Das ist doch ein Thema für die IT- und nicht die Sicherheitsabteilung.“ „Unser Unternehmen ist viel zu klein, um Opfer eines Hackerangriffs zu werden.“ Doch in Zeiten von Internet-of-Things (IoT) und rasant wachsender Netzwerkstrukturen gehören solche Aussagen der Vergangenheit an.

Alle 39 Sekunden kommt es auf der Welt zu einer Cyber-Bedrohung*. Die Anzahl an Phishing-Attacken, die mit der Corona-Pandemie zusammenhängen, stieg beispielsweise um 667 % und die Gesamtzahl der Angriffe durch Ransomware und bösartige E-Mails um ganze 4.000 %**. Der durch derartige Angriffe entstandene Schaden geht mittlerweile in die Billionen.

Wer jetzt denkt, sein Unternehmen sei zu klein, um zu einem Ziel von Hackerangriffen zu werden, der sei gewarnt. Cyberangreifer haben es mittlerweile auf Unternehmen jeder Größe und Branche abgesehen. Vor allem Unternehmen mit unzureichendem Schutz gegen Cyberangriffe sind ein leichtes Ziel.

Und was hat das mit physischer ­Sicherheit zu tun?
In den letzten Jahren haben sich Lösungen für physische Sicherheit enorm weiterentwickelt. Videoüberwachung, Zutrittskontrolle oder automatische Nummernschilderkennung sind in der Regel fest in die Netzwerkinfrastruktur von Unternehmen und Institutionen integriert. Auf der einen Seite profitieren Unternehmen von zahlreichen Vorteilen, beispielsweise durch eine höhere Sicherheit dank vereinheitlichter Systeme bei gleichzeitiger Entlastung der Sicherheitsverantwortlichen aufgrund automatisierter Prozesse.

Allerdings hält sich auch bei diesen modernen Sicherheitslösungen ein Phänomen hartnäckig, nämlich die so genannte „Set it and forget it“-Mentalität. Das bedeutet, ein Sicherheitssystem wird implementiert und dann nicht regelmäßig gewartet. Vor diesem Hintergrund hat Genetec eine repräsentative Studie unter seinen Kunden durchgeführt und kam zu dem Ergebnis, dass fast sieben von zehn eingesetzten Videoüberwachungskameras (68%) mit veralteter Firmware betrieben werden. Davon wiesen mehr als die Hälfte allgemein bekannte Sicherheitslücken auf. Und in der Tat reicht bereits ein einziges unsicheres Gerät aus, um Angreifern Tür und Tor zum gesamten Unternehmensnetzwerk zu öffnen und Zugang zu sensiblen Mitarbeiter-, Kunden- oder Produktdaten zu gewähren.

Cyberkriminelle haben viele ­Möglichkeiten, ein System zu ­kompromittieren
Der Zugriff auf die physische Sicherheitsinfrastruktur kann auf unterschiedlichen Wegen erfolgen. Selbst Systeme, die nicht direkt mit dem Internet bzw. Netzwerk verbunden sind, können auf unterschiedliche Arten zum Ausgangspunkt für Cyberangriffe werden.

Insiderangriffe: Kriminelle Insider im Unternehmen sind seit jeher eine ernste Sicherheitsbedrohung. Dabei geht es nicht nur um privilegierte Nutzer wie Admins, sondern auch um externe Auftragnehmer, Mitarbeiter aus Zeitarbeitsfirmen oder Dienstleister entlang der gesamten Lieferkette. Entwendete Login-Informationen sind nicht selten, mit denen man im Nu Zugriff auf interne Systeme erhält. Aber auch schwache bzw. gemeinsam genutzte Passwörter sowie ungesicherte Geräte und Netzwerke können immensen Schaden verursachen. Einmal im System, verschaffen sich die Angreifer langsam Zugriff auf immer mehr Bereich des Netzwerks. Sie suchen nach wichtigen Daten und Assets. Eine beliebte Methode ist dabei das so genannte „Credentials Dumping“. Dabei geht es um das Extrahieren von Zugangsdaten wie Benutzernamen und Kennwörtern von einem internen Endgerät. Das wird umso einfacher, wenn Nutzer ihre Zugangsdaten im Browser speichern, um sich nicht jedes Mal neu einloggen zu müssen. Solche Angriffe bleiben in der Regel unerkannt, sodass Cyberkriminelle fortwährend Zugriff auf den Rechner und damit das Netzwerk erhalten, aus denen sie weitere Zugangsdaten zu immer neuen Systemen und Bereichen extrahieren. Aus einem einzelnen Zugriffspunkt bauen sich Hacker so ein verzweigtes Netz an Zugriffspunkten. Auf diesem Wege können auch noch Wochen oder Monate nach dem ersten Zugriff Daten gestohlen oder ganze Sicherheitssysteme lahmgelegt werden. Um einen solchen Cyberangriff zu erkennen, bedarf es moderner Überwachungstools und einer starken, tiefgreifenden Verteidigungsstrategie.­

