02/12/2016
Firmen ignorieren weiterhin die latente Bedrohungslage in ihren Besprechungsräumen
Vertrauliche Informationen werden hinter verschlossenen Türen in Besprechungsräumen ausgetauscht, so verlassen unsere vertraulichen Informationen unsere Firma nicht!
Sind Sie sich da wirklich sicher?
2.12.2016 - Bernd Kronach
Vor der Marktrevolution der Smartphones war das erfolgreichste Mittel der Datenspionage illegal platzierte Wanzen in Meetingräumen. Heute, mit weltweit ca. 2,1 Milliarden Smartphones, 1,2 Milliarden Tablets und 150 Millionen Laptops (nicht eingerechnete 3,5 IoT-Geräten pro Kopf je Einwohner), bringt jeder Nutzer durch das Vorhandensein von Wireless-Funktionalitäten, Kamera und Audioaufnahmefunktion in ihren Geräten ein unübersehbares Risiko für Dataleakage (beabsichtigt oder unbeabsichtigt) zu jeder Besprechung "einfach mit".
Und auch die in den Räumen vermeintlich fest installierten Geräte bergen ihre Risiken: Smart-TVs, Video-Conferencing-Anlagen, Beamer, Blu-ray-Recorder oder auch Drucker mit Webportal "zur einfachen Administration", IP-Telefonanlagen, etc. können jederzeit missbraucht werden, um dem "Präsentierten remote zu lauschen".
Solche Techniken wurden bisher hauptsächlich von Regierungsagenturen eingesetzt, was nicht heißt, dass die vorhandene Technik nicht auch vom nächsten Mitbewerber genutzt werden können. Alles nur eine Frage des Geldes.
Auch das Abschalten des Gerätes hinterlässt auswertbare Spuren: der Ortungsdienst (GPS) speichert dieses, aber natürlich kann sowohl der Provider, als auch berechtigte Regierungsstellen über die Auswertung der Roaming-Protokolle den Standort eines jeden Nutzers nachvollziehen.
Sollte nun ein Meeting "Streng geheim" abgehalten werden müssen, also noch nicht einmal die Zusammenkunft der Teilnehmer darf bekannt werden, so deutet das lokal gleiche Abschalten der Dienste auf dieses Meeting hin und kann somit als Unsicherheitsfaktor angesehen, bzw. bewertet werden. In solch einem Fall bietet es sich an, dass die geladenen Teilnehmer ihre Geräte sicher am eigenen Arbeitsplatz lassen oder dass diese zentral (aber angeschaltet) außerhalb der Meetingräume gesammelt gelagert werden.
Bereits 2012 wurde in der RSA Konferenz in San Francisco mit Nachdruck darauf hingewiesen, dass zigtausende "Embedded Web Servers" in IT Geräten, wie Video-Conferencing-Systemen weitgehend ungeschützt betrieben werden und mit einem relativ geringen sowohl technischen als auch finanziellem Aufwand von außerhalb der jeweiligen Firma infiltriert werden kann. Während der Konferenz wurden live rund 1 Millionen Webserver online gefunden, von denen 9,000 ungeschützte Video-Konferenz-Systeme von Polycom und Tandberg, heutzutage Cisco, identifiziert wurden. Weiterhin wurden 3,000 Canon Systeme, 1,200 Xeros-Kopierer und weitere 20,000 andere Drucker/Kopierer identifiziert, welche ohne weitere Sicherheitsmaßnahmen live in Betrieb waren.
Dabei sind sich in den meisten Fällen auf Anfrage hin erst einmal einig: ein Meeting, in dem Geschäftsgeheimnisse, aber auch datenschutzrechtlich relevante Themen besprochen werden, ist als geheim einzustufen und die besprochenen Inhalte müssten geschützt sein.
Bekanntschaft mit den Auswirkungen von "heimlich geleakten Informationen aus einer Besprechung" machte Mitt Romney 2012. Das mit einem Smartphone heimlich mitgeschnittene Video seiner sprachlichen Entgleisungen wurde online gestellt und trug zu einem hohen Anteil dazu bei, dass für diesen Kandidaten die US-Präsidentschaft verloren ging.
