Antivirus stoppt keinen physischen Angriff. Während viele Unternehmen beginnen, sich den Cyberrisiken von Phishing und Malware bewusst zu werden, ist es wichtig, dass die physische Sicherheit nicht vernachlässigt wird. Ohne geeignete Schutzmaßnahmen ist Ihr Unternehmen anfällig für physische Bedrohungen.
In diesem Artikel betrachten wir die häufigsten physischen Sicherheitsrisiken für Unternehmen – und wie Sie Ihr Unternehmen davor schützen können.
Bedrohung 1: Tailgating
Die meisten Arbeitsplätze sind durch eine Art von Zugangskontrolle gesichert, sei es eine verschlossene Tür oder ein Zugangspunkt mit einer Swipe-Card. Diese physischen Sicherheitsmaßnahmen können leider von einem entschlossenen Angreifer leicht überwunden werden.
Was ist Tailgating?
Tailgating ist, wenn eine nicht autorisierte Person einer autorisierten Person in einen sicheren Bereich folgt.
Dies geschieht natürlich, wenn mehrere Personen durch Türen gehen und nur die Vorderseite einen Ausweis oder eine Durchzugskarte vorweisen muss. Die nachfolgenden Personen folgen einfach durch – so können Unbefugte problemlos einsteigen.
So reduzieren Sie Tailgating-Risiken
Glücklicherweise kann das Tailgating mit den richtigen physischen Sicherheitsmaßnahmen eingeschränkt werden. Wenn Sie bereit sind, die Investition zu tätigen, machen Anti-Tailgating-Türen das Auffahren praktisch unmöglich. Die Installation kann sich als teuer erweisen, aber Sie sollten sie in Betracht ziehen, wenn Sie planen, an einen neuen Standort zu ziehen.
Eine weitere Möglichkeit, Tailgating zu reduzieren, besteht darin, Ihren Mitarbeitern physische Sicherheitsschulungen anzubieten. Dies ist etwas weniger zuverlässig - aber viel billiger. Dazu gehört die Sensibilisierung der Mitarbeiter und die Bereitstellung einer starren physischen Sicherheitsrichtlinie, einschließlich Anleitungen, wie z. B. das Öffnen von Türen für Personen, die sie nicht kennen, nicht. Sie sollten Ihre Mitarbeiter auch dazu ermutigen, alle von ihnen beobachteten Tailgating-Versuche aktiv dem Sicherheitspersonal zu melden.
Bedrohung 2: Diebstahl von Dokumenten
In Ihrem Büro liegen wahrscheinlich an vielen Stellen Papiere und Dokumente herum, vom Schreibtisch bis zum Drucker. Sensible Dokumente können leicht verloren gehen – und in die falschen Hände geraten. Auch wenn sie nicht aus dem Büro geholt werden, kann ein Besucher Informationen sehen, die Sie nicht sehen möchten.
So verhindern Sie Dokumentendiebstahl
Eine der besten Möglichkeiten, den Diebstahl oder die versehentliche Offenlegung von Dokumenten und sensiblen Informationen zu verhindern, ist die Einführung einer Clear-Desk-Policy. Eine Clear-Desk-Policy, die sicherstellt, dass alle Schreibtische abgeräumt und alle Dokumente am Ende des Arbeitstages weggeräumt werden, verringert die Wahrscheinlichkeit, dass sensible Dokumente an gefährdeten Orten zurückgelassen werden. Sie sollten auch sicherstellen, dass Ihre Mitarbeiter alle sensiblen Dokumente, die sie besitzen, vernichten, nachdem sie sie nicht mehr benötigen.
Um den Diebstahl von Dokumenten zu verhindern, ist es außerdem unerlässlich, eine Zugangskontrolle einzurichten und zu verhindern, dass unbefugte Besucher Ihren Arbeitsplatz betreten.
Bedrohung 3: Nicht registrierte Besucher
Wenn Sie nicht wissen, wer zu einem bestimmten Zeitpunkt an Ihrem Arbeitsplatz ist oder war, ist es unmöglich, ein hohes Maß an physischer Sicherheit aufrechtzuerhalten. Nicht registrierte Besucher stellen ein ernsthaftes Risiko dar, da Sie bei einem Vorfall nicht wissen können, ob sie anwesend waren.
So behalten Sie den Überblick über Besucher
Die Zutrittskontrolle mit Swipe-Card-Zugang oder ID-Türen ist für die Unternehmenssicherheit unerlässlich, aber Sie sollten auch sicherstellen, dass alle Besucher berücksichtigt werden, indem Sie ihnen Besucherausweise aushändigen. Auf diese Weise wissen Sie immer, ob eine Person innerhalb Ihrer Zusagen berechtigt ist, dort zu sein - und haben auch ein Eintragungsprotokoll, um später zu überprüfen, wann sich eine Person in Ihrem Haus aufgehalten hat.
Natürlich müssen Sie darauf achten, dass jeder tatsächlich die Verifizierung verwendet, zu der er berechtigt ist.