Infizierte Geräte: Nicht immer müssen die Geräte, die Ausgangspunkt eines Cyberangriff sind, Teil des Netzwerks sein. Ein externes Gerät wie USB-Sticks oder sonstige Speichermedien können gefährlich sein. Die Universität Illinois verteilte im Jahr 2016 im Rahmen einer Untersuchung knapp 300 USB-Sticks auf dem Universitätsparkplatz, die mit einem versteckten Tracking-Programm ausgestattet waren***. Das Ergebnis zeigt: 98 % der USB-Sticks wurden aufgesammelt und knapp jeder Zweite (48 %) steckte diesen in seinen Computer, um den Inhalt einzusehen. Ein einzelnes infiziertes Gerät kann so zum Ausgangspunkt eines immensen Schadens werden.

Physischer Netzwerkzugriff: Eine ebenfalls gängige Methode ist das so genannte „WLAN Trapping“. Dabei gaukeln Hacker ein falsches offenes WLAN-Netzwerk vor. Viele Nutzer haben beispielsweise ihre Smartphones darauf programmiert, sich automatisch mit offenen WLAN-Netzen zu verbinden, um das mobile Datenvolumen zu sparen. So erhalten Angreifer Zugang zu einem Endgerät, um von dort aus in weitere Bereiche vorzustoßen. Aber auch ohne drahtlose Verbindungen ist keine absolute Sicherheit gewährleistet. Verlegte Ethernet-Kabel können von Cyberkriminellen dazu genutzt werden, auf lokale Netzwerke zuzugreifen. Sobald genügend Informationen gesammelt wurden, erfolgt ein aktiver Angriff auf das Zielnetzwerk. Damit lassen sich Servicefunktionen des Sicherheitsteams lahmlegen oder IP-Spoofing durchführen (Imitieren eines anderen Rechners aus dem Netzwerk).

Eine eindimensionale Verteidigungslinie zu haben, reicht in der heutigen Zeit also nicht mehr aus. Ein System einfach offline zu betreiben ist ebenfalls keine Lösung.

Wie kann man sich sinnvoll vor Cyberangriffen schützen?
Einen 100%igen Schutz vor Cyberangriffen kann es nicht geben, allerdings kann das Risiko bereits mit einfachen Schritten deutlich verringert werden. Unternehmen sollten ihre Mitarbeiter durchgehend für das Thema Cybersicherheit sensibilisieren. Dazu gehören Schulungen über aktuell gängige Arten von Attacken, das regelmäßige Ändern von Passwörtern oder die Aufmerksamkeit für verdächtige E-Mails zu schärfen (z. B. seltsame Absenderadresse, kryptische Verlinkungen).

Sicherheitsteams sollten sich von der „Set it and forget it“-Mentalität verabschieden und alle Endgeräte sowie Sicherheitssysteme in regelmäßigen Abständen auf aktuelle Firmware und sichere Passwörter überprüfen. Gleichwohl muss darauf geachtet werden, ob die installierte Hardware noch aktuellen Anforderungen entspricht oder ggf. ausgetauscht werden muss. Darüber hinaus empfiehlt es sich, den aktiven Austausch zum Systemintegrator zu suchen, um sich über mögliche Schwachstellen des eigenen Systems zu informieren.