Und die richtigen Sicherheitsvorkehrungen und die korrekte Einstellung zu Sicherheitsfragen beschränken sich natürlich nicht nur auf die eigentlichen Räume, bzw. Besprechungen, sondern müssen auf den gesamten Vorgang ausgedehnt werden. Was nützt ein sicherer, abgeschirmter Bereich, wenn die Daten bereits auf dem Weg zum Meeting eingesehen werden können? Als abschreckendes Paradebeispiel soll hierfür Senator Kris Kobach, AR, dienen, der mit seinen Unterlagen unter dem Arm auf dem Weg zu einem geheimen Strategiemeeting mit D. Trump fotografiert werden konnte. Zu sehen auf den Fotos: die geheimen Pläne zur zukünftigen Umgestaltung der Hometown Security in den US (Titel: “Kobach Strategic Plan for First 365 Days.”).
Vorliegenden Studien beziffern den aus Diebstahl von Unternehmensgeheimnissen resultierenden Schaden mit mehreren Milliarden Dollar. Dabei geht es in der Regel um Entwicklungsgeheimnisse, Daten aus R&D, Produktionsprozesse, Marketing oder Vertriebs-Strategien, Rechtsfragen, Gehaltsverhandlungen und weitere.
Die Frage bleibt also: wie können Firmen sicherstellen, dass Ihre Firmengeheimnisse in den eigenen 4-Wänden oder unter "4-Augen" weiterhin geheim sind?"
Nachfolgende Best Practices können auch ihrem Unternehmen helfen, die notwendigen Prozesse und Protokolle zu wählen, um ein adäquates Sicherheitsniveau zu definieren und in ihrer Unternehmenskultur zu verankern.
----------------------------------------------------------------------------
Am Anfang
----------------------------------------------------------------------------
Bevor Sie beginnen, starten Sie mit folgender Übung: Stellen Sie sich die Frage...
Wenn Sie Ihrer Firma schaden wollten - durch Spionage, Manipulation, Sabotage oder als Anschlag - was wären Ihre bevorzugten Ziele?
Welche Schwachpunkte würden Sie nutzen, um diese Ziele zu erreichen?
Eines sollte Ihnen auf jeden Fall immer klar sein: bei jeder Veranstaltung, in der sensitive Informationen Preis gegeben, bzw. erörtert werden, muss davon ausgegangen werden, dass Mitbewerber versuchen könnten, die vertraulichen Informationen auf die eine oder andere Weise zu erschleichen und abzuziehen.
Somit wird das Denken wie ein Betrüger Ihrer Firma helfen, die eigenen Sicherheitsmaßnahmen zu erhöhen. Wenn Sie in einigen Bereichen keine Expertise im Haus haben, oder sich unsicher fühlen, holen Sie sich Hilfe von Experten! Ein Gespräch oder eine Schulungsmaßnahme durch beispielsweise den Verfassungsschutz oder weiteren spezialisierten Beratern kann Ihnen helfen, die eigenen Einschätzungen zu verifizieren und weitere Gefahrenlagen zu erkennen.
----------------------------------------------------------------------------
Planen sie für wichtige und geheime Meetings immer genügend Vorlaufzeit ein!
----------------------------------------------------------------------------
Binden sie alle beteiligten Stakeholder, z.B. Personalmanagement, ihre Juristen, interne Sicherheits- und Risikoabteilungen, ihr Facility Management, evtl. sogar lokal ansässige Sicherheitsunternehmen und Behörden bereits 2 bis 3 Monate vor der eigentlichen Besprechung ein. Starten sie den Planungsprozess und stellen Sie das jeweilige Risikopotenzial fest: wie viele Teilnehmer werden geladen, wo soll die Besprechung physisch stattfinden (außerhalb des Werksgeländes oder in den "eigenen 4 Wänden"?), wie kommen Teilnehmer zur Besprechung, wo können diese parken, muss ein dedizierter Fahrdienst eingerichtet werden? Ist genügend Sicherheitspersonal einsetzbar und wie ist dieses ausgebildet? Wer, welche Parteien, Firmen, Staaten etc. könnten Interesse am Inhalt der Besprechung haben, bzw. Vorteile aus dem gewonnenen Wissen ziehen: also wie könnte dieses genutzt werden? Welches Schadenspotenzial könnte daraus erwachsen?
