WIRTSCHAFTSSCHUTZ 49 DSD 1 | 2023 IT-Schutz und physische Sicherheit: Weshalb das eine ohne das andere Stückwerk bleibt Von Klaus Henning Glitza Ehemaliger Redakteur der Hannoverschen Allgemeinen Zeitung, Träger des Deutschen Förderpreises Kriminalprävention (Stiftung Kriminalprävention, Münster) und seit 2003 als Fachjournalist für Sicherheitsfragen tätig. Klaus Henning Glitza Jeder dürfte ihn wohl kennen, den Vergleich eines Unternehmens mit einer Burg. Und die daraus gezogene Lehre, dass es nichts nützt, die oberirdischen Mauern und Zinnen zu bewachen, wenn sich Angreifer aus dem Untergrund ins Innere graben können. Konkret gemeint ist damit, dass die Abwehr von IT-Attacken als Angriffsszenarien der Neuzeit mit konventionellen physischen Schutzmaßnahmen Schritt halten muss. Das hat zweifelsohne gewirkt, aber auch zu einem Paradoxon geführt. Während sich die IT-Sicherheit in vielen Bereichen verbessert hat, wenn auch nicht in dem Maße, die den ITlern vorschwebt, ist der umfassende physische Schutz nicht adäquat vorangekommen. Oftmals stehen die Schutzansätze sogar in Konkurrenz zueinander. Firmenchefs sprechen offen davon, dass beides nicht gleichermaßen finanzierbar sei. Oder sie vertreten die Ansicht, dass mit der IT-Sicherheit den Hauptrisiken für ihr Unternehmen entgegengetreten werde. Alles andere sei auch schlimm, aber nicht im Entferntesten so unternehmenskritisch. Eine gefährliche Fehleinschätzung. Denn – eigentlich eine Binsenwahrheit – ein partieller Schutz kann nur zu einer partiellen Sicherheit führen. Wer glaubt, mit physischen Schutzmaßnahmen (in grober Zusammenfassung: Perimeterschutz, Zutrittskontrolle, Zugangsbeschränkung und Überwachung kritischer Bereiche) würden überwiegend Einbrecher und Diebe abgehalten, liegt gründlich falsch. Es ist eine, in Hollywoodstreifen oft und gerne in Szene gesetzte Illusion, dass Angreifer nur ein paar Mal hastig auf Tasten drücken müssen, um in fremde IT-Systeme einzudringen. Die wahre Welt sieht anders aus. Und das nicht nur, weil es kaummöglich ist, im Handumdrehen andere PCs und Server zu entern, sondern weil die Dunkelmänner aller Sorten längst auf die erhöhte IT-Sicherheit reagiert haben. Und das nicht mit raffinierteren Hackingmethoden, sondern mit einer Rückbesinnung auf die Werkzeuge von gestern. Nach der Devise: Mögen Schließanlagen noch so raffinierten Aufsperrtools widerstehen, gegen die seit Menschengedenken gebräuchliche Axt sind sie oft machtlos. Schwachstellen sind Angreifers Darling. Ob Ansatzpunkte für Attacken im physischen oder IT-Bereich liegen, ist den Dunkelmännern relativ egal. „Auf das Ergebnis kommt es an“, dieser alte Spruch gilt hier in besonderer Weise. Es ist ein offenes Geheimnis, dass in vielen Unternehmen die Cybersicherheit oder physische Sicherheit befassten Personen nur selten kooperieren. In einigen Fällen können oder wollen sie noch nicht einmal miteinander. Eifersüchteleien und der Dünkel der angeblichen technologischen Überlegenheit tun das ihrige. In größeren Unternehmen berichten die handelnden Personen der beiden Bereiche häufig unterschiedlichen Führungskräften. Der eine an den CEO, der andere eine Stufe darunter. Das Ergebnis: Nichts fließt wirklich zusammen. Jeder macht sein Ding in der aus Eigensicht optimalsten Weise. Doch es bleibt bei Einzelergebnissen, die nicht auf einen Nenner kommen. Noch gravierender wirkt sich aus, wenn IT- oder physische Sicherheit fremdvergeben werden. Jeder Auftragnehmer trachtet dann häufig in nachvollziehbarer Weise danach, das für sein Teilgebiet beste Ergebnis abzuliefern. Ob das mit dem Aspekt der wünschenswerten ganzheitlichen Sicherheit zusammenpasst, ist eine zweite Frage – und oftmals auch gar nicht das Auftragsziel. Ein zurückliegender Fall macht deutlich, dass sich Cyber- und physische Sicherheit gegenseitig bedingen. Bei Tiefbauarbeiten wurde auf dem Betriebsgelände eines niedersächsischen Unternehmens ein vergrabener Router entdeckt. Mit diesem war es möglich, von außen gesteuert auf das betriebliche Netzwerk zuzugreifen. Nach Erkenntnissen des niedersächsischen Verfassungsschutzes gab es für dieses sinnbildliche „trojanische Pferd“ keinerlei Schutz. Der beispielhafte Fall belegt: Die IT-Sicherheit kann noch so gut und ausgereift sein, sie wird dennoch zur Makulatur, wenn in anderen Bereichen meterbreite Lücken klaffen. Lücken, die
RkJQdWJsaXNoZXIy Mjc4MQ==