Wie kann ich die physikalische Sicherheit verbessern?
Ohne einen Bunker aus meiner Wohnung / Bürogebäude zu machen …
Dieser Guide zeigt Dir, wie es geht!
Starten wir.
Realistisch vs. Hollywood – Die Rahmenbedingungen
- Nicht NSA: Hollywood-Agentenfilme zeigen häufig Hochsicherheitsgebäude, welche so in der Realität zwar existieren, aber für das normale Unternehmen nicht interessant sind. Die Kosten sind absurd hoch und nur für das Militär oder die Regierung greifbar.
- Ungenügendes Budget: Sicherheit bringt im ersten Moment keine mehr an Umsatz oder Gewinn. Wir haben nur ein (sehr) begrenztes Budget, was wir für die physische Sicherheit ausgeben können.
- Selbst ein Bunker ist unsicher: Es gibt kein sicheres Gebäude. Wir können es den Angreifern nur schwerer machen und diese massiv verlangsamen. Wenn das Militär anrückt, haben wir keine Chance mehr.
Pragmatisch: Wir brauchen keine roten Laserstrahlen, Selbstschussanlagen oder geheimen Bunker, sondern gute Vorsichtsmaßnahmen.
- Menschliche Fehler: Bei jedem Sicherheitskonzept müssen wir mit dem menschlichen Fehler rechnen. Was passiert, wenn Horst seinen Schlüssel liegen lässt, Jasmin die Tür nicht schließt oder Dagobert das Passwort 3 Mal falsch eintippt?
- Vom Einbruch ausgehen: Wir gehen immer davon aus, dass die Kriminellen bereits im Gebäude sind. Sie richten großen Schaden als Reinigungsfachkraft, Handwerker oder als Mitarbeiter getarnt an
Die besten Umsetzbare Controls
Weil wir nur 3,50 € für unsere physische Sicherheit übrig haben (oder von unserem Chef bekommen), müssen wir sinnvolle, bezahlbare Controls auswählen:
Digitales Schloss vor Vorhängeschloss – Software
- Hardwareverschlüsselung Festplatten: Die meisten Server- und Desktop-Computer sind per se unsicher, dass jeder Depp die Festplatte ausbauen kann und die Daten auslesen kann. Diese Systeme sind sicher vor Angriffen aus dem Netz, aber nicht vor physischen Zugriff. Hardwareverschlüsselung ist hier das Zauberwort. Das geht mit LUKS oder Bitlocker kostenlos.
- HTTPS Pflicht: Alle Daten, die herein- und herausgehen, sollen verschlüsselt sein! Eine Transportverschlüsselung wie HTTPS, SFTP oder SSH sollen der Standard sein. Wir müssen davon ausgehen, dass die Kriminellen unser Kabel abhören.
Autolock von Arbeitsrechnern: Schnell einen Kaffee holen oder auf Toilette? Der Computer bleibt 5 Minuten lang nicht gesperrt. Das ist die perfekte Möglichkeit für Kriminelle zuzugreifen. Die Lösung ist ein digitaler Zaun, wenn sich Dein Handy zu weit weg von Deinem Laptop bewegt sperrt sich Dein Laptop automatisch.
- VPN: Auch wenn wir alles an Transportdaten verschlüsseln, kann es vorkommen, dass alte Programme doch unverschlüsselte Daten versenden. Ein VPN zwischen zwei Rechenzentren oder Computern ist sinnvoll.
- Physische Redundanz: Wenn der Angreifer es auf eine Zerstörung abgesehen hat, brauchen wir Backups an verschiedenen (geheimen) Orten.
- Minimaler Zugriff – Kein Zugriff als Standard: Wir geben nur den Personen Zugriff zu einzelnen Daten, solange diese den Zugriff brauchen.
- Wlan-Stärke reduzieren: Das Wlan-Signal soll nur so weit gehen, wie wir brauchen. Die Antennen können weite Außenbereiche abdecken, wo Kriminelle jedes Signal abfangen können.
- Airgapping: Airgapping besagt, dass wir unser eigenes Netzwerk aufbauen und es nicht mit dem Internet verbinden. Updates sind dann nur über USB-Sticks möglich.
Tipps für physische Sicherheit
Auch wenn wir uns mit Software gut schützen können, sollten wir die Hardware in einem Mindestmaß schützen. Wir wollen diese auch nicht selbst zerstören:
- Zugang zu Kabeln minimieren: Kabelwege sind geschützt. Die Kabelkanäle laufen nicht außen an der Hauswand lang, sondern immer innen. Alle Erdkabel sind tief (1 m oder mehr) eingegraben.
- Türenschließer: Alle Türen sollen automatisch zufallen, die im oder am Rechenzentrum sind. Der Mensch ist ein faules Wesen und schließt Türen nicht immer. Im Idealfall geht ein Alarm los, wenn jemand die Tür für länger als 5 Minuten aufhält.
- Elektronische Schlösser: Ein Dietrich kann nahezu jedes altes Schloss (Metallschlüssel) öffnen. Wenn Du Deinen Computer schützt willst, dann nutzt Du ein digitales Schloss.
- Doorgating: Halte nicht die Tür für die nächste Person auf, sondern jede Person soll sich separat verifizieren.
Abschreckende Schilder oder Tarnung: Der beste Schutz ist, wenn wir keinen Schutz brauchen. Abschreckende Symbole (Chemielabor, Explosiv) verschleiern den Zweck als Rechenzentrum… oder … die Tarnung als eine private Hippie-Bar ist effektiver als eine 500 cm Stahlbetonwand und Sicherheitstüren. Schaffe genug Gründe, warum Neugierige das Gebäude nicht weiter untersuchen sollen.
- Unbeschriftet Schlüssel: Passwörter, Schlüssel oder Token von Mitarbeitern sollten niemals beschriftet sein. Die Kriminellen sollten niemals im ersten Anlauf den Schlüssel 1 zur Tür 1 perfekt zuordnen können.
- Bestechlichkeit und Loyalität: Bestechlichkeit ist ein weiteres Problem von Menschen. Diese können dem Kriminellen den Schlüssel und Passwort aushändigen. Gute Gehälter reduzieren die Wahrscheinlichkeit, weil die Mitarbeiter nicht am Hungertuch nagen und deshalb „loyaler“ entscheiden. Jeder Dienstleister im Gebäude von Handwerker bis Reinigungsfachkraft wird aktiv von den vertrauenswürdigen Mitarbeitern überwacht.
Kostenfallen, die sich nicht lohnen
Oft gesehen, gehört – aber nicht so effektiv, sind diese Controls:
- Videoüberwachung: Wenn ein Krimineller es auf einem Einbuch ausgelegt hat, wird er nicht sein Gesicht in die Kamera zeigen. Die Technik für die Kameraüberwachung ist kostspielig. Hochauflösende Kameras, lange LAN-Kabel, Installationen der Kabel und Geräten an Wänden, Speicherung der Datenmengen, Auswertung des Bildmaterials, …
- Höchste Sicherheitsklasse bei Türen, Wänden und Fenstern: Wir müssen unser Rechenzentrum nicht in einer Gartenhütte bauen, aber massive Gebäude sind nur für das Militär und Regierungen interessant. Dort gibt es andere Budgets als bei privaten Unternehmen oder Privatleuten.
- Stacheldraht und Zaun / Hochsicherheitsgefängnis: Je wichtiger das Gebäude aussieht, desto mehr Idioten brechen ein, welche das Gebäude im Vorbeigehen gesehen haben. Sie vermuten Gold und keine Festplatten hinter den Türen
- EMP-Schutz: Elektronik können Kriminelle mit einem elektromagnetischen Impuls von Außen frittieren, aber dieses Risiko können Privatleute und private Unternehmen eingehen. Backups sind Deine Versicherung!
- 24/7 Überwachung: Wachschutz ist ganz nett. Diese die gleichen Rechte wie ein normaler Bürger. Sie dürfen nicht auf Einbrecher wie in Actionfilmen niederstrecken und können die Kriminellen nur sehr begrenzt festhalten. Der Wachmann kann die „echte“ Polizei verständigen.