WIRTSCHAFTSSCHUTZ 50 DSD 1 | 2023 selbstredend umgehend genutzt werden, denn die Angreifer sind bekanntermaßen alles andere als dumm. Weitere reale Beispiele mögen das belegen. So fand sich im Besucherraum eines Unternehmens ein offen an der Wand angebrachter Router. Lange Zeit hatte niemand Notiz davon genommen. Das Teil war ordentlich angebracht und alle glaubten, es werde wohl schon seine Richtigkeit haben. Die Tarnung liegt im Alltäglichen, heißt es nicht umsonst. Erst ein Sicherheitsexperte, der aufgrund eines anderen Vorfalls eingeschaltet wurde, kam dem trojanischen Router auf die Spur. In einem anderen Unternehmen wurden sensible IT-Leitungen durch öffentlich zugängliche Räume geführt. Es dauerte nicht lange, bis Angreifer diesen Schwachpunkt entdeckten. Professionell wirkende „Handwerker“ erschienen, um vor den Augen aller Besucher die Leitungen anzuzapfen. Niemand dachte sich etwas dabei. Handwerker im Einsatz, das ist schließlich etwas ganz Normales. So flossen über längere Zeit sensible Informationen ungehindert ab. Erst als sich Verdachtsmomente ergaben, kam die Attacke ans Licht. „Handwerker“ traten auch in einem weiteren Fall in Erscheinung. Dabei nutzten die Täter Insiderwissen. Sie wussten aus belauschten Mitarbeitergesprächen, dass die betriebsinternen IT-Geräte einmal im Jahr inspiziert wurden. Der Mann an der Pforte schöpfte deshalb keinen Verdacht, als „Servicekräfte“ erschienen, und ließ sie rein. Erst als Wochen später die echten Handwerker auftauchten, flog die Legende auf. Doch bis dahin war es bereits zu einem massiven Abfluss kritischer Daten gekommen. Genauere Details sind nicht bekanntgegeben worden. Es liegt aber nahe, dass Keylogger installiert worden sind. Dabei handelt sich um kleine Aufzeichnungsgeräte, die sämtliche Eingabendes PC-Nutzers protokollieren. Darunter natürlich auch Kenn- und Passwörter. Gesteckt werden diese Logger meist in den unteren Slot, der zur Tastatur führt. Das dauert nur Sekunden. Über eine integrierte Steckverbindung bleibt der Kontakt zur Tastatur erhalten. Es gibt diese Keylogger auch als Softwareversionen oder als Modelle, die die Protokolldaten über Funk oder Netzwerke versenden. Es bedarf deshalb nach der Installation nicht zwingend eines Zugangs zum„heißen Raum“. Kennzeichnend für diesem Fall: Einige Mitarbeiterinnen und Mitarbeiter wunderten sich zwar über das Vorgehen der „Handwerker“, das sich vom üblichen Arbeitsverhalten der regulären Kräfte unterschied. Doch niemand traute sich, Vorgesetzte oder Sicherheitsverantwortliche zu informieren. Man wollte nicht als „Oberverdachtsschöpfer“ dastehen oder als jemand, der Entscheidungen„von oben“ infrage stellt. Eine Angriffsoption liegt auch in gefakten Einbrüchen. Das heißt: Die Täter brechen nicht ein, um die typischen materiellenWerte zu erbeuten, sondern, um gezielt Informationen zu stehlen oder deren Diebstahl vorzubereiten. Dabei sind die Täter nicht immer so dumm, dass ihre tatsächlichen Ziele augenscheinlich werden, wie es in zwei Fällen geschah. Beim Fall Nummer 1 drangen die Täter ausschließlich in ein Obergeschoss ein, in dem sich die Server befanden, und ließen die anderen, besser erreichbaren Etagen außen vor. In zweiten Fall vergruben die Kriminellen die zum Schein mitgenommene Beute so nachlässig, dass sie von einem Forstmitarbeiter gefunden wurde. Das legte letzten Endes die wahren Ziele der Ganoven offen. Doch das sind Ausnahmen. Selbst erfahrene Kriminalisten kommen nicht umhin, bestimmte Einbrüche trotz eines „Geschmäckles“ der allgemeinen Kriminalität zuzuordnen. Und immer noch funktioniert der uralte Trick, dass hochwertige USB-Sticks in der Nähe von Unternehmen oder auf deren Parkplätzen„verloren“ werden. In der Hoffnung, dass diese Speichermedien von Mitarbeitern gefunden werden, die sie dann nicht etwa zum Fundbüro bringen, sondern im Betrieb einsetzen. Und schon ist eine Spyware oder ein anderes Schadprogramm im System. Es ist unbestreitbar, dass alle diese Fälle im Versuch steckengeblieben wären, hätte es eine umfassende physische Sicherheit und nicht zuletzt auch Sensibilität gegenüber solchen Angriffsmöglichkeiten gegeben. Der Fall mit den falschen Handwerkern, Stichwort Keylogger, zeigt auf, dass es fatal ist, wenn Verdachtsmeldungen unterlassen wurden. In diesem Punkt sind Unternehmen gut beraten, wenn sie zu solchenMeldungen ermuntern. Und die Parole ausgeben: Lieber einmal zu viel melden als einmal zu wenig. Die Mitarbeiter müssen wissen, dass ihnen eine Meldung nicht zumNachteil gereicht. Eine zweite Lehre aus den vorstehenden Zeilen: IT- und physischer Schutz sollten enger zusammenrücken, im Idealfall sogar in einer Hand liegen. Die Zeiten, in denen jeder auf seine Art vor sich „hin muckelte“ sind endgültig vorbei. Da sich die Bedrohungslage weltweit verschärft hat und auch kriminelle Strukturen im Vormarsch sind, können alte Rezepte nur noch bedingt helfen. Es muss auf Neustart geschaltet werden. Eine gute Lösung wäre es, die künstliche Grenze zwischen IT- und physischer Sicherheit zu überwinden. Ein erster Schritt dazu könnte sein, dass diese beiden Bereiche regelmäßig miteinander konferieren, um Will er materielle Beute machen – oder geht es eher um Datendiebstahl? Mancher Einbruch hat andere Hintergründe als auf den ersten Blick vermutet. Bild: Tim Reckmann / pixelio.de Eine kleine Nachlässigkeit und schon ist das IT-System von einem Virus oder Wurm befallen. Bild: Antje Delater / pixelio.de
RkJQdWJsaXNoZXIy Mjc4MQ==