Die Daten- und Informationssicherheit während Meetings zu gewährleisten, ist immer eine gemeinschaftliche Leistung und somit sind interne Sicherheitsorganisationen immer gezwungen, mit anderen, mitunter externen Serviceprovidern wie Housekeeping, Bankettmitarbeiter, Sicherheitsfirmen, etc. zu kooperieren, so dass vor, während und nach eigentlichen Meeting, evtl. auch auf den Zimmern oder im Restaurant, in der Bar.
Auch wenn viele Firmen mittlerweile mannigfaltige, sicherheitsrelevante Controls implementiert haben, müssen für öffentlichkeitsrelevante, bzw. wirksame Besprechungen zusätzlich Maßnahmen eingeplant werden, die z.B. auch Sicherheit während Demonstrationen [friedliche bis militante je nach "Aufregungsgrad des Themas"] berücksichtigen und den Schutz der Teilnehmer gewährleisten. Aushäusig durchgeführte Besprechungen erhöhen den Aufwand deutlich, um die physikalische Abhörsicherheit auf ein annehmbares Niveau heben zu können. Rechnen Sie hier immer mit einem deutlich höheren Kostenniveau an Reisekosten und Manpower, da Risiken und Sicherheitsmaßnahmen eruiert und auch nachhaltig umgesetzt werden müssen.
Insbesondere bei der Planung von Besprechungen von in der Öffentlichkeit kontrovers diskutierten Themen (nehmen Sie z.B. im Atomsektor oder Fracking oder Gentechnik o.ä.) rät es sich im Vorfeld, Meldungen der Presse und den sozialen Medien wie Facebook, Twitter, Instagram o.ä. zu überwachen, um potenzielle Menschenaufläufe ('Flashmobs') o.ä. bereits im Vorfeld zu erkennen und geeignete Gegenmaßnahmen (defences) aufbauen zu können. Je aufgeheizter die Stimmung desto nachhaltiger müssen Sicherheitsmaßnahmen geplant und weitere oder striktere LoD’s umgesetzt werden.
In extremen Fällen muss selbst an die Sicherheit einzelner Teilnehmer im Sinne von Personenschutz gedacht werden bis hin zur Sicherheit und Abschirmung des Tagungsraumes vor gezielten Anschlägen. Dieser gesonderte Personenkreis – High Risk Personnel (HRP) – muss selbstverständlich im Vorfeld eruiert und allen Verantwortlichen bekannt sein! In der „normalen“ Businesswelt ist dies kein alltäglicher threat und kommt somit ein Glück nicht allzu häufig vor. Somit soll dies nur am Rande der Vollständigkeitshalber erwähnt sein.
Bei größeren Veranstaltungen steigt automatisch die Anzahl des beteiligten Sicherheitspersonals. Um eine durchgängige Koordination vor, während und im Anschluss des Meetings zu gewährleisten, müssen sie einen Control-Room (Security Operations Center (SOC) vorsehen, in dem alle Maßnahmen koordiniert werden. Ein geeignetes Kommunikationsmittel muss gewählt werden, um zentral und unmittelbar die Einheiten steuern zu können. Allen Beteiligten müssen die „Not-Schlagworte“ bekannt sein. Denken Sie an ein eineindeutiges Vokabular, um Teams, Ereignisse, etc. adressieren zu können: ein eineindeutiger Code je Counter Measure sollte ähnlich wie bei Polizeieinheiten festgelegt sein. Und: das SOC ist selbstverständlich auch als Risiko zu bewerten und Absicherungsmaßnahmen müssen ergriffen werden.
----------------------------------------------------------------------------
Legen Sie ein verbindliches Sicherheitsprotokoll fest!
----------------------------------------------------------------------------
Spätestens einen Monat vor dem eigentlichen Ereignis sollte in einer Diskussionsrunde mögliche Krisensituationen besprochen und mögliche Handlungsalternativen festgelegt werden.
