Fachartikel aus PROTECTOR 03/2012, S. 16 bis 17

Schutz von Kreditinstituten Synergien erschließen

Wenn es um kriminelle Gefährdungen geht, stehen Kreditinstitute (Banken, Sparkassen und Kreditgenossenschaften) bekanntermaßen ganz oben auf der Liste der Angriffsziele. Physisches Geld weckt ebenso wie sein elektronisches Pendant vielfältige Begehrlichkeiten und Energien doloser Natur. Nur ein Kreditinstitut, das sowohl physisch als auch elektronisch optimal geschützt ist, kann deshalb als sicher gelten.

Bild: Fotolia/SBorisov
  (Bild: Fotolia/SBorisov)

Doch dies ist ein Idealzustand, der sich real nur selten widerspiegelt. Physische und elektronische Schutzansätze sind auch heute noch um Welten voneinander entfernt. Und es gibt nur wenige Brückenschläge, die synergetisch wirken.

Beispielhaft seien Geldautomaten (GA) genannt, die in vielfältigster Weise angegriffen werden können. In physischer Hinsicht gilt es, Brachialgewalt – dazu gehören beispielsweise das Herausreißen der Automaten mit Fahrzeugen oder das Sprengen durch Einleiten eines explosionsfähigen Gasgemisches - abzuwehren. Als häufigste elektronische Angriffsoption ist das Skimming (illegales Ausspähen von Magnetstreifeninhalten und der PIN von EC-Karten) zu nennen. Die Absicherung von Geldautomaten ergibt nur dann einen Sinn, wenn die physischen und elektronischen Abwehrmechanismen ineinandergreifen und das Schutzziel ganzheitlich ausgerichtet ist.

Was also kann konkret getan werden?

Für elektronik-basierte Angriffe stehen längst Module zur Verfügung, die sich vielfach in der Praxis bewährt haben, die durch spezielle Sensoren systemfremde Metallteile, so genannte Aufsatzleser, detektieren können.

    Je nach verwendeter Technik kommt es im Verdachtsfall zum
  • sofortigen Abschalten des Automaten,
  • Auslösen eines Störsignals, das die illegale Datenübertragung verhindert oder
  • Initiierung von anlassbezogenen zusätzlichen Videoaufzeichnungen und/oder stillem Alarm an Institut und Polizei.

Es geht aber kostengünstiger, zum Beispiel mit einer Software, die das zielgerichtete Unbrauchbarmachen von Überwachungskameras (bei Skimmingangriffen allgemein üblich) detektiert oder aber einem „Entenschnabel“ (technische Veränderung am Karteneinzugsschacht, die das Anbringen eines Aufsatzgerätes erschwert). Noch billiger sind letztlich Abdeckvorrichtungen über dem numerischen Tastenfeld, die das Ausspähen der PIN mit Pinhole-Kameras erschweren, oder allgemeine Hinweise, dieses Tastenfeld mit der Hand oder dem Portemonnaie möglichst ganzflächig abzudecken. Nahezu kostenneutral ist die Inaktivierung von Kartenlesern im Außenbereich, die vielfach vom Skimmingtätern zum Ausspähen der Kartendaten missbraucht wurden.

Abwehr physischer Attacken

Zur Abwehr physischer Attacken steht ein Instrumentarium „primär wirkender Schutzmaßnahmen“ zur Verfügung, wie es der Sicherheitsberater Rainer Hannich (Hannich Sicherheit plus), vormals Zentraler Schutzbeauftragter der Norddeutschen Landesbank, formuliert. „Die Geldautomaten sollten nicht in der Nähe von Außenfronten als Solitär anreizfördernd aufgestellt werden.

Bild: Polizei Mettmann/ddp
Gesprengter Geldautomat. (Bild: Polizei Mettmann/ddp)

Alternativ ist häufig eine Platzierung in rückwärtige Bereiche des Foyers oder noch besser ein Einbau in Wände unbedingt empfehlenswert. Derartige Standorte bieten noch ein weiteres erhebliches Sicherheitsplus. Die Ver- und Entsorgung der GA kann in diesen Fällen aus einem rückwärtigen Raum erfolgen und geschieht somit praktisch ohne Risiko eines Überfalls mit vielfältigen Risiken für Personal und Kunden.“

Das ist das Machbare. Was aber passiert real in der Sicherheitspraxis der Kreditinstitute? Es wird den abgeklärten Leser nicht wundern, wenn festgestellt werden muss, dass in nicht gerade wenigen Instituten noch nicht einmal der einfachste Schutzansatz umgesetzt ist. Und dabei ist keinesfalls die Größe der Institute maßgeblich.

