Physische IT-Sicherheit

Was ist physische Sicherheit und wie unterscheidet sie sich vom sonstigen Schutz Ihrer IT? Im Wesentlichen bezeichnet der Begriff alle Maßnahmen, die Sie zum Schutz der physischen Komponenten Ihres IP-Systems leisten können. Anstelle der Software rückt die Hardware in den Vordergrund, von Servern über einzelne Computer bis zur physischen Telefonanlage. Die Risiken, die diese Geräte schädigen oder komplett zerstören können, sind beispielsweise:

• Einbruch und Diebstahl
• Vandalismus und Sabotage
• Feuer und Explosion
• Wasserschäden
• Rauch und Schmutz
• extreme Außenbedingungen

Speziell für kleine und mittelständische Unternehmen kann ein Schaden dieser Art weitreichende Folgen für den Geschäftsbetrieb haben. Ein Ausfall der Server oder der Telefonanlage kann für Stunden oder Tage eine Kommunikation mit der Außenwelt unmöglich machen. Hierunter leiden die Kundenbeziehungen erheblich.

Noch schlimmer ist es, wenn öffentlich der Eindruck entsteht, dass Sie nicht genug für Ihre IT-Sicherheit getan haben. Hieraus können Kunden und Business-Partner herleiten, dass Ihnen die Erfassung und Speicherung sensibler Daten nicht zu 100 % am Herzen liegt. Die Folge: Partner und Kunden verlieren das Vertrauen und Sie verlieren Ansehen in der Öffentlichkeit.

Um zu verstehen, was physische Sicherheit von sonstigen Maßnahmen der IT-Sicherheit abgrenzt, sollten andere Schadensformen verstanden werden. Denken Sie an Ihre Telefonanlage, für die PHONEKOM Ihr professioneller und vielseitiger Partner ist. Bei einer herkömmlichen Telefonanlage ohne unser durchdachtes Schutzkonzept sind folgende Risiken realistisch und begleiten Ihre Mitarbeiter im Betriebsalltag:

• Anrufe können im unverschlüsselten SIP-Verkehr mühelos abgefangen werden
• Kennwörter hausinterner WLAN-Netzwerke lassen sich erfassen
• Abfangen von Textnachrichten, beispielsweise bei Zwei-Faktor-Authentifizierung
• Malware werden über E-Mails oder Nachrichten ins System eingeschleust.

Während die physische Sicherheit Definition von einer echten Schädigung des Gerätes ausgeht, wirken diese Risiken „von innen heraus“. Sie zu vermeiden und höchste Sicherheit im IT-System zu erzielen, sollte jedem KMU am Herzen liegen. Hierüber hinaus bietet die physische IT-Sicherheit Ansatzpunkte, wie Attacken und Schäden von außen Ihren betrieblichen Erfolg nicht gefährden.

Die physische IT-Sicherheit durch elementare Ereignisse wie Feuer oder Wasser kann niemand direkt beeinflussen. Hier gilt es ernstzunehmen, dass es häufiger zu Unwettern in Mitteleuropa als noch vor ein oder zwei Jahrzehnten kommt. Server, Telefonanlagen und weitere Geräte sind deshalb bestmöglich physisch zu schützen.

Hierneben gibt es einen Faktor, der direkt vom Menschen beeinflusst wird und eine hohe Sensibilisierung Ihrer Mitarbeiter voraussetzt. Die Rede ist von Social-Engineering Attacken, bei denen Kriminelle durch direkten Kontakt das Vertrauen Ihrer Mitarbeiter gewinnen möchten.

Social-Engineering Attacken finden über diverse Kommunikationskanäle statt, vom klassischen Telefon bis zu Mails und Social-Media. Der Angreifer kann sich als Interessent, Kunde oder zukünftiger Business-Partner präsentieren. Sie zielen auf ein maximales Vertrauen ab, beispielsweise um langfristig Passwörter für Teile des betrieblichen IT-Systems zu erhalten.