Ebenso sollten physische Sicherheitssysteme mehrschichtig vor unberechtigtem Zugriff geschützt werden. Das beginnt bei einer Ende-zu-Ende-Verschlüsselung beim Datenaustausch, geht über die automatisierte Vergabe individueller Zugriffsrechte, sodass jeder Mitarbeiter nur auf die für seine Arbeit notwendigen Bereiche und Systeme zugreifen kann, bis hin zu einer Multi-Faktor-Authentifizierung. Dabei fragt das System mehr als nur einen Faktor ab, um Hackern den Zugang anhand gestohlener Nutzerkennung (wie eine E-Mail-Adresse) und Passworts unmöglich zu machen. Ein Beispiel dafür sind so genannte Kryptonizer. Dabei handelt es sich um kleine Schlüsselanhänger, die bei einem Anmeldeversuch eine kurzzeitige Kombination aus Buchstaben und Ziffern anzeigen, die dann im Anmeldebildschirm eingetragen werden muss. Vielen dürfte ein solches System aus dem Online-Banking bekannt vorkommen.

Wie kann Genetec beim Thema Cybersicherheit helfen?
Genetec bietet seinen Kunden verschiedene Möglichkeiten an, um physische Sicherheitssysteme gegen Cyberangriffe zu schützen. Im Laufe der letzten drei bis vier Jahre hat sich das bei Genetec für Cybersicherheit zuständige Team verdoppelt. Alle Lösungen werden vor dem Marktstart und auch danach in regelmäßigen Abständen Penetrationstests von externen Fachleuten unterzogen, um die Anfälligkeit gegenüber Cyberangriffen zu überprüfen.

Im täglichen Betrieb beim Kunden bietet die vereinheitlichte Sicherheitsplattform Genetec Security Center spezielle Dashboards, auf denen Nutzer anhand eines SecurityScores erkennen können, ob ihre Endgeräte die neueste Firmware installiert haben oder Passwörter in bestimmten Intervallen erneuert werden müssen. Treten Auffälligkeiten auf, werden die Teams anhand eines Alarms oder Hinweises darauf aufmerksam gemacht. Darüber hinaus arbeitet Genetec mit führenden Unternehmen wie Cylance – eine Tochter von BlackBerry – zusammen, um mithilfe künstlicher Intelligenz Schadprogramme und Cyberangriffe zu erkennen und verhindern zu können.

Wer sich nicht mehr in der Lage sieht, sein System an die sich laufend weiterentwickelnden Sicherheitsstandards anzupassen, der kann auf die von immer mehr IT-Dienstleistern angebotenen Professional Services Pakete zurückgreifen. Genetec bietet jedem Kunden beispielsweise anhand eines monatlichen Abonnementmodells einen exklusiven Ansprechpartner für das eigene Sicherheitssystem an, der die gesamte Infrastruktur vor Ort bis ins Detail kennt, die Systemwartung übernimmt, auf Schwachstellen hinweist und Tipps zur Prozessoptimierung gibt. Damit werden Sicherheitsteams und IT-Abteilungen entlastet und können sich auf ihre Kernaufgaben konzentrieren.

Fazit
Eine absolute Cybersicherheit ist nicht möglich. Unternehmen und Institutionen können aber bereits mit einfachen Maßnahmen die Gefahr deutlich reduzieren. Wer seine Mitarbeiter regelmäßig informiert und Prozesse implementiert, um die eigenen Systeme auf dem aktuellen Stand zu halten, macht es Cyberangreifern deutlich schwerer, ihr System zu kompromittieren.

Diese Vorgehensweise gilt auch für die physische Sicherheit. Auf alle Fälle sollten Sicherheits- und IT-Abteilungen gemeinsam daran arbeiten, eine umfangreiche, mehrschichtige Sicherheitsstrategie zu entwickeln. Dafür ist es unabdingbar, die Silostrukturen zwischen den Abteilungen aufzubrechen. Sicherheitsteams müssen sich zukünftig vermehrt mit dem Thema Cybersicherheit auseinandersetzen und wissen, worauf sie im täglichen Betrieb achten müssen.

*   www.securitymagazine.com/articles/87787-hackers-attackevery-39-seconds
**  www.nationalobserver.com/2020/04/14/news/4000-increaseransomware-emails-during-covid-19
*** www.heise.de/security/meldung/Studie-Wuerden-Sie-einengefundenen-USB-Stick-anschliessen- 3164154.html