Zutrittskontrollen sind kritisch. Planen Sie diese in mehreren »Line of Defenses» (LOD), wie z.B. außerhalb des Tagungsortes, Unterbringung der Gäste, Firmen-Außenperimeterschutz, Wachdienste, im Gebäude, Zugang zu den Tagungsräumen, etc.
Jeder Teilnehmer muss sich ausweisen - an jeder LoD! Außerdem sollte mindestens einmal die korrekte Identität verbindlich nachgewiesen werden; je höher der Sicherheitsbedarf, bzw. je geringer der Risikoappetit, desto eher sollten Sie zusätzlich spezialisierte Sicherheitsfirmen engagieren, die bis hin zu Metalldetektoren ihr Access-Management unterstützen. Auch die Kontrolle der Fahrzeuge der Teilnehmer und die explizite Bewachung der Parkplätze sollte als Sicherheitsmaßnahme zumindest bedacht werden und die Maßnahme über das Risikomanagement beurteilt werden.
Alle Teilnehmer sollten exklusiv und namentlich eingeladen werden. Außerdem sollten ihnen vor Reiseantritt ein Hinweiszettel, eine kurze Broschüre mit kurzen, prägnanten Sicherheitshinweisen für die Anreise und den Aufenthalt während des Meetings übermittelt werden.
----------------------------------------------------------------------------
Jeder geladene Teilnehmer muss über das jeweilige Sicherheitsprotokoll im Bilde sein!
----------------------------------------------------------------------------
Das könnte beispielsweise sein:
• durchführen von Hand- und Brieftaschenchecks
• Smartphones, Computer, Tablets, Fotoapparate, Video- und Audiorekorder etc. müssen vor dem Zutritt abgegeben werden und sicher (bewacht) außerhalb verwahrt werden.
• nur firmeneigene Computer zur Präsentation dürfen zum Einsatz kommen. Extern beigesteuerte Kabel, Beamer, Datensticks und-träger, etc. sind prinzipiell verboten!
• Alle Referenten müssen ihre finale Präsentation spätestens einen Tag vor dem Ereignis eingereicht haben. Alle Präsentationen müssen auf Malware untersucht werden und an einem zentralen Ort gespeichert werden. Der verschlüsselte Datenträger mit den Dateien sollte erst kurz vor dem eigentlichen Beginn des Meetings überhaupt in den Präsentationsraum gebracht und angeschlossen werden. Stellen Sie wirklich auch sicher, dass die Übertragung der Präsentationen ungefährdet erfolgt. Auch der Ziel-Speicherort muss den jeweiligen Sicherheitsanforderungen entsprechen! Beschränken Sie auf jeden Fall den Zugriff auf die Dateien nach dem Motto "Need-to-Know" und "VVI" (Verfügbarkeit, Vertraulichkeit und Integrität).
Bevor das eigentlichen Meeting beginnt: erinnern Sie alle Anwesenden an die jeweils geltenden Sicherheitsvorschriften und ggf. auch über persönliche Konsequenzen bei Verletzung dieser.
Bei Beginn jeder Präsentation inkludieren Sie direkt bei Beginn nochmals eine Folie über die erwartete Verschwiegenheit. Führen Sie in den Master der Präsentation einen NDA-Vermerk ein, so dass die Kritikalität immer zu sehen ist.
----------------------------------------------------------------------------
Während des Meetings
----------------------------------------------------------------------------
Ihr Sicherheitsprotokoll sollte weiterhin berücksichtigen: medizinische Notfälle, Evakuierung des Managements, Sicherheitsmaßnahmen bei Evakuierung des Gebäudes während des Meetings, Umgang mit Störenfrieden. Denn auch wenn Sie Fragen durch die Teilnehmer zulassen sollten, sollte bei der Belehrung klar festgestellt werden, dass dieses Recht / Privileg nicht das gezielte Stören der Veranstaltung beinhaltet und dass sich ihr Unternehmen den Ausschluss eines jeden Teilnehmers vorbehält. Die jeweiligen Fluchtrouten müssen bereits in der Planungsphase festgelegt und mehrfach getestet worden sein. Ist es aus welchem Grund auch immer nicht möglich, ihren CEO o.ä. aus dem Gebäude zu evakuieren, muss auch in der Planung ein »Safe Room« identifiziert worden sein und für den Fall der Fälle bereitstehen.