Sind Social-Engineering Attacken erfolgreich, können die Angreifer Viren und Malware ins Firmensystem einschleusen. Auch eine aktive Manipulation von Daten oder ein Diebstahl sensibler Informationen ist denkbar. Damit Sie nicht Opfer einer Erpressung werden und um schlechte Publicity fürchten müssen, sollte jeder Mitarbeiter das Risiko der Social-Engineering Attacken kennen und verstehen.

Hat eine Firma verstanden, was physische Sicherheit bedeutet und wie wichtig sie neben der technischen Sicherheit ist, sollten zeitnah Maßnahmen umgesetzt werden. Im Falle Ihrer zeitgemäße VoIP-Telefonanlage ist PHONEKOM Ihr Ansprechpartner, um auf beiden Ebenen die richtigen Maßnahmen zu treffen.

Bevor wir die physische IT-Sicherheit in den Fokus nehmen, ein kurzer Blick auf den technischen Sicherheitsaspekt. Mit unseren Telefonanlagen haben Sie die Sicherheit, dass die nachfolgenden Faktoren professionell und verlässlich von uns angegangen und umgesetzt werden. Ob SIP-Telefonanlage oder Cloud-Lösung, in beiden Fällen ist Ihnen mit PHONEKOM höchste, technische Sicherheit gewiss.

1. Ein modernes IP-Telefonsystem überwacht die verwendeten Tarife in Echtzeit und stellt beispielsweise die strikte Einhaltung gebührenfreier Anrufe sicher. Damit es nicht zum Abhören von Telefongesprächen kommt, werden die IP-basierten Gespräche ausschließlich verschlüsselt übertragen.

2. Durch Logs werden sämtliche Prozesse und Anrufe der Telefonanlage protokolliert. Dies lässt in Echtzeit und im Nachhinein nachvollziehen, wo es zu Problemen und Anomalien in der Abwicklung von Telefongesprächen gekommen ist.

3. Bei einer längeren Nutzung der TK-Anlage lassen sich typische Anrufmuster des Unternehmens erkennen. Sollte es zu einem klaren Abweichen kommen, beispielsweise durch einen Angriff von außen, kann das System dies automatisch erkennen und hierüber in Kenntnis setzen.

4. Eine ähnliche Überprüfung ist für die Auslastung einzelner Leitungen oder die Zentrale möglich. Kommt es hier zu Auffälligkeiten, lässt sich direkt hierauf reagieren, um weitreichende Folgen für das Unternehmen zu verhindern.

Die physische Sicherheit Definition legt bereits einige sinnvolle Maßnahmen nahe. Der Schutz vor Elementarschäden wie Feuer, Sturm und Wasser macht es notwendig, den Standort einer TK-Anlage und anderer physischer Komponenten sinnvoll zu wählen. Einbrüche und Diebstähle lassen sich mit einer konsequenten Umsetzung und Kontrolle des Zugriffs zu den Komponenten regeln. Beim Thema Social-Engineering Attacken ist vor allem die Schulung Ihrer Mitarbeiter wichtig, um Risiken zu minimieren.

Im Folgenden behandeln wir physische IT-Sicherheit und Social-Engineering Attacken separat. Durch unsere kleine Auflistung erhalten Sie erste Impulse, welche Fragen Sie sich betriebsintern stellen können. So schaffen Sie eine gute Grundlage, bevor Sie mit einem professionellen Dienstleister wie PHONEKOM den Feinschliff vornehmen.

a. Stellen Sie für Ihren Server- und Anlageraum eine verlässliche Stromversorgung in einem klimatisierten und vor Elementarschäden geschützten Raum sicher.

b. Prüfen Sie, ob Ihre getroffenen Maßnahmen zum Einbruchschutz noch auf der Höhe der Zeit sind und der Zugang zu entsprechenden Räumen geregelt und überwacht wird.

c. Beschränken Sie die Anzahl der Personen, die Zugriff auf die entsprechenden Räume haben, auf ein Minimum. Dies gilt hausintern wie für externe Dienstleister.

d. Überprüfen Sie, ob einzelne Geräte wie Ihre Telefonanlage ausreichend physisch gesichert wurden oder ob eine zusätzliche Sicherheit oder Wartung nötig wird.

e. Schulen Sie Ihre Mitarbeiter, welche Probleme ein Verstoß gegen physische Sicherheit mitbringt und führen Sie konkrete Übungen zum Schutz Ihrer IT-Systeme durch.

