Rechenzentrum mit Zugbrücke
Wenn Sie einen Raum betreten, halten Sie bestimmt die Tür auf für die Person, die nach Ihnen kommt. Wenn die Tür jedoch zum Serverraum führt, sollten Sie diese Form der Höflichkeit ganz schnell vergessen. Auch die Angewohnheit, den Zugang mit einem Keil aufzuspreizen, ist bei Rechenzentren oder Serverräumen nicht angebracht. Trotzdem kann man genau dies tagtäglich in vielen Unternehmen beobachten.
Im Vergleich zu all den modernen Methoden der IT-Security scheinen klassische Sicherheitselemente wie geschlossene Fenster und Türen wenig spektakulär. Automatische und starke Verschlüsselung, Smartcards, Fingerabdruckscanner und Antivirensoftware lassen manchmal vergessen, dass die Sicherheit von Daten und IT-Systemen weitaus früher ansetzt.
Gestaffelte Verteidigungslinien
Tatsächlich meinen manche Anwender, dass der klassische Zutrittsschutz heute keine Bedeutung mehr habe – schließlich gibt es doch die modernen Maßnahmen, die umfassende Datensicherheit gewährleisten. Teilweise spielen solche Gedanken unterbewusst auch eine Rolle, wenn Mitarbeiterinnen und Mitarbeiter ihren PC im Büro zurücklassen und die Bürotür so weit offen stehen lassen, dass kaum ein Besucher daran vorbeikommt, ins Zimmer zu schauen. Mit der offenen Tür fällt jedoch bereits die erste Linie der Verteidigung: Unbefugte können die IT-Systeme sehen – und sie können sich ihnen annähern.
Teil 1 sieht Passwörter allüberall und Datenbanken mit ausgefeilten Zugriffsregeln. Unterdessen hängt der Schlüssel zum Serverraum am Nagelbrett. So darf es nicht sein. Teil 2 verpflichtet auch den Chef, sein Büro über Mittag abzuschließen. Denn Datendiebe kommen allzu oft von innen. Teil 3 sagt, wie ein modernes Zutrittskontrollsystem funktioniert und worauf Datenschützer besonderes Augenmerk legen.
Bei Smartphones und Tablets ist diese Gefahr allgegenwärtig, denn bei Mobilgeräten gibt es kaum schützende Wände, Türen und Fenster. Nutzer und Endgerät befinden sich auf der Straße, auf öffentlichen Plätzen, unterwegs im Land des Datenrisikos.
Den stationären Geräten geht es aber ähnlich, wenn man den Zutritt zu ihnen nicht kontrolliert und überwacht. Dann bleiben nur noch die Gerätesicherheit und der Zugangsschutz (Access Control) als Verteidigung gegen Unbefugte, genau wie bei den mobilen Endgeräten.
Aus gutem Grund zählen auch klassische Vorgaben wie geschlossene Fenster und Türen, Pförtnerdienste, Besucherausweise, eine Verwaltung der Schlüssel und anderer Zutrittsmedien zu den Maßnahmen für den Datenschutz; eine Zutrittskontrolle wird in den Datenschutzgesetzen ausdrücklich gefordert.
Gerade für die Zutrittskontrolle gibt es in vielen Unternehmen bereits Vorkehrungen wie einbruchshemmende Türen, Sicherheitsschlösser und Videoüberwachung. Allerdings mangelt es oft genug an der Umsetzung und an dem Bewusstsein, dass Angreifer nicht nur über das Internet kommen, sondern auch über den Parkplatz und den Flur.
Zutrittskontrolle besser verstehen
Die Mitarbeiterinnen und Mitarbeiter müssen verstehen, dass ohne Zutrittskontrolle z.B. die Geräte im Büro gestohlen werden könnten. Ist der PC erst einmal weg, hat der Dieb viel Zeit, um die nächsten Verteidigungslinien anzugehen und in aller Ruhe die Passwörter zu knacken.
- Diese Serie zur Zutrittskontrolle soll deshalb die klassischen Maßnahmen neu betrachten und die modernen Verfahren vorstellen. Die Burgen des Mittelalters hatten zwar keine Intrusion-Detection-Systeme (IDS) heutiger Bauart, dafür aber zuverlässige Schutzmaßnahmen wie Falltore und Zugbrücken. Hier kann so mancher Rechnerraum noch etwas lernen – natürlich in abgewandelter Form, aber stets mit dem Blick auf mögliche Eindringlinge. Zunächst aber geht es in Teil 2 um diejenigen, die im Vorübergehen an der Bürotür eine Gelegenheit zum Diebstahl vorfinden.
Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.
Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de