Gerade während des Meetings müssen die Sicherheitsteams in voller Stärke anwesend und an den jeweils festgelegten Positionen verfügbar sein. Sicherheitspersonal sollte rund um die festgelte Sicherheitszone patrouillieren, elektronische und physikalisches Scanning der Umgebung sollte durchgeführt werden, um nicht gewollte Signale aufzufangen. Auch der Einsatz von Cellular Jammern, welche GSM-, DCS-, PCS-, UMTS-, 4G-, WiFi-, GPS-, UKW- und UHF-Signale unterbinden, kann als Sicherheitsmaßnahme bedacht werden, wobei dringend auf die Rechtlichkeit geachtet werden darf (beispielsweise ist der Besitz und der Einsatz in Deutschland verboten(!). Alternativ können Besprechungsräume auch so baulich abgesichert werden, dass ein Connect mit externen Sendern und Providern stark erschwert wird. Denken Sie daran, sich vor Laser Monitoring Systemen (auch Interferometer) zu schützen. In heutigen Zeiten ist es sogar möglich, ähnliche Technologie in Drohnen zu verbauen und so Mobil in großer Höher einzusetzen. Sehen Sie bei der Planung also nicht nur mögliche angrenzende Gebäude als Bedrohung an - denken Sie auch daran, dass ein freies Flugfeld das Abhören des Meetings ermöglichen könnte.
Sind im Besprechungsraum Telefonanlage, Videosysteme, Webcams verbaut, legen Sie diese für die Zeit der Besprechung still; schalten sie diese Geräte stromlos, wenn möglich aber entfernen Sie diese für die Besprechung vollständig aus dem Raum.
----------------------------------------------------------------------------
Post-Meeting-Kontrollen
----------------------------------------------------------------------------
Nachdem die Besprechung stattgefunden hat, sichten sie die Unterlagen (falls Sie welche erlaubt haben) der Teilnehmer und stellen Sie so sicher, dass klassifizierte Informationen nicht in schriftlicher Form die Veranstaltung verlassen. Ermahnen Sie nochmals alle Anwesenden auf Verschwiegenheit. Viele Geheimnisse wurden bereits bei einem Gläschen Wein an der Bar, in Sportstudios oder bei Besuchen in anderen Etablissements preisgegeben, da sich die "Zielpersonen" nicht damit auseinandergesetzt hatten, dass der "nette Mann neben ihnen" nicht zufällig, sondern ganz bewusst neben ihnen saß. In totalitären Ländern wie beispielsweise Russland und China werden teilweise gezielt Prostituierte auf Geschäftsleute angesetzt; der Seitensprung wird heimlich dokumentiert und im Nachhinein als Druckmittel im Austausch für Informationen eingesetzt!
Effektive Meeting-Security befasst sich außerdem nicht nur mit den einschlägigen Sicherheitskriterien (Access Management, Monitoring, etc.), sondern auch mit dem Wohlergehen der Teilnehmer. So sollte auch der Fall der Fälle geplant werden, wie ein Teilnehmer im Notfall, z.B. bei einer Herzattacke, diskret abtransportiert werden könnte. Warum das wichtig ist? Stellen Sie sich vor, der CEO eines börsennotierten Unternehmens wird durch das Haupttor ihres Gebäudes durch die dort evtl. wartende Menge abtransportiert. Welche Wirkung könnte dies auf den Aktienkurs und somit den Wert des gesamten Unternehmens haben?
----------------------------------------------------------------------------
Vertraulichkeit für alle!
----------------------------------------------------------------------------
Jede Person, die mit dem Meeting zu tun hat (z.B. Veranstaltungsplaner, Sicherheitspersonal intern und extern, Bild- und Tontechniker, Caterer, administratives Personal, Fahrer, etc.) müssen einen gesonderten NDA unterschreiben; dazu gehören auch alle weiteren an der Planung involvierten Menschen. Bestehen Sie auch bei Subdienstleistern auf einwandfreie, aktuelle »Polizeiliche Führungszeugnisse«. Für besonders sensible Bereiche führen Sie - oder lassen Sie – professionelle Background-Checks durchführen!