Konkrete Maßnahmen gegen Social-Engineering Attacken

a. Erstellen Sie konkrete Richtlinien und Maßnahmen, die Sie Ihren Mitarbeitern aushändigen können und als Leitfaden für jedermann verständlich sind.

b. Führen Sie regelmäßige Prüfungen durch, ob die Inhalte der Richtlinien im Berufsalltag umgesetzt werden oder woran eine Umsetzung eventuell scheitert.

c. Machen Sie sich Gedanken, welche Informationen Sie über Ihre Webseite, in sozialen Netzwerken und anderen öffentlichen Plattformen mit jedermann teilen.

d. Prüfen Sie auf technischer Ebene, ob durch regelmäßige Backups oder einen Desaster Recovery Plan die Folgen eventueller Angriffe schnell ausgeglichen werden können.

e. Bleiben Sie auf dem Laufenden, welche Gefahren für Ihre Telefonanlage und Ihr gesamtes IT-System drohen und passen Sie Ihre Maßnahmen entsprechend an.

Die oben genannten Maßnahmen sind nur ein Bruchteil dessen, was Sie als verantwortungsvolles Unternehmen umsetzen sollten. Dies kann den einzelnen Entscheider schnell überfordern, zumal sich die Risiken der digitalen Welt stetig verändern. Für Ihre Firma heißt dies konkret, die Zusammenarbeit mit einem Branchenpartner zu suchen. So geben Sie alle Mühen an einen Experten ab und müssen sich keine Sorgen machen, ob Ihre physische Sicherheit auf dem neusten Stand ist.

Was ist physische Sicherheit ohne eine angemessene Schulung Ihrer Mitarbeiter? Was Laien beim Thema überrascht: Es sind bereits sehr einfache und kleine Maßnahmen, mit denen sich die physische Sicherheit in Ihrem Unternehmen steigern lässt. Hier nur einige wenige Beispiele:

• Halten Sie PIN-Codes und ähnliche Informationen stets geheim.
• Lernen Sie alle (Warn-)Funktionen Ihrer Telefonanlage genau kennen.
• Sorgen Sie dafür, dass kein unbefugter Zugriff auf Ihre Telefone stattfindet.
• Machen Sie eine offizielle Meldung für Nummern, die sich „häufig verwählt“ haben.
• Nutzen Sie den Speicher des Telefons nicht für sensible Informationen.

Für den konkreten Fall einer IP-Telefonanlage oder der modernen Cloud-Telefonie hilft Ihnen PHONEKOM konkret weiter, diese und weitere Maßnahmen professionell umzusetzen. Da wir bestens mit den Anforderungen kleiner und mittelständischer Unternehmen vertraut sind, können wir sämtliche Maßnahmen konkret an Ihren betrieblichen Bedarf anpassen. Im direkten und freundlichen Gespräch mit Ihren Mitarbeitern nehmen wir Sorgen und gehen fachkundig auf alle Fragen ein.

Bei allen angesprochenen Risiken ist das Risiko der Telefonanlage selbst noch nicht zur Sprache gekommen. Die Umstellung auf Digitaltechnik wird Ihrem Unternehmen durch die Aufgabe von ISDN und die Umstellung auf All-IP nicht erspart bleiben. Die Entscheidung für eine SIP-Telefonanlage vor Ort oder eine virtuelle Cloud-Telefonanlage sollten Sie mit Unterstützung durch uns als Branchenprofi treffen.

