Social Engineering
merlix berichtet darüber, wie sich ein Dieb als telefonierendes Anhängsel eines Hardwaretechnikers in eine Firma eingeschlichen hat und - zum Glück "nur" - Portemonnaies und Wertgegenstände eingesammelt hat. Man möchte gar nicht wissen, was für ein Schaden hätte entstehen können, wenn der Eindringling nach den Geschäftsgeheimnissen des Unternehmens aus gewesen wäre.
Ich persönlich finde es zwar superlästig, erstmal am Empfang seitenlang Formulare mit persönlichen Angaben ausfüllen zu müssen, um dann meinen Ausweis gegen einen offen zu tragenden Hausausweis eintauschen zu dürfen und den ganzen Tag als "Auswärtiger" gebrandmarkt herumzulaufen, kann aber immer mehr verstehen, dass Unternehmen ab einer gewissen Größe gerne kontrollieren wollen, wer sich auf dem Gelände bewegt.
Um so mehr verwundert es mich, dass manche, auch gerade große Firmen, solche Verfahren zwar in den Ansätzen realisiert haben, aber in die Prozesse Sicherheitslücken eingebaut haben, durch die man mit einem ganzen Möbelwagen durchfahren könnte. Nicht selten erlebt man Verfahren, die die Nachteile genauer Zugangskontrolle ("lästig") mit den Nachteilen nicht stattfindender Zugangskontrolle ("wir wissen weder, ob der Besucher wirklich dort war wo er behauptete hinzuwollen, noch ob er schon wieder gegangen ist") verbindet.
In Deutschland scheint es diesbezüglich besonders hohen Beratungsbedarf zu geben. Ob man diesbezügliche Bratungsleistungen in den Rundum-Sorglos-Securityservice mit aufnehmen sollte?
Trackbacks
No Trackbacks
Comments
Display comments as Linear | Threaded
thilde on :
Das erinnert mich an die Zutrittskarte, die eine der grossen deutschen Banken herausgibt, in denen Projekte zu machen ich die Ehre habe.
Auf der Vorderseite: Kartennummer und mein Konterfei.
Auf der Rückseite: Mein Name und die Bitte an den eventuellen Finder, den Ausweis an den von der Bank beauftragten Sicherheitsdienst zurückzusenden.
Kein Hinweis auf der Karte, um welche Bank es sich nun handelt, wo sich ein weniger ehrlicher Finder also illegal Zutritt verschaffen könnte. Gut, könnte man meinen, da hat sich jemand was dabei gedacht.
Leider wird diese Hoffnung zunichte gemacht, wenn man das Gesamtensemble ansieht. Denn die Karte wird in einem Plastiketui ausgegeben, an dem ein Schlüsselband hängt - auf dem wiederum prangt was? Das Logo der Bank. :-\
Marc 'Zugschlus' Haber on :
Ein großer Hersteller von Sicherheitssoftware hat die Mitarbeiterausweise absichtlich nicht in Firmenfarbe, und es steht nur der Name und das Heimatland des Mitarbeiters drauf. Nix von der Firma. Und es gibt eine Weisung, dass der Ausweis nicht in einem Kontext aufbewahrt werden darf, der einen Rückschluss auf die Firma zulässt. Wäre schön, wenn die Software auch so gut wäre.
larf on :
Das Risiko mit einer gestohlenen oder gefundenen Karte in die Firma zu kommen und dabei erwischt zu werden ist allerdings durchaus größer als einfach so als Mitarbeiter, Kunde oder auch Postmann durch die Gänge zu marschieren. Ich kenne es jedenfalls so, dass bei Benutzung von gestohlenen (und bereits gesperrten) Karten ein Alarm ertönt und das dürfte dann wirklich unangenehm werden.
Ich achte eigentlich immer darauf, dass ich Leute, die mit mir ins Gebäude huschen bei irgendeinem Kollegen abgebe - dann habe ich immerhin die Verantwortung abgegeben.
Marc 'Zugschlus' Haber on :
Lässt Du Dir diese Abgabe der Verantwortung denn von den Kollegen auch quittieren? Sonst springt Dir der Fall gegebenfalls wieder ins Gesicht.
larf on :
Nö. Im Prinzip wird mir ohnehin keiner beweisen können, dass ich das Sicherheitsloch war, falls denn mal etwas passieren sollte. Es beruhigt eher mein Gewissen und ist im Vergleich zum Verhalten von Kollegen durchaus auch vorbildlich (die verfahren nämlich meist nach dem Motto "ach, gehen sie mal da hinten fragen, da wird ihnen jemand helfen").
JJ on :
Mmmmh. Ich hätte da aus unserer Firma noch den Hardwarelieferanten beizusteuern. Ein 3,5 Tonner fuhr vor der Firma vor. Später hielt eine Kollegin dem netten Mann, der die großen mit "D*LL" beschriebenen Kisten trug, auch noch die Tür auf. Naja - am nächsten Tag wurde festgestellt, daß man im Hardwarelager eingebrochen hat (Glastür mit Feuerlöscher eingeschlagen) und daß der gute Mann mit den Kisten wohl der Dieb war... Nein, es ist niemandem aufgefallen, daß da einer mehrere Minuten lang gegen die Tür geschlagen hat.