Auch für das Sicherheitspersonal gilt das „Need to know-Prinzip“. Es besteht kein Grund, dass alle Beteiligten vom Inhalt oder schlicht vom Titel der Konferenz wissen! Ein Mitarbeiter, des »Outer Perimeter Security Supports«, der beispielsweise die Sicherheit der Autos checkt oder Parkplätze bewacht, muss keinerlei Kenntnis von den Innenschutzmaßnahmen (»Close-in Perimeter Support Einheiten«) haben. Auch der Zutritt zum Innenbereich muss denen vorbehalten sein, die explizit für diesen Job ausgewählt worden sind. Wenigen Mitarbeitern sollte das „Wandern“ zwischen Security Controls erlaubt sein. Dies erhöht zusätzlich die Sicherheit der gesamten Konferenz.
Außerdem: Pönalen bei Verstoß gegen das Sicherheitsprotokoll müssen unmissverständlich formuliert sein. Richten Sie sich hier nach dem Monopoly-Motto: »Gehe nicht über Los, ziehe keine 200 Euro ein, sondern gehe gleich in das Gefängnis«!
----------------------------------------------------------------------------
Lessons-Learned
----------------------------------------------------------------------------
Am Ende jeder Veranstaltung sollten sie einen Post-Veranstaltungs-Review durchführen, um Gutes beim nächsten Meeting noch besser machen zu können.
----------------------------------------------------------------------------
Meetingraum-Security im Alltag
----------------------------------------------------------------------------
Abseits des skizzierten Großevents unter Beteiligten von zig-Personen und teuren Maßnahmen: was heißt das nun für den Alltag?
1. Besprechungsräume und Besprechungen müssen einer Schutzbedarfsanalyse unterzogen werden
2. Unternehmen mit vielen Besprechungsräumen sollten Schutzbedarfsklassen einführen. Alle Räume gleichsam zu schützen ist deutlich zu teuer und oftmals auch nicht notwendig, wobei ein Mindestmaß an Sicherheit überall eingehalten werden sollte.
3. Alle Räume müssen aktiv verwaltet werden und müssen verschlossen gehalten werden. Eine Schlüsselkontrollfunktion muss verbindlich eingerichtet sein, eine zentrale Stelle muss hier verantwortlich sein und die Durchsetzung der Sicherheitsprotokolle und Maßnahmen inklusive Kontrollen Sorge tragen. Wie sieht die Governance-Struktur aus? Verlangen Sie für die Einhaltung der Sicherheitsvorschriften Evidenzen in Form von Berichten. Überlegen Sie sich sinnvolle Messgrößen (KPIs) und fordern Sie aussagekräftige Reports und vergessen Sie nicht wiederkehrende Kontrollen (Audits) als Check-und-Balance durchzuführen.
4. Techniker, Caterer, Reinigungsfirmen, etc. müssen zu jeder Zeit durch eigenes Personal überwacht werden.
5. Kabel müssen eineindeutig beschriftet sein, dazu zählen auch Verlängerungskabel und Verteilersteckdosen. Die Beschriftungsaufkleber müssen so gewählt sein, dass sie nicht entfernt werden können, ohne, dass das Siegel gebrochen wird ( Sicherheitsaufkleber). Änderungen an der Infrastruktur bedingen ein Änderungsticket! Agieren sie restriktiv – kein Ticket – kein Zutritt, bzw. Veränderung!