Haben Sie sich für eine Telefonanlage entschieden, leistet die erstmalige Konfiguration einen wesentlichen Schritt zur sicheren Nutzung. Stellen Sie sich folgende Fragen: Was ist physische Sicherheit in meiner Firma genau? Welche Risiken und Probleme sind in meinem Betrieb wahrscheinlicher oder unwahrscheinlicher als bei Firmen der Konkurrenz? Wie technisch geschulte sind meine Mitarbeiter und wie einfach oder schwierig kann ich das Thema physische Sicherheit vermitteln.

Gerne setzen wir von PHONEKOM hier an, beispielsweise durch Schulung Ihrer Mitarbeiter. Wer eine neue Telefonanlage von Anfang an versteht und richtig bedient, wird nicht unbemerkt zum Sicherheitsrisiko durch eine falsche oder leichtsinnige Kommunikation.

Das Heiligtum eines Unternehmens: Das erste Zimmer gleich neben dem Eingang, mit einem Kopierer und Wasservorrat. Natürlich nicht abgeschlossen, sondern mit weit geöffneter Tür, weil die Mitarbeiter dort mehrmals am Tag eine Flasche Sprudel aus dem Getränkekasten fischen oder schnell einen Ausdruck holen müssen. Sicherheitsmaßnahmen? Fehlanzeige! Dabei befindet sich im gleichen Raum nichts weniger als die Rechenzentrale. Das Herz einer Firma mit allen wichtigen Daten – ungeschützt und unbewacht!

Während die meisten Firmen viel dafür tun, um sich vor Viren und Cyberattacken zu schützen, sieht es beim Thema „physische Sicherheit“ vor allem bei kleineren oder mittelständischen Unternehmen oft mau aus. Dabei sind auch Einbruch, Vandalismus, Sabotage, Feuer oder Wasser eine große Gefahr für Ihre IT und Ihre Firma. Sie können zu verheerenden Schäden führen – vorsätzlich oder durch höhere Gewalt. Mit welchen 7 Maßnahmen Sie die physische Sicherheit in Ihrem Unternehmen ganz einfach verbessern können, erfahren Sie in diesem Blogartikel.

In größeren Unternehmen kommt man meist nur mit einem Mitarbeiterausweis oder Zugangscode aufs Betriebsgelände. Es gibt Zutrittskontrollen oder einen Empfang, an dem alle Mitarbeiter und Besucher vorbeimüssen. In kleineren Unternehmen geht es dagegen oft „lockerer“ zu. Egal, wie groß oder klein Ihr Unternehmen ist: Sorgen Sie dafür, dass niemand ungesehen auf Ihr Gelände, in Ihre Gebäude oder Räumlichkeiten gelangen kann. Physische Sicherheit bedeutet, Gefahren wie Sabotage und Diebstahl vorzubeugen. Informieren Sie Ihre Mitarbeiter, wenn Betriebsfremde Arbeiten durchführen müssen. Gästeausweise helfen zu erkennen, dass alles seine Richtigkeit hat.

Sensibilisieren Sie Ihre Mitarbeiter dafür, dass keine Unterlagen mit sensiblen Daten offen herumliegen und Sie Ihr Büro, die Werkstatt etc. abschließen, sobald sich niemand darin aufhält. Besucher oder externe Arbeiter sollten sich niemals unbeaufsichtigt in der Nähe von Computern aufhalten. Auch kleine und mittelständische Unternehmen (KMU) sind von Spionage betroffen.

Der Serverraum ist das Zentrum Ihrer wertvollen Unternehmensdaten. Die Tür zu Ihrem Rechenzentrum sollte deshalb immer verschlossen und zusätzlich durch elektronische Zugangscodes, Magnetkarten oder biometrische Daten gesichert sein. Der Kreis berechtigter Personen, die Zugang haben, sollte klein sein. Eine Überwachungskamera mit Video (CCTV) und Alarmfunktion sorgt für zusätzlichen Schutz. Gleiches gilt auch für Ihre Telefonanlage und somit das Herzstück Ihres Telekommunikationsnetzes, denn hier lässt sich leicht eine „Wanze“ oder ein anderes Abhörgerät platzieren.

