Physische IT-Sicherheit Physischer Schutz für PC, Notebook & Co

Gegen Hacker und Datenklau gibt es tech­nische Schutzmöglichkeiten. Aber wie sieht es mit dem klassischen Diebstahl aus? Unter­nehmen müssen auch Diebe abwehren können, die es auf ihre IT-Ausstattung abgesehen haben oder Angreifer, die versuchen physischen Zugang zu Geräten zu erlangen. Der Markt bietet heute eine breite Palette an Lösungen, um PC-Systeme vor physischen Zugriff zu schützen.

Anbieter zum Thema

Dell GmbH

sysob IT-Distribution GmbH & Co. KG

TXOne Networks

Für physische IT-Sicherheit werden vom Handel bevorzugt drei Gruppierungen von Schutz-Komponenten bedient: Systeme zum Schutz vor Diebstahl, zur erschwerten Einsichtnahme und zur Verhinderung einer unberechtigten Nutzung. Abhängig von der Bedrohungshäufigkeit und dem zu schützenden Umfeld gibt es ein breites Spektrum an Optionen, für den Anwender sein Equipment gegen physische Angriffe zu schützen.

Bildergalerie

Bildergalerie mit 5 Bildern

Methoden für den Diebstahlschutz

Abhängig vom Einsatzort, gibt es unterschiedliche Schutz-Ansätze. Muss beispielsweise, ein Laptop auf einer Dienstreise gesichert werden, ist anders zu verfahren, als wenn das Gerät im eigenen Büro oder in einem öffentlichen Bereich im eigenen Bürogebäude verwendet wird.

Stationärer Schutz: Für den Schutz vor Diebstahl eines Gerätes empfiehlt sich bevorzugt im Büro die Aufbewahrung in einem verschlossenen „Behälter“. Dies kann, ein Büroschrank, ein Beistellcontainer, ein fest verschraubtes Gehäuse aus Stahl oder Aluminium sein. Auch ein Schreibtisch-Aufsatz, der auf der Arbeitsplatte verschraubt und einem Vorhängeschloss gesichert wird um einen eingeschobenen PC zu sichern ist im Angebot. Hier bietet die Zubehörindustrie die verschiedensten Optionen an, abhängig vom Preis und den Ansprüchen wie auch vom Design. Ein Stahlkäfig wird in einer Schreiner-Werkstatt gute Dienste leisten, während im Beratungsraum einer Bank die Wahl vermutlich eher auf einen absperrbaren Beistellcontainer fällt, der sich optisch an die genutzten Büromöbel angleicht. Dieser hat auch den Vorteil, dass er bzgl. des Gerätemodells bzw. dem Chassis universeller nutzbar ist. Egal ob Laptop, Desktop oder Mini-Tower, in den Schreibtischcontainer passen alle, während der Stahlkäfig üblicherweise für definierte Geräteformen gefertigt wird.

All-in-One-Computer, bei denen sich die Technik im Monitorfuß oder im Monitor selbst verbaut ist, lassen sich per Stahlkäfig schlecht vor Diebstahl schützen. Denn eine Sicherungsmaßnahme wie ein PC-Käfig, würde die Sicht auf den Monitor erschweren oder das Handling der Erweiterungen im Monitorfuß einschränken. Hier kommt dann meistens nur eine Absicherung per Stahlkabel (Kensington-Schloss) in Frage, die das Gerät z.B. an den Metall­rahmen des Schreibtischs bindet. Prädestiniert für diese Sicherung ist beispielsweise ein Apple iMac, bei dem der Standfuß gesichert werden kann, indem durch die Lochöffnung für das Stromkabel zusätzlich das Stahlkabel gezogen wird.

Stahlkabel, mit denen IT-Equipment gesichert wird, gehören heute zum Standard. Jedoch sollte man deren Wirkung nicht überschätzen. Sie dienen eher zur Abschreckung von Gelegenheitsdieben, denn einen professionellen Dieb mit entsprechendem Equipment halten Sie nicht lange auf. Erleichternd kommt für Diebe hinzu, dass mitunter die Anwender die „Stahl-Fessel“ falsch verwenden. Paradebeispiel ist die gesicherte Docking-Station bei der ein Laptop selbst jedoch ungesichert bleibt. Ebenso beliebt ist es, die Basis-Seite des Stahlkabels an Dingen zu sicheren, die ohne weiteres angehoben oder mit geringem Aufwand geöffnet werden können, wie Standlampen oder auch Arbeitsplatz-Stühle.

