Bundesamt für Sicherheit in der Informationstechnik

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen

Alle Räume, in denen schutzbedürftige Informationen aufbewahrt bzw. weiterverarbeitet oder in denen schutzbedürftige Geräte betrieben werden, werden dadurch zu schutzbedürftigen Räumen. Beispiele hierfür sind Büroräume, aber auch Archive, in denen Datenträger und Akten zentral aufbewahrt werden. Ebenso hierzu zählen Technik-Verteilräume mit zentralen Komponenten wie Stromverteiler, Netzkoppelelemente und Server.

Unbefugte Personen können in solchen Räumen durch vorsätzliche Handlungen ( z. B. Manipulationen oder Vandalismus), aber auch durch unbeabsichtigtes Fehlverhalten ( z. B. aufgrund mangelnder Fachkenntnisse) Schäden verursachen. Selbst wenn keine unmittelbaren Schäden erkennbar sind, kann der Betriebsablauf schon dadurch gestört werden, falls untersucht werden muss, wie ein solcher Vorfall möglich war oder ob Schäden aufgetreten sind oder Manipulationen vorgenommen wurden.

Eindringlinge könnten beispielsweise Passwörter zurückgesetzt, direkt auf die Server zugegriffen oder aktive Netzkomponenten manipuliert haben. Außerdem könnten sie sensible Informationen auf Papier oder Datenträgern entwendet oder verändert haben.

Nicht nur Räume auf dem Betriebsgelände müssen vor unbefugtem Zutritt geschützt werden, sondern auch dienstlich genutzte Räume im häuslichen Umfeld. Einbruchsicherungen ( z. B. abschließbare Fenstergriffe, Sicherheitsschlösser und Sicherheitsverriegelung und -verglasung an Haustüren) werden im privaten Umfeld für häusliche Arbeitsplätze oft aus Kostengründen nicht realisiert. Dadurch ist beispielsweise bei Telearbeitsplätzen der Schutz vor Einbrüchen niedriger als innerhalb eines Unternehmens oder einer Behörde.

Beispiele:

  • Die gesamte zentrale IT eines Unternehmens wurde in einem Serverraum untergebracht, der mit einer restriktiven und modernen Zutrittsbeschränkung ausgestattet wurde. Im Sommer wird aber festgestellt, dass die Klimatisierung für die vielen IT -Systeme nicht ausreichend ist. Daher wurden zur Kühlung an heißen Tagen Fenster und Türen weit geöffnet. Kurze Zeit später war ein neuer, noch nicht aktivierter Server spurlos verschwunden.
  • Ein Mitarbeiter hatte zuhause zwar ein separates Arbeitszimmer für die Telearbeit eingerichtet, aber es nicht konsequent abgeschlossen. Als die Kleinkinder kurz unbeaufsichtigt waren, spielten sie in dem nicht verschlossenen Arbeitszimmer. Dabei wurden wichtige Dokumente als Malgrundlage verwendet. Außerdem wurden die Öffnungen des Rechners mit Spielzeug und Keksen verstopft, was zu einem Totalausfall der IT führte.
  • In einem Unternehmen konnte jeder Mitarbeiter alle Druckerräume betreten. Dadurch gelang es einem Angreifer, physikalisch auf einen zentralen Drucker zuzugreifen und diesen umzukonfigurieren. Dies führte dazu, dass alle zu druckenden Dokumente auf die integrierte Festplatte des Druckers geschrieben und anschließend nicht gelöscht wurden. Als die Festplatte voll war, hat er sie gegen eine leere ausgetauscht und die volle auf seinem Rechner ausgewertet.
    Obwohl der Angreifer nicht in der Entwicklungsabteilung tätig war, konnte er auf diese Weise eine Vielzahl von wichtigen Entwicklungsdokumenten unbemerkt aufzeichnen und an die Konkurrenz verkaufen, bevor diese Quelle aufflog.
  • Beim Reinigungspersonal wird eine Urlaubsvertretung eingesetzt. Die Urlaubsvertretung übernimmt eigenmächtig, obwohl sie dafür nicht eingewiesen wurde, die Reinigung des Rechenzentrums. Dort öffnet sie den alarmüberwachten Notausgang und löst hierdurch einen Fehlalarm aus.
  • Bei einem Einbruch in einem Bürogebäude sind auf den ersten Blick nur die Kaffeekasse und zwei neue Laptops verschwunden. Trotzdem müssen alle Akten gesichtet werden, ob wesentliche Teile fehlen und alle IT-Systeme daraufhin geprüft werden, ob unbefugt auf sie zugegriffen wurde.
  • Auch ein vorhandener Zutrittsschutz kann versagen, wenn er nicht angemessen ist. Ein gutes Schloss ist beispielsweise wertlos, wenn weder die Tür stark genug ist noch die Scharniere fachmännisch montiert wurden.

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK