Physische Gefahren für Industrie : Experte warnt vor Sicherheitslücken: Cyber- und physische Bedrohungen müssen ganzheitlich betrachtet werden

„Viele Unternehmen und Behörden konzentrieren ihre Sicherheits­maßnahmen zu einseitig auf Cybersecurity und vernachlässigen die physische Sicherheit“, meint Kevin Heneka, Inhaber der Sicherheitsfirma Hensec. Bei Gefährdungsprüfungen, die sein Unter­nehmen regelmäßig durchführt, falle die ungleiche Balance immer wieder auf. „Die IT-Abteilungen haben manchmal 20 oder noch mehr Tools zur Cyberabwehr in Betrieb, aber die Sicherung des Firmengeländes lässt oftmals arg zu wünschen übrig“, berichtet der Sicherheits­fachmann aus der Betriebspraxis.

Um das zu ändern, sollten Unternehmen und Behörden aus seiner Sicht digitale und analoge Sicherheit "zusammendenken" und implementieren. "Da die Gegner ganzheitlich operieren, ist auch eine 360-Grad-Abwehr notwendig, um sich vor hybriden Angriffen zu schützen.“ Als Beispiel nennt er die Absicherung von IT-Systemen vor physischer Sabotage. Jede Cyberabwehr sei hinfällig, wenn der Serverraum Mängel bei den Zugangskontrollen aufweist. Das sei nicht selten der Fall.

Lesetipp: 5 Prognosen: Cybersecurity in der Industrie

Heneka berichtet: „Cyberkriminelle, die Sicherheitskontrollen überlisten, wollen zusehends nicht nur an digitale Daten gelangen oder diese manipulieren, sondern bereiten physische Angriffe vor.“ Als Beispiel nennt er „einfache Videokameras aus Fernost zur Überwachung des Firmengeländes, die leicht auszuschalten sind, um anschließend die vernachlässigte Umzäunung zu überwinden.“

Der Sicherheitsexperte macht auf die zunehmende Spionagetätigkeit ausländischer Geheimdienste sowie auf neue Angriffsformen, etwa durch Aktivisten oder Terroristen, aufmerksam. Unternehmen und Behörden müssten sich stärker vor diesen Bedrohungen schützen. Kevin Heneka nennt ein Beispiel: „Die wenigsten Firmen sind auf Drohnenangriffe ausreichend vorbereitet. Dabei gibt es längst gut funktionierende Drohnen-Detektions-Systeme made in Germany auf dem Markt, die ohne weiteres in ein umfassendes Sicherheitskonzept eingebunden werden können und auch sollten.“

Ein weiterer oft übersehener Schwachpunkt seien laut Heneka sogenannte Smart Buildings. Die fortschreitende Automatisierung in modernen Gebäuden bringe zwar viele Vorteile, aber auch neue Gefahren, besonders im Hinblick auf hybride Angriffsformen. Unbefugte könnten etwa durch digitale Manipulation von Zugangskontrollen wie Türschlössern, Aufzügen oder anderen Systemen physische Sicherheitslücken schaffen, um in Gebäude einzudringen. Der Hensec-Chef warnt: „Unternehmen wie Behörden verlassen sich allzu häufig blind auf reine Cyberabwehr und ziehen den Fall, dass sich aus digitalen Angriffsszenarien auch oftmals gravierende Konsequenzen für die analoge Welt ergeben, gar nicht ernsthaft ins Kalkül.“

Lesetipp: Kurze Wege sind sichere Wege: Munk Günzburger Steigtechnik auf der Logimat 2025

Der Hensec-Geschäftsführer empfiehlt Firmen und Verwaltungen, sich kontinuierlich einem Red-Teaming-Test zu unterziehen. Dabei agiert eine Gruppe (das "Red Team") als hypothetischer Angreifer, um die Robustheit im Ernstfall zu prüfen und dabei Schwächen und Sicherheitslücken aufzudecken. In Absprache mit dem Auftraggeber nutzen Red Teams eine Vielzahl von Techniken, die von Social Engineering über physische Eindringversuche bis hin zu komplexen Cyberangriffen reichen, um Schwachstellen in der Software, in den Prozessen, in der physischen Sicherheit oder im menschlichen Verhalten zu entlarven.

"Viele Führungskräfte sind geschockt über die gravierenden Sicherheitsmängel in ihren Organisationen, die beim Red Teaming zutage treten. Das Problem der Cybersicherheit haben praktisch alle auf dem Radar, aber die Erkenntnis, wie leicht der physische Zutritt zum Firmen­gelände, zur IT-Zentrale oder gar zu den Chefbüros möglich ist, sorgt regelmäßig für helle Auf­regung", so Heneka.