Bedrohung 4: Gestohlene Identifizierung
Ein Zutrittskontrollsystem funktioniert nur, wenn jeder seine eigene Identifikation verwendet. Wenn Personen Ihre Versprechen mit der Identifikation einer anderen Person ein- und ausgehen, ist das Ergebnis dasselbe, als ob Sie überhaupt keine Zugangskontrolle hätten.
Aufklärung der Mitarbeiter über die Bedeutung von Ausweisen
Mitarbeiter müssen darüber aufgeklärt werden, wie wichtig es ist, ihre Ausweise oder Zugangskarten zu schützen. Ohne Schulung teilen oder leihen sich Mitarbeiter oft gegenseitig ihre Karten, was es schwierig macht, den Zugang richtig zu überwachen. Mitarbeiter können auch mit ihren Ausweisen nachlässig umgehen, es sei denn, die Bedeutung ihres Schutzes wird nachgewiesen.
Schließlich betrachten wir Social Engineering – eine der schwierigsten physischen Sicherheitslücken, die es zu überwinden gilt.
Bedrohung 5: Social Engineering
Social-Engineering-Angriffe können sehr unterschiedliche Formen annehmen. Dies ist einer der Gründe, warum es so schwer zu bekämpfen ist. Social-Engineering-Angriffe basieren auf der Manipulation Ihrer Mitarbeiter, wobei sie häufig Informationen verwenden, die sie erhalten haben, um sich als eine andere Person auszugeben, oder grundlegende menschliche Empathie missbrauchen, um Zugang zu sicheren Bereichen und Netzwerken zu erhalten.
Häufige Beispiele für Social Engineering
Einer der häufigsten Social-Engineering-Angriffe ist beispielsweise der „Kaffee-Trick“. Diese Methode ist im Wesentlichen eine ausgefeiltere Version des Tailgating: Eine Person, die in jeder Hand eine Tasse Kaffee hält, geht auf eine Bürotür zu. Ein ahnungsloser Mitarbeiter, der durch die Tür geht oder in der Nähe ist, hält die Tür aus Höflichkeit auf – und lässt so eine unbefugte Person in die Räumlichkeiten.
Schulen Sie Ihre Mitarbeiter im Kampf gegen Social Engineering
Es gibt zwar keine einfache Möglichkeit, alle Bedrohungen durch Social Engineering zu überwinden, aber der erste Schritt zur Bekämpfung von Social Engineering besteht darin, eine gründliche Bewertung des physischen Sicherheitsrisikos durchzuführen und zu überlegen, wie jemand die bestehenden Schutzmaßnahmen überwinden kann. Die Sensibilisierung Ihrer Mitarbeiter für Social Engineering ist ebenfalls von entscheidender Bedeutung, da das Verständnis der Risiken, die Social Engineering mit sich bringen kann, Ihren Mitarbeitern hilft, auf verdächtige Aktivitäten oder Kontakte aufmerksam zu sein.
Messen, mindern und überwachen Sie das menschliche Cyberrisiko Ihres Unternehmens
Während die entsprechenden physischen Maßnahmen zum Schutz Ihres Unternehmens erforderlich sind, werden es am Ende keine Sicherheitsbarrieren oder Sicherheitstüren sein, die Ihr Unternehmen schützen.
Das Bewusstsein Ihrer Mitarbeiter für die physische Sicherheit zu schärfen und sie zu ermutigen, eine aktive Haltung zur Verteidigung ihres Arbeitsplatzes einzunehmen, ist der effektivste Weg, um das gesamte Spektrum physischer Sicherheitsbedrohungen zu bekämpfen.
Probieren Sie den Kurs „Physische Sicherheit“ von usecure kostenlos aus
Mit uLearn, der automatisierten Security-Awareness-Trainingsplattform von usecure, können Sie testen, was Ihre Benutzer über „Physical Security“ wissen, und dann ein computerbasiertes Training starten, das ihr Risiko reduziert und ihr Verhalten im Laufe der Zeit stärkt.
Entdecken Sie noch heute unsere Video- und interaktiven Schulungen und messen Sie das menschliche Cyberrisiko Ihres Unternehmens zu einer Reihe von zentralen Sicherheitsthemen.
Beginne damit, Menschen in deine stärkste Verteidigungslinie zu verwandeln
usecure ist die Menschliches Risikomanagement (MRM)-Lösung, die es Unternehmen ermöglicht, benutzerbezogene Sicherheitsvorfälle zu reduzieren, eine cyberresistente Belegschaft aufzubauen und Compliance-Standards durch automatisierte Benutzerschulungsprogramme zu erreichen.
Von führenden IT-Profis und Managed-Service-Providern (MSPs) vertraut, usecure analysiert, reduziert und überwacht das menschliche Cyberrisiko durch risikoorientierte Schulungsprogramme zum Sicherheitsbewusstsein, simulierte Phishing-Kampagnen, vereinfachtes Richtlinienmanagement und kontinuierliche Überwachung von Dark-Web-Verletzungen – alles von einer Plattform aus.
