IT-Security

Überwachungssysteme können zum Einfallstor werden – Risiken und Handlungsempfehlungen

18.10.2018 - Uns kann nichts passieren wir haben doch ein Sicherheitssystem! Ein solcher Gedanke ist trügerisch. Denn wer garantiert, dass bei IP-Kameras, Kommunikations- oder Zutrittskontroll...

„Uns kann nichts passieren – wir haben doch ein Sicherheitssystem!“ Ein solcher Gedanke ist trügerisch. Denn wer garantiert, dass bei IP-Kameras, Kommunikations- oder Zutrittskontrollsystemen die ­Sicherheit nicht gänzlich auf der Strecke bleibt? Woran Unternehmer jetzt denken müssen. Ein Beitrag von Bodo Meseke, Leiter der Forensic Technologies bei EY.

Wer ein Auto kauft, achtet vor allem auf das Preis-­Leistungs-Verhältnis und Features wie Sitzheizung, Spurassi­stent oder Navigationssystem. Doch was ist mit Sicherheitsgurten, Bremsen oder Airbags? Diese hat ausnahmslos jeder Neuwagen – ob er nun 10.000 oder 100.000 Euro kostet. Die grundlegende Sicherheit ist also gewährleistet. Wieso ist das nur bei Autos so? Warum wird bei physischen Systemen zur Unterstützung der Sicherheit oft genau an deren eigener (Cyber-)​Sicherheit gespart?

Viele Unternehmen arbeiten heutzutage mit Videoüberwachungssystemen (VSS, früher CCTV), Kommunikationssystemen oder Zugangskontrollen. Sie sollen vor Schäden schützen und Eindringlinge fernhalten. Was nicht alle bedenken: Mitunter werden sensible Daten wie Videodateien innerhalb des Systems unverschlüsselt ausgetauscht – und die Geräte sind vergleichsweise leicht zu hacken.

IP-Kameras im Consumer-Bereich kosten heute weniger als dreißig Euro – und auch im Business-Umfeld gibt es Spreu und Weizen. Oft gilt leider: Hauptsache, die zentrale Funktion des Geräts arbeitet ausreichend gut, das Drumherum ist nicht selten „zusätzlicher Aufwand und drückt die Marge“. Da die Geräte zumeist aber Teil des IoT sind, kann sich ein Vernachlässigen der Cyber-Sicherheit der Produkte jedoch fatal auswirken – schafft man so doch unter Umständen ein Einfallstor für genau die Personen, vor denen ein Sicherheitssystem eigentlich schützen sollte.

Das IoT als Türöffner: Kriminelle können etwa die Videoüberwachungsanlage oder Wartungszugänge für Klimageräte hacken, bei vertraulichen Meetings zuhören, Zugriffscodes von Türen ändern, um unbemerkt ins Firmengelände einzudringen – oder auch einfach über diese Einfallstore weiter in das Unternehmensnetzwerk vordringen, bis sie sich Zugang zu wirklich wertvollen Daten verschafft haben. Sind sie einmal im System, ist es schwer, sie aufzuhalten.

Fragen, bevor es zu spät ist
Im Internet der Dinge wird immer mehr miteinander vernetzt: Bis 2020 sollen es 200 Milliarden Geräte sein. Einerseits ist dies verlockend unkompliziert, andererseits gefährlich ungeschützt. Angesichts dessen ist Cyber-Sicherheit eines der wichtigsten Themen, auch für Entwickler neuer IoT-Geräte.

Um das jeweilige Risiko einzuschätzen, sollte jedes Unternehmen hinterfragen, mit welchen kritischen Daten seine Sicherheitssysteme arbeiten und welche Schwachstellen es Hackern ermöglichen, Vorgänge zu manipulieren.

IT-Sicherheit ist kein „Nice-to-­have“ und längst kein reines Online-Thema mehr. Cyber-Security und physische Sicherheit müssen systematisch verknüpft und die eigenen Sicherheitssysteme sollten gründlich überprüft werden:

  • Wie sehr achtet der Hersteller generell auf die Sicherheit seiner Produkte?
  • Gibt es regelmäßige Software-Updates?
  • Was geht wirklich in unseren Netzwerken vor sich?
  • Wie organisieren wir Cybersicherheit effektiv in allen Bereichen?
  • Was muss wirklich zwingend miteinander vernetzt sein?

Abschließen niemals vergessen
Ein gutes Cybersicherheitssystem zu haben, ist nur die halbe Miete. Denn selbst das beste System bringt nichts, wenn die handelnden Personen nicht wissen, wie es richtig zu nutzen ist. Wir Menschen als „Schwachstelle“: Die meisten Fehler gründen leider, zahlreichen Analysen zufolge, noch immer bei Mitarbeitern. Das ist in etwa so, als würde man als Supermarktbetreiber seine Filiale abends nicht abschließen.

Auch darf die Verantwortung für Cybersicherheit nicht bei wenigen IT-Experten in der Firma liegen, sondern bei jedem Mitarbeiter – ausnahmslos. Die Checkliste lässt sich demnach um zwei Fragen erweitern:

  • Finden Schulungen zum Umgang mit den Sicherheitssystemen statt?
  • Gibt es klare Regeln und Sicherheitsstandards – und werden diese eingehalten?

Gerade vor dem Hintergrund, dass die Frage nicht mehr lautet, ob ein Unternehmen angegriffen wird, sondern nur noch, wann dies der Fall sein wird, wandeln sich die Anforderungen fundamental. Kaum ein Unternehmen kann heute ohne digitale Technologien arbeiten; gerade für eine Wissensnation sind sie wesentlich, doch machen sie zugleich verwundbar. Ein Blick auf die Nachrichten beweist, dass wir nicht über ein fernes Zukunftsszenario diskutieren. Niemals war die Gefährdung durch Cyberkriminalität größer als heute. Trotzdem gehen viele noch zu sorglos mit dem Thema um. Das muss sich schleunigst ändern, damit Sicherheitssysteme Unternehmen auch wirklich schützen.

Security Systems
Security Systems enthalten meist sensitive Daten und werden durch das Internet der Dinge (IoT) angreifbarer. Sie sollen vor Schaden schützen – und nicht selbst zum Einfallstor werden. Cyber Security ist daher unverzichtbar. Dieser Beitrag informiert über Risiken und gibt Handlungsempfehlungen.

Der Cyber-Check

  • Fangen Sie an, IT-Sicherheit umzusetzen – noch heute und im ganzen Unternehmen. Jeder Mitarbeiter muss wissen, was im Ernstfall zu tun ist.
  • Legen Sie deshalb eine Checkliste mit ersten Handlungstipps und den wichtigsten Telefonnummern an – digital und analog, denn wenn Ihre IT angegriffen wird, ist eine Papierversion vielleicht äußerst hilfreich.
  • Machen Sie sich bewusst, wo in Ihrem Unternehmen welche Daten gespeichert werden, wie wichtig diese für Ihr Unternehmen sind und wie Sie sie optimal schützen/sichern.
  • Beseitigen Sie Schwachstellen mit Unterstützung von Fachleuten.
  • Und: Überprüfen Sie auch die Sicherheitsstandards Ihrer Geschäftspartner – vom Softwareanbieter bis zum Lieferanten.

 

Contact

Ernst & Young GmbH

Mittlerer Pfad 15
70499 Stuttgart
Germany