Große Organisationen verfügen in der Regel über ein Team für physische Sicherheit und ein separates IT-Team, das sich auf digitale Sicherheit konzentriert. Beide Teams schützen die Werte und Ressourcen des Unternehmens. Es liegt also nahe zu denken, dass sie bestens miteinander harmonieren.
Die Herausforderung besteht jedoch darin, dass die zu schützenden Werte unterschiedlich sind. Schutzmaßnahmen sind Hindernisse, die das Risiko einer bestimmten Bedrohung verringern sollen. Wenn man die Risiken nicht versteht, erscheinen Schutzmaßnahmen als lästige Zusatzprozesse, die den Arbeitsalltag erschweren und zusätzliche Kosten verursachen. Genau hier prallen OT (Operational Technology) und IT (Information Technology) oft aufeinander. Ein typischer Unterschied: OT priorisiert häufig Verfügbarkeit vor Vertraulichkeit und Integrität, während IT meist die Vertraulichkeit in den Vordergrund stellt.
Was digitale Sicherheit von physischer Sicherheit lernen kann
Für die meisten Menschen sind Risiken im Bereich der physischen Sicherheit leicht nachvollziehbar. Eine unverschlossene Tür erhöht das Risiko, dass Unbefugte eintreten. Sichtbar platzierte Wertgegenstände können leicht entwendet werden. Fehler und Unfälle können Menschen, Eigentum und Dinge gefährden.
Ich bin leitender Analyst für digitale Sicherheit in einem Unternehmen, das hauptsächlich Produkte zur physischen Absicherung entwickelt, die über IP-Netzwerke verbunden sind. Aus meiner Sicht ähneln sich die Ansätze zur Absicherung beider Bereiche stark. Egal ob Sie für die physische oder digitale Sicherheit Ihrer Organisation verantwortlich sind – die Prinzipien bleiben gleich:
- Identifizieren und klassifizieren Sie Ihre Werte und Ressourcen (was soll geschützt werden)
- Ermitteln Sie plausible Bedrohungen (vor wem soll geschützt werden)
- Erkennen Sie Schwachstellen, die von Bedrohungen ausgenutzt werden könnten (wie wahrscheinlich ist das)
- Schätzen Sie die möglichen Folgen, wenn etwas schiefgeht (was wäre der Schaden)
Risiko wird oft als Wahrscheinlichkeit einer Bedrohung multipliziert mit dem potenziellen Schaden definiert. Wenn Sie diese Faktoren kennen, müssen Sie sich fragen, was Sie bereit sind zu tun, um negative Auswirkungen zu verhindern. Schauen wir uns die Prinzipien genauer an.
Kenne deine Werte und Ressourcen
Im Bereich von Videosystemen ist die offensichtlichste Ressource der Live-Stream der Kamera. Der eigentliche Wert liegt in den gespeicherten Aufnahmen im Verwaltungssystem. Der Zugriff darauf wird in der Regel über Benutzerrechte gesteuert. Weitere relevante Werte sind Benutzerkonten und Passwörter, Konfigurationen, Betriebssysteme, Firmware/Software und netzwerkfähige Geräte. Je nach Kritikalität und Exponiertheit sind sie unterschiedlich zu bewerten.
Kenne die typischen Bedrohungen
Die größte Bedrohung für jedes System ist die absichtliche oder unbeabsichtigte Fehlverwendung durch Personen mit legitimen Zugriffsrechten. Schlechte Absicherung kann dazu führen, dass Mitarbeitende auf Inhalte zugreifen, die sie nicht sehen dürfen, oder versuchen, „etwas zu reparieren“, was die Leistung des Systems beeinträchtigt. Auch Hardware-Ausfälle sind eine häufige Bedrohung. Systeme zur Absicherung können gezielt sabotiert werden – etwa von Personen, die sich nicht beobachtet fühlen möchten. Dienste mit Internetzugang können Opfer von Scherzangriffen werden, bei denen Systeme aus Spaß manipuliert werden. Terroristen und staatliche Akteure könnten versuchen, Geräte innerhalb eines Netzwerks zu instrumentalisieren. Diese Bedrohungen unterscheiden sich nicht grundlegend von physischen Gefahren – der Schaden und der Nutzen für Angreifer sind vergleichbar. Systeme benötigen daher sowohl physischen als auch digitalen Schutz.
Kenne die typischen Schwachstellen
Im physischen Bereich sind Türen und Fenster Schwachstellen – potenzielle Einstiegspunkte. Auch Mauern und Zäune haben Schwächen, da sie überwunden werden können.
Das gleiche Prinzip gilt für Software. Das Risiko hängt davon ab, wie leicht eine Schwachstelle ausgenutzt werden kann und wie gravierend die Folgen wären. Schutzmaßnahmen können entweder Hindernisse schaffen, um das Risiko zu senken (z. B. Verschlüsselung), oder die Wiederherstellungskosten reduzieren (z. B. Datensicherung).
Wenn Menschen an digitale Sicherheit denken, haben sie meist die komplexen Angriffe aus den Medien im Kopf. Die meisten Probleme, die ich sehe, betreffen jedoch Schwächen in der Geräteoberfläche – was daran liegt, dass wir Gerätehersteller sind. Die größten Schwachstellen liegen aber oft in mangelndem internen Bewusstsein, fehlenden Richtlinien, Prozessen und Verfahren. Diese müssen etabliert werden. Zudem sollten Sie die digitale Reife Ihrer Lieferanten prüfen, bevor Sie deren Produkte oder Dienstleistungen bewerten.
Kenne die möglichen Folgen
Videosysteme verarbeiten keine Finanztransaktionen und speichern keine Kundendaten. Das macht sie für organisierte Cyberkriminelle weniger lukrativ.
Andere Bedrohungen zeigen jedoch, welches Schadenspotenzial besteht: Mitarbeitende könnten auf sensible Inhalte zugreifen oder die Systemleistung beeinträchtigen. Sabotage durch unzufriedene Insider oder externe Aktivisten kann zu Ausfällen führen. Wenn Inhalte nach außen dringen, kann Vertrauen verloren gehen. Ein kompromittiertes System kann andere Systeme gefährden. Die Kosten sind schwer zu beziffern – leider lernen viele Organisationen erst aus Schaden. Schutz ist wie Qualität: Man bekommt, wofür man bezahlt. Wer billig kauft, zahlt am Ende oft drauf.