6. Lassen Sie Technikgeräte versiegeln (Fernseher, Beamer, Spindeln etc.), soweit dieses eben möglich ist! Ist ein PC oder ein Notebook im Raum fest verbaut, so muss dessen Festplatte(-n) verschlüsselt sein. Möglichst schützen Sie den Zugriff zusätzlich durch Bios-Passwörter und entsperren Sie diesen erst, bevor er gebraucht wird. Außerdem denken Sie an Peripherie: sperren Sie die USB-Ports für den Anschluss von unbekannten Speichermedien! Vergessen Sie nicht, diese ihre Infrastruktur in ihr Patch-Management einzubeziehen – dazu gehören auch Beamer, Fernseher etc.! Zur weiteren Absicherung vor Ausspähung, blocken Sie RDP-Dienste (o.ä.) (auch ein gezielter, verschleierter Remote-Zugriff eines internen Mitarbeiters kann ein Sicherheitsrisiko sein!!); sichern sie die gesamte Netzwerkinfrastruktur des Raumes durch eine dedizierte Firewall mit Monitoringfähigkeiten ab. Wenn Sie ganz sicher gehen wollen, dann sollte Ihr Presenter-Computer während den Meetings gar keine Netzwerkverbindung haben: vor Beginn trennen Sie physikalisch den LAN-Anschluss; gehen Sie sicher, dass keine WLAN, Bluetooth o.a. Protokolle aktiv sind. Abhören auf konventionellem Weg unterbinden Sie so nachhaltig.
7. Etablieren Sie für alle Räume eine Clean-Desk Policy. Lassen Sie nach jedem Meeting eine Endkontrolle durchführen. Vernichten Sie liegengebliebene Notizen inkl. Flipchart-Papier, Pinwand-Moderationskarten nachhaltig (nicht einfach in den Papierkorb! – wenden Sie die DIN 32757 – 4 an) und löschen Sie Notizen auf den Whiteboards. Kontrollieren Sie Tische und Stühle (auch auf der Unterseite), heben Sie (wenn möglich) Mülleimer oder freistehendes Mobiliar an, überprüfen Sie Bilder an der Wand, Fenster und Schränke. Sind alle Kabel im Raum noch im Original vorhanden? Schließen sie nach Abschluss die Räume und lassen sie Maßnahmen und Ergebnisse einschl. Schlüsselrückgabe dokumentieren.
8. Wenn Sie ein Meeting planen und sie dieses nach durchgeführter Schutzbedarfsanalyse als "Secret / Top Secret" einstufen, verbieten Sie das Mitbringen von Mobile Devices, also Handys, Smartphones, Notebooks, Tablets, etc. Auch wenn es sich nach "James Bond" anhört: das unbemerkte Infiltrieren dieser Devices durch Malware, die diese in "Wanzen" verwandeln ist keine Fiction, sondern Realität.
9. In »Top-Secret«-Meetings sollten, wenn möglich, nicht benötigte aber im Raum vorhandene Telekommunikationsanlagen, dazu zählen u.a. Freisprecheinrichtungen inkl. "Spinnen auf den Tischen", Fernseher, Web-Cams, nicht gebrauchte IT-Geräte und Beamer etc. entfernt werden. Ist dies nicht möglich, schalten Sie diese Geräte nicht einfach aus, sondern machen Sie diese "stromlos". Außerdem ist es sinnvoll, direkt vor Start des Meetings unter eventuell vorhandenen Tischen o.ä. nach heimlich angebrachten Smartphones, Handys zu fahnden. Vorsicht! Werden Sie fündig, weichen Sie möglichst auf einen anderen Besprechungsraum mit gleicher oder höherer Sicherheitsstufe aus!
10. Last but not least - führen sie als geheim eingestufte Meetings nicht neben unkritischen Meetings parallel durch!
----------------------------------------------------------------------------
Organisationseinführung
----------------------------------------------------------------------------
Wenn Sie bisher noch keine gesonderten Vorkehrungen in diesem Bereich getroffen haben, müssen Sie vor Einführung einige Dinge beachten, damit ihr Unternehmen nicht am Wiederstand der Mitarbeiter scheitert. Mein Tipp: gehen sie dieses Projekt mit Bedacht und geduldig an, dann werden Sie erfolgreich sein.
1. Veröffentlichen Sie eine verbindliche Policy nebst Procedures.
2. Schulen Sie Ihre Mitarbeiter und sensibilisieren sie, so dass sie das Erfahrenspotenzial erkennen
3. Identifizieren Sie sicherheitsaffine Mitarbeiter und machen Sie diese Verantwortlich für die Sicherheit in einem, mehreren, allen Meeting Räumen
4. Teilen Sie Ihren Mitarbeitern mit, dass die Nutzung von Mobiltelefonen und anderen Geräten wie Pads oder Notebook in Workshops, Meetings nicht erwünscht ist.