Unsichere Server der Zutrittskontrolle

So berichtet der IT-Sicherheitsberater Gunnar Porada (Innosec GmbH) von durchaus fortschrittlichen physischen Zutrittskontroll- und Zeiterfassungssystemen, die dennoch eine empfindliche Sicherheitslücke aufweisen, den Webserver. Diese IT-basierte Komponente werde nicht selten mit physischem Verständnis betrachtet. Weil der Server in einer – physisch gesehen - sicheren Umgebung stehe, gelte er als sicher, obwohl er dies im IT-bezogenen Sinne ganz und gar nicht ist.

Wie simpel es im Grunde ist, Server solcher Art anzugreifen, dafür nennt Gunnar Porada ein plakatives Beispiel aus seiner Praxis. Im Zuge eines Penetrationstests stellte er sich an die Drehkreuze eines Zutrittskontrollsystems. Von dort aus hatte er unmittelbaren Zugang zum Netzwerkkabel. Jeder, der vorbeikam, fand es prinzipiell in Ordnung, dass ein Betriebsfremder an einer der wichtigsten Sicherheitsvorrichtungen des Institutes hantierte.

Beschäftigte, die ihn dabei beobachteten, hatten nur eine Sorge, nämlich ob sie sich an dem betreffenden Terminal an- oder abmelden könnten; und ließen sich von dem IT-Sicherheitsberater kommentarlos zu einem anderen Ausgang schicken. Nach der, in diesem Fall nur testweise durchgeführten, Manipulation wäre es möglich gewesen, mit Hilfe eines einfachen Handys Zugang zum relevanten Institut zu bekommen und die Videoüberwachungsanlage manipulativ zu steuern. Ein gewiefter Hacker hätte nach einem Angriff die Logfiles gelöscht, so dass die Manipulation physisch gesehen gar nicht stattgefunden hätte und dadurch Unschuldige, beispielsweise die Mitarbeiter, in Verdacht geraten wären.

In einem anderen Fall, es handelte sich dabei allerdings um ein Industrieunternehmen, fand Gunnar Porada in einer mit Videoüberwachung ausgestatteten Straßenleuchte, die sich frei zugänglich auf einem Mitarbeiterparkplatz befand, eine Netzwerkkarte, die ihm den ungehinderten Zugang in das Unternehmensnetzwerk ermöglicht hätte. Um an diese elektronische Schaltung zu kommen, hatte ein einfacher Inbusschlüssel genügt.

Gedankenlos herausgegeben

Wie oft Daten der physischen Sicherheit gedankenlos herausgegeben werden, ohne sie elektronisch abzusichern, weiß auch Norbert Wayand, Abteilungsleiter Sicherheit der Frankfurter Sparkasse, zu berichten. Gegenüber PROTECTOR nennt er als Beispiel Planunterlagen für die Einbruchmeldeanlage oder auch Gebäudegrundrisse. Sein Institut habe vor Jahren dem zuständigen Polizeipräsidium Unterlagen dieser Art zur Verfügung gestellt. Ein schwarzes Schaf unter den Polizeibeamten habe sich dann Zugang zu diesen Materialien verschafft und sei in das Institut eingebrochen.

Aufgrund dieses Vorfalls habe nach Norbert Wayands Angaben die Frankfurter Sparkasse untersucht, ob es überhaupt erforderlich ist, Unterlagen solcher Art der Polizei zur Verfügung zu stellen. Mit dem Ergebnis, dass dies nach modernem Stand nicht mehr erforderlich ist. Lehre Nummer 2 ist, dass generell überprüft wird, wie an Externe gelieferte Materialien an Ort und Stelle vor unerwünschtem Zugriff geschützt werden.

Der Sicherheitschef der Frankfurter Sparkasse, der auch dem Arbeitskreis „Sicherheitsvorkehrungen in Kreditinstituten“ des Deutschen Institutes für Interne Revision“ (DIIR) angehört, warnt vor der ungeschützten Übermittlung von Bauplänen und Grundrissen, beispielsweise im Zuge von Baumaßnahmen. Solche Pläne würden bei seinem Institut generell verschlüsselt übermittelt. Öffnen könne die Dokumente nur, wer im Besitz eines entsprechenden Codes sei.

Zentrale Organisationseinheit

Norbert Wayand bringt es auf den Punkt: Physische und elektronische Sicherheit dienen einem Ziel und gehören deshalb vernetzt. So sieht es auch Klaus Eue, Leiter Konzernsicherheit der Nord/LB: „Die aus unserer Sicht optimale, weil synergieerzielende und effiziente Lösung besteht darin, diese Funktionen in einer zentralen Einheit, unter Umständen mit weiteren Themen aus dem Bereich Safety und Security, wie beispielsweise Datenschutz, zu bündeln. Diese Einheit ist unabhängig von den operativ verantwortlichen Organisationseinheiten zu implementieren, arbeitet strategisch und konzeptionell. Sie wird mit Richtlinienkompetenz ausgestattet und unterzieht die beiden Sichten einem einheitlichen Sicherheitsprozess, zum Beispiel gemäß PDCA-Modell, wobei die Umsetzungsverantwortung den operativen Bereichen obliegt.“