Keyfacts:

• Physische Sicherheit – oder Physical Security – ist ein zentraler Bestandteil digitaler Resilienz im Finanzsektor.
• DORA verpflichtet Finanzunternehmen zum Schutz auch physischer Einrichtungen und IT-Infrastruktur.
• Effektive Sicherheitsstrategien basieren auf der Triade Mensch Prozesse Technologie.

Digitale Resilienz und Cybersicherheit gewinnen durch zunehmende Angriffe und regulatorische Anforderungen wie DORA immer weiter an Bedeutung. Was dabei oft unterschätzt wird: Die Sicherheit digitaler Systeme ist eng mit physischer Sicherheit verknüpft.

DORA fordert deshalb nicht nur Schutz für IKT-Assets, sondern auch für Einrichtungen, Datenzentren und empfindliche Räumlichkeiten. Diese Schutzmechanismen müssen regelmäßig überprüft werden.

Was bedeutet physische Sicherheit im digitalen Kontext?

In der zunehmend digitalen Arbeitswelt scheinen physische Schutzmaßnahmen auf den ersten Blick weniger relevant zu sein. Eine Vielzahl an Software wird von Cloudanbietern betrieben, eigene IT-Infrastruktur befindet sich in gut gesicherten Rechenzentren und immer weniger sensible Daten werden zu Papier gebracht.

Dennoch bleiben physische Angriffsflächen bestehen: Mitarbeitende greifen von ihren Endgeräten auf Clouddienste zu, zentrale IT-Infrastrukturen sind über das Büronetzwerk erreichbar, vertrauliche Informationen werden in Meetingräumen besprochen und die zusätzliche Flexibilisierung des Arbeitsplatzes durch Homeoffice und Remote Working macht den „physischen Fußabdruck“ noch größer. All diese Punkte bieten eine mögliche Angriffsfläche, auch als ersten Schritt für Cyberangriffe.

Verborgene Risiken: Warum physische Assets oft ungeschützt sind

Obwohl die physische Sicherheit sogar um einige Tausend Jahre älter ist als die Cybersicherheit, gibt es in vielen Unternehmen weniger strenge Schutzmaßnahmen für physische Assets und vor allem deutlich weniger Transparenz über deren aktuellen Sicherheitsstatus. Das liegt vor allem daran, dass im IT-Bereich alle Aktionen gezwungenermaßen eine Datenspur erzeugen. Diese Daten können durch Verteidiger gesammelt und analysiert werden, um Muster zu erkennen, die auf mögliche Angriffe hindeuten.

Physische Assets hingegen erzeugen nicht automatisch eine Datenspur. Viele Finanzunternehmen verlassen sich auf einzelne Zugangskontrollen oder Videoüberwachung. Dieses Paradigma gilt mittlerweile in der Cybersicherheit als überholt. Ein modernes Sicherheitskonzept berücksichtigt das Prinzip der mehrschichtigen Verteidigung („Defence in Depth“). Dieses reduziert die Abhängigkeit von einzelnen Verteidigungsmaßnahmen, indem dafür gesorgt wird, dass mehrere Schutzmaßnahmen vorhanden sind, die einen Angreifer auf seinem Weg zum Ziel stoppen.

Defence in Depth in der physischen Sicherheit

Was genau ist erforderlich, um einen mehrschichtigen Verteidigungsansatz in der physischen Sicherheit zu verfolgen? Eine generelle Faustregel ist, dass die für Sicherheit verantwortlichen Personen nicht in Panik verfallen, wenn sie daran denken, dass ein Angreifer die elektronische Zugangskontrolle am Eingang unerkannt umgangen hat. Zugang zu einem Gebäude darf nicht gleichbedeutend sein mit Zugang zum Netzwerk, Zugang zu Bereichen, in denen sensible Tätigkeiten oder Besprechungen erfolgen, und Zugang zu sensiblen Dokumenten. Auf dem Weg zu diesen Zielen müssen mehrschichtige Sicherheitsmaßnahmen vorhanden sein.

Ein hohes Sicherheitsniveau lässt sich nur durch ein Zusammenspiel aus drei Faktoren erreichen: Menschen (People), Prozesse (Processes) und Technologie (Technology).

Menschen: Mitarbeitende eines Unternehmens arbeiten vor Ort in Büros, Filialen und Rechenzentren und sind damit integraler Bestandteil der Sicherheit. Sie müssen Sicherheitsrichtlinien kennen und anwenden können. Dazu gehört das Abschließen sensibler Räume, Begleiten von Besucher:innen und Melden verdächtiger Aktivitäten. Schulungen und Sensibilisierung sind hierfür essenziell.

Prozesse: Nicht alle Last der Sicherheit sollte auf Mitarbeitende und deren Aufmerksamkeit abgewälzt werden. Ziel ist es, ihnen durch einfache und klare Prozesse das richtige und sichere Handeln zu vereinfachen. Zugänge zu Gebäuden, Netzwerkanschlüssen und sensiblen Bereichen sowie Informationen müssen über klar definierte Prozesse gesichert sein. Diese Prozesse müssen einerseits einfach zu nutzen sein, andererseits aber auch die Identität und Berechtigungen der anfragenden Personen ausreichend validieren. Sie müssen zudem der einzige Weg sein, wie Zugang zu den jeweiligen Assets erlangt wird.

Wenn sich durch Schwierigkeiten beim vorgegebenen Prozess Notlösungen und Ausnahmereglungen etablieren, entstehen Sicherheitslücken, die Angreifer ausnutzen. Etwa wenn Besucher:innen über Mitarbeiterkarten Zugang erhalten, weil der offizielle Prozess zu kompliziert ist – das führt dazu, dass verdächtiges Verhalten wie das gemeinsame Passieren eines Zugangs nicht mehr erkannt wird.

Technologie: Physische Sicherheit ist notwendig, um IT-Assets zu schützen, wird aber auch durch technische Systeme wie elektronische Zugangskontrollen, Videoüberwachung oder Türsensoren gewährleistet.

Diese Technik wird oft am Perimeter eines Gebäudes eingesetzt, sollte aber auch innerhalb eines Defence in Depth-Modells verwendet werden – etwa durch weniger intrusive, mehrschichtige elektronische Zugangskontrollen. Auch sensible Bereiche innerhalb gesicherter Gebäude sollten zusätzlich geschützt sein. Wichtig: Die IT-Systeme, die diese physische Sicherheit ermöglichen, müssen selbst ein hohes Sicherheitsniveau aufweisen. Ein schlecht gesichertes Zugangssystem kann die gesamte physische Sicherheit kompromittieren.