5. Nehmen Sie Ihr Führungspersonal in die Pflicht.
6. Spielen Sie zu Beginn einer jeden Sitzung das »Stapelspiel«: alle Anwesenden müssen ihr Mobilgerät stumm schalten (nicht brummen!!) und gemeinsam einen Mobilturm in der Mitte des Tisches bauen. Machen Sie Allen klar, dass dies auch (und insbesondere) für die privaten Mobilgeräte gilt!
7. Erst jetzt starten Sie mit eventuell notwendigen Umbaumaßnahmen der Räume.
8. Je größer Ihr Unternehmen, je mehr Meetings abgehalten werden, desto wichtiger ist die Implementierung einer verantwortlichen Stabsstelle.
9. Führen Sie die Verantwortlichen in andere Sicherheitsgremien ein; schreiben Sie durch gezielte Kommunikation allen anderen Bereichen im Unternehmen vor, dass eine Zusammenarbeit verbindlich einzuhalten ist und die neue Stelle die Bewertungs- und Vorgaben- und Durchführungshoheit in den Tagungsräumen hat.
10. Nach Umsetzung der Schritte 1 bis 9 führen Sie Sicherheitsaudits durch. Lassen Sie sich KPIs wöchentlich oder ad-hoc (für wichtige Veranstaltungen) berichten. Lernen Sie aus den ersten Schritten und treiben Sie weitere Qualitätsveränderungen voran. Über einen kontinuierlichen Verbesserungsprozess sollte es ihrem Unternehmen gelingen, die Sicherheit Ihrer Informationen besser zu schützen. Und sei es nur, weil allen Beteiligten transparenter ist, warum ein besserer Schutz überhaupt vonnöten ist.
In Deutschland entstehen jährlich Milliardenverluste durch Spionage und unkontrollierten Knowhow-Abfluss. Dies beeinträchtigt und gefährdet jedes Unternehmen im Allgemeinen, die Finanzkraft, ihr Ansehen und die Arbeitsplätze im Besonderen. Besonders gefährdet sind Branchenführer bzw. Unternehmen mit herausragendem Knowhow, wobei die Größe des Betriebs tatsächlich keine entscheidende Rolle spielt. Aus diesem Grund müssen auch innovative Klein- und mittelständische Betriebe jederzeit damit rechnen, ein begehrtes Ausspähziel abzugeben.
Aus all diesen Gründen muss der Schutz aller sensibler Informationen sowohl eine technische, als auch eine rechtliche und organisatorische Kernaufgabe im Unternehmen sein. Erst nachdem man genau weiß, »was, wann, wie, vor wem« zu schützen ist, wer überhaupt Zugriff auf diese Informationen braucht, wenn Ziele und Aufgaben präzise formuliert wurden, kann ein Unternehmen beruhigter arbeiten.
Die Verhinderung des rechtswidrigen Zugangs zu vertraulichen Informationen und die Ermittlung von potenziellen Angreifern und Personen, die Industriespionage oder Sabotage betreiben möchten, genauso wie die Fahrlässigkeit des eigenen Personals in der Behandlung von vertraulichen Informationen muss wie dargelegt eine der obersten organisatorisch-sicherheitsgetriebenen Ziele in einem jeden Unternehmen sein, da der Verlust der Vertraulichkeit zwangsläufig zu monetären Schäden bis hin zu Schadensersatzforderungen und Haftungsschäden führt. Die Schutzmaßnahmen dürfen sich nicht nur auf den Arbeitsalltag in den Offices der Mitarbeiter beschränken, sondern müssen unbedingt auf Meetings und Informationsveranstaltungen ausgedehnt werden, um eine End-to-end-Kontrolle und -Schutz zu gewährleisten!
Beginnen Sie JETZT mit Ihrer Planung, um die skizzierten Risiken zu vermeiden!
Wenn Ihnen mein Blog gefällt, freue ich mich über Ihren Kommentar. Empfehlen Sie mich Ihren Bekannten und Geschäftspartnern weiter.