in der Sicherheit ist das „Aber“ da, wo es interessant wird.

Aus den vielen Stunden, die wir im Darknet verbringen, um für unsere Kunden zu recherchieren, ob ihre internen Daten dort zum Verkauf stehen, haben wir gelernt, dass es im Bereich der Kriminalität einen erstaunlich großen Freelancing-Markt gibt. Daher wäre es ein leichtes jemanden vor Ort für einen Einbruch zu beauftragen. Selbst wenn man dafür 10.000€ bezahlt, ist das im Vergleich zu den mindestens 100.000€, die man für einen guten, frischen Exploit bezahlen muss, ein Schnäppchen. Und da die meisten Hacker wirtschaftlich arbeiten müssen, ist es nur naheliegend bei einem hochgesicherten IT-System jemanden zu bezahlen, der ein paar USB-Sticks geschickt platziert, eine schwarze Box in einen Netzwerkport steckt, oder einen Laptop stiehlt.

Jingle Shells, Jingle Shells

Da nun geklärt ist, dass es kein großes Problem ist jemanden vor Ort zu finden, der gewillt ist einen Einbruch zu verüben, ist es natürlich interessant zu erfahren, wie so ein Einbruch aussehen könnte.

Wenn Sie einmal das Vergnügen haben, mit meinen Kollegen zusammen zu sitzen, dann können Sie eine ganze Palette an Geschichten darüber hören, wie sie in Lieferservice-, Wartungsmitarbeiter- und Postboten-Uniformen, durch die Raucherecke, die Tiefgarage, sowie zu Bewerbungsgesprächen in Büros, Fertigungshallen oder Datenzentren sich Zugang verschafft haben.

Mein persönlicher Favorit ist tatsächlich aber die „Weihnachtsmann-geschichte“, die ich hier nur in aller Kürze vorstellen möchte.

Wir bekamen kurzfristig den Auftrag im Rahmen eines Red Teaming Daten eines Finanzunternehmens zu entwenden. Die IT-Infrastruktur war gut gesichert, auch Phishing erschien im gegebenen Zeitrahmen wenig geeignet.

Bei der initialen Informationsbeschaffung besuchte ein Kollege die Website des Kunden und las, dass zeitnah eine Weihnachtsfeier mit dem Besuch des Weihnachtsmanns geplant war, idealerweise auch mit zeitlichem Ablauf – damit war die Idee auch schon geboren.

Zur Feier, ein paar Tage später, erschien der Weihnachtsmann etwas früher als im Zeitplan vermerkt und mischte sich unter die Feiernden. Verschenkte aus einem prall gefüllten Sack USB-Sticks und gab das ein oder andere Weihnachtslied zum Besten, bevor er wieder von dannen zog.

Nun meldeten sich nach und nach die USB-Sticks zurück. Sie wurden eingesteckt und begannen damit den Computer des jeweiligen Mitarbeiters zu übernehmen.

Was nun?

Meine größte Hoffnung ist, dass dieser Artikel vermittelt hat, warum physische Sicherheit unumgänglich in das Sicherheitskonzepts eines Unternehmens gehört. Hierzu gehören sowohl Technologien wie Vereinzelungsanlagen, Türsensoren und Alarmsysteme, aber auch Schulung der Mitarbeiter im Bereich Awareness und korrektem Umgang:

  • Auch wenn es höflich ist, sollte man manche Türen nicht aufhalten.
  • Türen gehören verschlossen, wenn niemand mehr im Raum ist.
  • Auch wenn es sich rausstellt, dass es der Sohn des Inhabers ist, lieber einmal höflich die Anwesenheit einer Person hinterfragen, als wegen eines Hacks in der Zeitung zu stehen.

Da Sie sich auf der Website eines Dienstleisters für Sicherheitstests befinden, kommen wir natürlich nicht umhin darauf hinzuweisen, dass physische Tests zu unserem Angebot gehören und wir uns freuen mit Ihnen auch diesen Aspekt Ihrer Sicherheit zu verbessern.

Dennoch möchte ich Ihnen zum Abschluss eine einfache Checkliste als Gedankenanstoss mitgeben, die sie gerne, die nötigen Befugnisse vorausgesetzt, ausprobieren können:

  • Versuchen Sie jeden Morgen einen anderen Weg ins Büro zu nehmen. Mussten Sie einen Schlüssel oder eine Zugangskarte verwenden? Auch in der Tiefgarage? Auch bei der Warenannahme?
  • Lassen Sie einmal (natürlich unter Beobachtung) eine Tür offenstehen. Bemerkt das jemand?
  • Bringen Sie eine in der Firma unbekannte Person ohne Hausausweis mit und lassen Sie diese allein umherlaufen. Fragt jemand nach?
  • Schauen Sie sich die Türen an. Was genau sichert die Zugänge? Ein 20€ Baumarktschloss? Eine dünne Trockenbauwand neben einer 30cm Stahltür vor dem Serverraum?
  • Wie lassen Mitarbeiter ihren Platz während der Mittagspause zurück? Den Computer entsperrt und den Vertrag auf dem Tisch? Der berühmte Passwortzettel unter dem Hochzeitsfoto?

Ein Wechsel der Perspektive, indem Sie mit dem Blick eines Angreifers durch ihr Büro gehen, wird Ihnen vielleicht schon die ein oder andere Überraschung bescheren.