Gelegenheit macht Diebe
Wenn es Unbefugten gelingt, in Geschäfts- oder Betriebsräume zu gelangen und dort Computerhardware oder Datenspeicher zu entwenden, kann das die Totalkatastrophe bedeuten. Wie z.B. die Initiative für aktiven Einbruchsschutz („Nicht bei mir!“) deutlich macht, kann der Datenverlust zum Existenzverlust werden. Es ist also mehr als sinnvoll, den Einbruchsschutz ernst zu nehmen und die entsprechenden Tipps der Polizei zu beherzigen. Allerdings darf man die betriebliche Zutrittskontrolle nicht auf den Einbruchsschutz beschränken, denn keineswegs alle Diebe kommen von außen.
Einbrecher von innen
Die klassischen Maßnahmen der Zutrittskontrolle erwecken den Anschein, als ginge es nur um die Abwehr von Einbrechern und anderen ungebetenen Gästen von außen. Viele Statistiken und zahlreiche Fallbeschreibungen belegen aber, dass unerlaubte Zutritte zum Rechnerraum oder zum Chefbüro durch eigene Beschäftigte erfolgen. Am Anfang ist es oft nur Neugierde – doch Gelegenheit macht eben auch Diebe; so wird dann der herumliegende USB-Stick oder die Sicherungs-DVD gleich mitgenommen.
Es gibt aber auch eine ganze Reihe von Fällen, in denen Mitarbeiterinnen oder Mitarbeiter im Auftrag eines Wettbewerbers aktiv werden. Andere Beschäftigte wollen sich vielleicht rächen oder sie möchten ihrem nächsten Arbeitgeber gleich etwas Interessantes mitbringen.
Teil 1 sieht Passwörter allüberall und Datenbanken mit ausgefeilten Zugriffsregeln. Unterdessen hängt der Schlüssel zum Serverraum am Nagelbrett. So darf es nicht sein. Teil 2 verpflichtet auch den Chef, sein Büro über Mittag abzuschließen. Denn Datendiebe kommen allzu oft von innen. Teil 3 sagt, wie ein modernes Zutrittskontrollsystem funktioniert und worauf Datenschützer besonderes Augenmerk legen.
Systematische Zutrittskontrolle
Eine Zutrittskontrolle sollte deshalb das Risiko durch die sogenannten Innentäter sehr ernst nehmen und Zutrittsberechtigungen genauso umfassend und detailliert regeln wie Zugänge und Zugriffe bei IT-Systemen. Unternehmen sollten genau regeln und überprüfen,
- ob auch die Zutrittsberechtigungen nach dem Prinzip der minimalen Berechtigungen vergeben werden, also nur die zur Aufgabenerfüllung notwendigen Zutritte zu Räumen mit IT-Systemen gewährt werden,
- ob alle IT-Systeme, die mit vertraulichen Daten arbeiten, in Räumen sind, die der Zutrittskontrolle unterliegen,
- ob sich die für die Zutrittskontrolle genutzten Schlüssel oder Chipkarten nicht ohne Weiteres fälschen oder manipulieren lassen,
- ob die Schlüssel oder Chipkarten sicher verwaltet werden und
- ob z.B. ein wiederholtes Einbuchen ohne vorheriges Ausbuchen am Chipkarten-Lesegerät auffällt (dann könnte ein Mitarbeiter unerlaubt Gäste mitnehmen).
Eine Zutrittskontrolle bringt wenig, wenn die Nutzer z.B. die vorgeschriebenen Schlüssel einfach stecken oder auf dem Schreibtisch liegen lassen, während sie „nur kurz“ abwesend sind. Ebenso wenig hilfreich sind Zutrittsregelungen, wenn die Mitarbeiter ihren Schlüssel an nicht berechtigte Personen ausleihen, damit diese „schnell einmal“ etwas aus dem Serverraum oder dem Vorstandsbüro holen. Gerne vergessen wird auch, dass es keinen Sinn macht, jeden Zutritt zum Rechnerraum zu protokollieren, wenn die Protokolle nie ausgewertet werden.
Fazit: Richtig austeilen und einstecken
Es ist höchste Zeit, dass Unternehmen die Zutrittskontrolle ernster nehmen und die Gefahr von außen und von innen begreifen. Schlüssel oder Chipkarten, die Einlass gewähren, müssen genauso sicher vergeben, genutzt und aufbewahrt werden wie Passwörter bei der Zugangskontrolle. Entsprechend gilt auch die Provisioning-Faustregel: Karteileichen können zu gefährlichen Zombies mutieren. Also: Von ausscheidenden Mitarbeitern unbedingt sofort die Zutrittsberechtigungen zurücknehmen, klassische Instrumente wie Chipkarten und Schlüssel wieder einfordern!
- Im dritten und letzten Teil dieser Serie geht es um neue, moderne Verfahren der Zutrittskontrolle. Solche Systeme bieten gewisse Vorteile, geben aber auch Anlass zur Kritik, wenn es um den Datenschutz geht.
Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.
Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de