Physische und Cybersicherheit – sind sie so unterschiedlich?

Edwin Roobol

Große Unternehmen haben in der Regel eine Abteilung für physische Sicherheit und ein separates IT-Team, das sich im Wesentlichen auf die Cybersicherheit konzentriert. Beide Teams schützen die Vermögenswerte und Ressourcen der Firma. Daher könnte man davon ausgehen, dass sie das zu dicken Freunden macht.

Die Herausforderung besteht darin, dass die Vermögenswerte und Ressourcen unterschiedlich sind. Schutz ist ein definierter Bereich, welcher das Risiko einer bestimmten Bedrohung verringern soll. Versteht man die Risiken jedoch nicht nicht in vollem Umfang, wird die Durchführung und Einhaltung des Schutzes häufig als lästig empfunden. Schließlich ist es dann nichts weiter als ein zusätzlicher Prozess, der Ihre tägliche Arbeit erschwert und zusätzliche Kosten verursacht. Dies stellt oft einen Konflikt zwischen OT (Operation Technology) und IT (Information Technology) dar. Ein gemeinsamer Unterschied besteht darin, dass OT oft die Verfügbarkeit vor Vertraulichkeit und Integrität stellt. Die IT dagegen gibt oft der Vertraulichkeit den Vorrang.

Was die Cybersicherheit von der physischen Sicherheit lernen kann

Für die meisten Menschen ist es einfach, physische Sicherheitsrisiken zu verstehen: Eine unverschlossene Tür erhöht das Risiko, dass Unbefugte eindringen. Wertvolle Güter, die sichtbar sind, könnten leicht mitgenommen werden. Fehler und Unfälle können zu Schäden an Personen, Eigentum und Gegenständen führen.

Axis ist ein Unternehmen, das in erster Linie physische Sicherheitsprodukte entwickelt, die mit IP-Netzwerken verbunden sind. Aus meiner Sicht wird die Art und Weise, wie die physische Sicherheit und die Cybersicherheit angegangen werden, im Großen und Ganzen gleich bleiben. Unabhängig davon, ob Sie für die physische Sicherheit oder Cybersicherheit Ihres Unternehmens verantwortlich sind, müssen Sie immer noch dieselben Prinzipien anwenden:

  • Identifizieren und klassifizieren Sie Ihre Vermögenswerte und Ressourcen (Was ist zu schützen?)
  • Mögliche Bedrohungen identifizieren (Vor wem muss was geschützt werden?)
  • Identifizieren Sie plausible Schwachstellen, die ausgenutzt werden können (Wie hoch ist die Wahrscheinlichkeit?)
  • Identifizieren Sie die zu erwartenden Kosten, wenn schlimme Dinge passieren (Was sind die Folgen?)

Das Risiko wird oft definiert durch „die Wahrscheinlichkeit einer Bedrohung multipliziert mit einem schädlichen Ergebnis“. Wenn Sie die Antwort haben, sollten Sie sich fragen, was Sie bereit sind zu tun, um die negativen Auswirkungen zu verhindern.

Schauen wir uns jedes Prinzip genauer an:

Seien Sie sich Ihrer Vermögenswerte und Ressourcen bewusst

Was die Videosysteme betrifft, so ist die offensichtliche Ressource das Bildsignal der Kamera. Der Vorteil hierbei ist die Videoaufzeichnungen im Video Management System. Der Zugriff auf dieses wird üblicherweise durch Benutzerrechte gesteuert. Abgesehen von dem Videomaterial sind auch Benutzerkonten/Passwörter, Konfigurationen, Betriebssystem, Firmware/Software und Geräte mit Netzwerkkonnektivität zu berücksichtigen. Alle haben unterschiedliche Klassifizierungen, je nachdem, wie kritisch und exponiert sie sein mögen.