Tipp: Für KMU bedeutet die Sicherung des Serverraums oder der Telefonanlage oftmals einen großen Aufwand, der mit hohen Kosten verbunden ist. Rechenzentren und Telefonanlagen können sicher ausgelagert werden. Achten Sie bei externen Anbietern und Dienstleistern darauf, dass sie Sicherheitsstandards mit ISO-Zertifizierungen bieten.

Private Smartphones lassen sich durch Schadstoffsoftware so infizieren, dass sie wie ein Abhörgerät funktionieren. Sorgen Sie dafür, dass Mobilgeräte nicht unbeaufsichtigt auf dem Schreibtisch liegen. Schalten Sie als Schutzmaßnahme Bluetooth-Schnittstellen ab, wenn Sie sie nicht benötigen. Achten Sie darauf, dass Bedienerkonsolen von öffentlichen Telefonen – beispielsweise am Empfang – gesichert werden, indem Verwaltungsfunktionen und die Verwendung von Authentifizierungsfunktionen sehr stark eingeschränkt oder gänzlich abgeschaltet werden.

Sorgen Sie für eine Klimatisierung des Serverraums. Installieren Sie zusätzlich Geräte und Sensoren zur Überwachung der Umgebungstemperatur und Luftfeuchtigkeit, um zu verhindern, dass die sensible IT-Infrastruktur durch zu hohe Temperaturen oder Feuchtigkeit geschädigt werden kann. Eine weitere einfache Schutzmaßnahme: Achten Sie außerdem darauf, dass Ihr Rechenzentrum nicht einstaubt. Auch Staub ist eine Gefahr für Ihre physische IT-Sicherheit und kann dazu führen, dass Ihre IT-Infrastruktur nicht mehr einwandfrei funktioniert!

Der Serverraum sollte sich weder unterm Dach noch im Keller befinden. Denn dort ist die Gefahr besonders groß, dass bei Starkregen Wasser durch das Dach oder Fenster eintritt oder sich im Keller bei Löscharbeiten oder einem Wasserrohrbruch Wasser sammelt. Außerdem wichtig: physische Sicherheit durch einen erhöhten Brandschutz, der durch Sicherheitstüren und -fenster zusätzlich vor Feuer, Rauch oder Einbruch schützt. Der Serverraum sollte außerdem unauffällig und nicht offensichtlich beschildert sein, damit Unbefugte nicht auf den ersten Blick erkennen, dass sich hier Ihr Heiligtum befindet.

Sorgen Sie mit Notfallplänen für den Ernstfall vor. Physische Sicherheit umfasst auch Elementarrisiken. Für den Fall einer Naturkatastrophe sollte es spezielle Disaster-Recovery-Pläne geben. Führen Sie regelmäßig Tests und Übungen durch, um zu wissen, ob Ihre Pläne funktionieren und alle Personen wissen, was zu tun ist.

Wenn Sie Ihr Unternehmen möglichst umfassend schützen wollen, sollten Sie nicht nur gegen Viren und Cyberkriminelle vorgehen, sondern auch alle Aspekte der physischen Sicherheit beachten. Denn Diebstahl, Vandalismus, Sabotage, Feuer, Wasser, Extremtemperaturen oder Elementarschäden wie Erdbeben oder eine Flut können ebenfalls verheerende Folgen für Ihr Unternehmen, Ihre IT und Ihre Telefonanlage haben. Geeignete Maßnahmen sind einfach und effektiv: Regeln Sie den Zugang zu Ihren Räumlichkeiten und nutzen Sie dafür technische Zugangskontrollen. Schützen Sie außerdem Ihren Serverraum und Ihre Telefonanlage zusätzlich durch bauliche Maßnahmen. Aber auch klare Regelungen für Ihre Mitarbeiter sorgen für mehr physische Sicherheit, indem diese beispielsweise Räume abschließen, sobald sie sich nicht darin aufhalten und nicht arglos ihre Telefone und (privaten) Smartphones nutzen. Und nutzen Sie Ihren Serverraum nicht zusätzlich als Getränkedepot oder für Drucker und Kopierer!