Projekt Hibiskus

StartBedrohungenPhysische Sicherheit

Bedrohungsszenario

Physische Sicherheitsbedrohungen

Oft unterschätzt Digitale Sicherheit beginnt in der physischen Welt
Warum physische Sicherheit?
Selbst die beste Firewall hilft nicht, wenn ein Angreifer physischen Zugang zum Büro, zu einem Server oder zu einem ungesperrten Laptop hat. Physische Angriffsvektoren werden in der IT-Sicherheit häufig unterschätzt – dabei sind sie oft der direkteste Weg zu sensiblen Daten und Systemen.

Angriffsformen im Überblick

Unbefugter Zutritt (Tailgating / Piggybacking)

Angreifer schleichen sich durch offene Türen oder gesicherte Zugänge, indem sie direkt hinter autorisierten Personen hergehen. In Bürogebäuden mit Drehkreuzen oder Schlüsselkarten ist dies erschreckend einfach – besonders wenn Mitarbeiter aus Höflichkeit die Tür aufhalten.

Gerätediebstahl

Gestohlene Laptops, Smartphones und USB-Sticks enthalten ohne Verschlüsselung vollständigen Datenzugriff. Besonders gefährdet: Geräte in öffentlichen Bereichen, Cafés, Zügen oder auf Messen – und Fahrzeuge, in denen Geräte sichtbar liegen.

Shoulder Surfing

Das Ablesen von Bildschirminhalten, PIN-Eingaben oder Passwörtern aus dem Blickwinkel einer anderen Person. Relevant in Zügen, Cafés, Großraumbüros oder bei Kundenterminen.

USB-Baiting

Manipulierte USB-Sticks werden an öffentlichen Orten oder im Unternehmensbereich hinterlassen – in der Hoffnung, dass ein neugieriger Mitarbeiter sie anschließt. Sobald angesteckt, installiert sich automatisch Schadsoftware.

Dumpster Diving

Aus dem Müll geborgene Dokumente, alte Festplatten oder nicht geschredderte Unterlagen liefern Angreifern wertvolle Informationen: Organigramme, Preislisten, Zugangsdaten auf Notizzetteln.

Gefährdete Bereiche

Serverräume

Physischer Zugang zu Servern ermöglicht direkten Datenzugriff, Manipulation von Hardware oder das Einschleusen von Abhörgeräten.

Drucker und Kopierer

Moderne Drucker speichern oft Kopien aller gedruckten Dokumente. Nicht abgeholte Ausdrucke am Drucker sind ein häufiges Datenleck.

Homeoffice

Familienmitglieder, WG-Mitbewohner oder Lieferanten könnten unbeabsichtigt Einblick in Vertrauliches erhalten.

Empfangsbereiche

Besucher, die unbegleitet oder länger als nötig im Büro sind, können unauffällig Informationen sammeln.

Schutzmaßnahmen

Technisch

  • Festplattenverschlüsselung auf allen Geräten – macht gestohlene Geräte wertlos
  • Bildschirmsperre automatisch nach 2–5 Minuten Inaktivität aktivieren
  • USB-Ports an Unternehmensgeräten sperren oder beschränken
  • Sichtschutzfolien für Bildschirme in öffentlichen Bereichen
  • Drucker mit PIN-geschützter Druckfreigabe (Drucken erst bei Authentifizierung)
  • Kamera-Abdeckungen für Laptops und Desktop-Webcams

Organisatorisch

  • Zutrittskonzept dokumentieren: Wer darf wohin? Serverräume nur für IT-Personal
  • Besuchermanagement: Besucher immer begleiten, niemals alleine lassen
  • Clean-Desk-Policy: Kein Zettel mit Passwörtern, keine vertraulichen Unterlagen auf dem Schreibtisch beim Verlassen
  • Schredder-Pflicht: Sensible Dokumente immer schreddern, nicht reißen
  • Sicherheitskultur stärken: Mitarbeiter sollen unbekannte Personen im Büro ansprechen
  • Gefundene USB-Sticks niemals anstecken – direkt an IT-Abteilung übergeben

Checkliste: Physische Sicherheit

Weiterführende Ressourcen
BSI-Grundschutz Baustein INF (Infrastruktur): bsi.bund.de
DIN 66399 (Vernichtung von Datenträgern und Dokumenten): din.de
BSI-Empfehlungen zu Clean Desk und physischer Sicherheit: bsi.bund.de