Ein Artikel im Basic Thinking Blog (Sesam öffne dich: Chaos Computer Club knackt ‘Legic Prime’-Zugangskontrolle an Flughäfen) hat mich dazu bewogen hier im Blog mal das Thema Sicherheit bzw. vermeintliche Sicherheit zu behandeln.
Bei meiner Arbeit als Abteilungsleiter im Bereich Serverbetrieb eines großen Finanzdienstleisters werde ich oft mit dem Thema Sicherheit und potentiellen Gefährdungen durch Hacker konfrontiert und wir tun recht viel um die Systeme sicher zu machen. Das jetzt aufgedeckte Sicherheitsproblem an diversen deutschen Flughäfen macht aber wieder mal deutlich, dass es einer umfänglichen Sicherheitsstrategie bedarf, um den Bedrohungen zu begegnen. Er reicht nicht aus, sich auf einen Bereich zu konzentrieren, dabei aber andere Bereiche zu vernachlässigen.
Eine reine IT-Sicherheit reicht eben noch lange nicht aus, wenn z.B. Zutrittssysteme nicht sicher oder Mitarbeiter nicht sensibilisiert genug für das Thema Sicherheit sind. Ich denke, gerade das Thema „Social Engineering“ wird hierbei massiv unterschätzt und sollte in allen Bereichen stärker in den Fokus gerückt werden. Wenn ein externer durch geschicktes Handeln am Telefon irgendwann soweit kommt, dass ihn der Admin sein Remote Access Passwort zurücksetzt, dann hilft alle aufgebaute IT-Security nichts mehr, dann ist er „legal“ im Firmennetz. Wer glaubt, dass dies an den Haaren herbeigezogen ist, der sollte mal das eine oder andere Buch bekannter Hacker lesen (z.B. Kevin Mitnick, „Die Kunst der Täuschung“).
Jeder einzelne Mitarbeiter muss daher regelmässig in dieser Hinsicht sensibilisiert werden. In dem beschriebenen Fall mit dem Auslesen der Funkchips der Karten wäre meine allererste Reaktion als Verantwortlicher, das offene Tragen der Zutrittskarten zu untersagen und die MitarbeiterInnen anzuweisen, die Karten möglichst verdeckt und unauffällig in Taschen der Kleidung zu verwahren. Das wird zwar das Auslesen nicht unmöglich machen, aber bedingt durch die kurze Reichweite des Lesegeräts (15cm ) doch erschweren.
Was denkt ihr?
Ein schönes Wochenende!
Peter Heck
P.S. Leider hab ich den Cartoon nicht mehr, an den ich beim Schreiben des Artikels denken musste – geht in etwa so:
Ein Mann steht in der vollbesetzten U-Bahn und telefoniert lautstark (für alle hörbar) mit seiner Frau: „Ok, jetzt siehst Du auf dem Computer das Feld wo Du die Kreditkarteninformationen eingeben musst. Die Kartennummer ist 1234 5678 9123, die Gültigkeit ist 11/11, das Prüfziffer ist 321 – pass aber auf, dass unten rechts das Schloss zu sehen ist, damit Du sicher bist, dass die Webseite auch verschlüsselt ist und keiner die Informationen klaut“