Seien Sie sich der gemeinsamen Bedrohungen bewusst

Umdrehen eines Knopfes bis zur maximalen Sicherheitsstufe

Die größte Bedrohung für jedes System kann, absichtlich oder versehentlich, von denjenigen ausgehen, die legitimen Zugang zu dem System haben. Schlechter Schutz kann dazu führen, dass Mitarbeiter auf Videos zugreifen, die sie eigentlich nicht sehen dürfen, oder versuchen, Dinge zu „reparieren“, was zu einer Verringerung der Systemleistung führt.

Auch Hardware-Ausfälle sind eine häufige Bedrohung für die Cybersicherheit. Überwachungssysteme werden möglicherweise von Personen sabotiert, die sich nicht gerne überwachen lassen. Im Internet exponierte Dienste können Bösewichten zum Opfer fallen, die Computersysteme zum Spaß manipulieren. Terroristen und Staaten können versuchen, Geräte innerhalb des Netzwerks einer bestimmten Organisation als Waffe einzusetzen. Diese Bedrohungen unterscheiden sich nicht von physischen Bedrohungen, da die Auswirkungen und der Wert für den Gegner gleich bleiben. Systeme brauchen also sowohl physischen als auch Cyberschutz.

Seien Sie sich der gemeinsamen Schwachstellen bewusst

In der physischen Sicherheit sind Türen und Fenster Schwachstellen – denn für andere sind sie ein Weg, um in ein Gebäude zu gelangen. Auch primäre Barrieren, Mauern und Zäune sind verwundbar, da sich Menschen immer noch durch oder über sie hinwegzwängen können.

Der gleiche Gedanke gilt für Software. Das Risiko hängt hier jedoch von der Schwierigkeit ab, eine bestimmte Schwachstelle auszunutzen, und davon, welche negativen Auswirkungen sie haben kann. Der explizite Schutz kann entweder Hindernisse zur Verringerung des Risikos (z. B. Verschlüsselung) oder eine Möglichkeit zur Verringerung der Wiederherstellungskosten (z. B. Datensicherung) beinhalten.

Wenn die meisten Menschen an Cybersicherheit denken, denken sie an die ausgeklügelten Angriffe, über die sie in den Medien lesen. Die meisten Bedenken, auf die ich dabei stoße, beziehen sich auf Fehler in einer Geräteschnittstelle. Die größte Schwachstelle ist jedoch der Mangel an internem Bewusstsein, Richtlinien, Prozessen und Verfahren in einer Organisation. Als Cybersicherheit-Verantwortlicher müssen sie in Gang bringen, und Sie sollten dabei auch die Cyber-Mündigkeit Ihrer Lieferanten überprüfen, bevor Sie deren Produkte oder Dienstleistungen bewerten.

Seien Sie sich der negativen Auswirkungen bewusst

Videosysteme verarbeiten weder finanzielle Transaktionen noch halten sie Kundendaten fest. Das bedeutet, dass ein Videosystem schwer zu monetarisieren ist und daher für organisierte Cyberkriminelle nur einen begrenzten Wert haben kann.

Ein Blick auf andere plausible Bedrohungen zeigt das Ausmaß der potenziellen Kosten. Mitarbeiter können auf autorisierte Videos zugreifen oder die Systemleistung reduzieren. Eine Sabotage durch verärgerte Insider und externe Aktivisten kann zu Betriebsausfallzeiten führen. Durchgesickerte Videos außerhalb der Organisation können das Vertrauen verringern. Ein gefährdetes System kann zu einer Bedrohung für andere Systeme werden. Die Kosten sind dabei schwer abzuschätzen. Leider lernen Organisationen in vielen Fällen nur auf die harte Tour. Schutz kann man wie Qualität definieren: Man bekommt das, wofür man bezahlt. Und wenn Sie günstig kaufen, kann es Sie auf lange Sicht viel mehr kosten.

Hier finden Sie weitere Informationen darüber, was Axis unternimmt, um die Cybersicherheit zu gewährleisten:

Mehr Informationen