Schutz auf Reisen: Bei Reisen sind jedoch der Sicherungstechnik oft Grenzen gesetzt, nicht zuletzt weil fast niemand bereit ist, entsprechendes Equipment „mitzuschleppen“ um die IT-Komponenten abzusichern. Eine Alternative, die auf Abschreckung beruht sind akustische Warnsysteme, wie sie oft in Ausstellungsräumen Verwendung finden. Sogenannte „elektronische Leinensicherungen“ lassen einen akustischen Alarm (> 100db) ertönen, wenn die „Leine“ entfernt wird oder zwei Komponenten sich funktechnisch nicht mehr erreichen können. Dies empfiehlt sich vor allem dann, wenn die Geräte über keine Buchse verfügen, um ein Stahl-Kabel anzubringen. Diese Akustik-Alarme können für Smartphones, Tablet-Systeme aber auch normale PCs genutzt werden. Je nach System wird die Leinensicherung dabei auf das Gerät angeklebt oder über die Steckerbuchse (sofern machbar) verbunden. Dieses Verfahren hat jedoch nur seinen Nutzen, wenn Personen auf den Alarm zeitnah reagieren! Denn ansonsten manipuliert ein Dieb die Alarmeinheit (Trennen vom Stromnetz; Entnahme von Batterien etc.) und entwendet unerkannt das nun verstummte Gerät.

Wer gezwungen ist, sein IT-Equipment während der Reise aus den Augen zu lassen, kann mit einem „Luggage Tracking System“ wie zum Beispiel LugLoc den Standort seiner Gerätschaften verfolgen. Basis dieser Systeme zum Wiederfinden von verloren gegangenem bzw. entwendetem Equipment ist ein GPS-Lokalisierungs-System. Damit kann der Besitzer feststellen, wo sich sein Gepäck bzw. IT-Equipment befindet. Nachteilig ist jedoch, dass sich die GPS-Tracker von der Größe einer Zündholzschachtel bis zur Zigarettenschachtel bestenfalls in einer Tasche oder einem großen Gerät verstecken lassen. Der Einbau in Computer ist nur in den seltensten Fällen möglich.

Hier empfiehlt es sich mittels Tracking-Software auf die vorhandenen Ortungsfunktionen von Smartphones, Tablets und Notebooks zurück zu greifen. Zusätzlich zu den Herstellereigenen Funktionen wie z.B. „Mein iPhone suchen“, bzw. „Meinen Mac suchen“ von Apple oder „Mein Gerät suchen” von Microsoft gibt es auch Anbieter wie Prey die einen eigenen Service anbieten. Für einige Android-Geräte sind derartige Funktionen auch additiv in der Security-Software enthalten, wie bspw. der Diebstahlschutz bei der Kaspersky Internet Security für Android. Vorteil dieser Lösungen ist es, dass man zumindest den Datenbestand per Remote löschen kann und so der Dieb „nur“ die Hardware erbeutet, ohne auf die ggf. wertvolleren Daten zugreifen kann.

Ergänzendes zum Thema

Im Gespräch mit Dipl. Ing. (fh) Nina Buchert, Inhaberin von „Mein-Computer-Spinnt“

Dipl. Ing. (fh) Fr. Nina Buchert, Inhaberin und Geschäftsführerin von „Mein-Computer-Spinnt“ in Stuttgart.

Security- Insider: Fr. Buchert, mit Ihrem IT-Service und Computer Reparatur Service „Mein-Computer-Spinnt“ in Stuttgart sind Sie Anlaufstelle für die verschiedensten PC-Probleme. Was sind aus Ihre Praxis-Erfahrung heraus, die häufigsten Probleme im Umfeld mit Lock-Kabeln mit denen Sie Ihre Kunden konfrontieren?

Nina Buchert: In der Praxis sind diese Art Sicherung für den User hinderlich, also werden sie nur wenig benutzt. Ein mobiler Computer möchte umhergetragen werden, Beamer werden in verschiedenen Räumen genutzt. Wenn Kunden mit Problemen zu uns kommen, dann weil der Schlüssel oder die Kombination verloren wurde oder der Schlüssel abgebrochen ist, aber am häufigsten kommen Kunden, die ein gebraucht Gerät mit beschädigtem Lock gekauft haben. Meistens ist ihnen dabei das Lock egal, aber das Gehäuse ist gebrochen und muss erneuert werden. Die Quelle dieser Geräte sollte natürlich jedem zu denken geben.

Security-Insider: Ist physischer PC-Schutz bei Privatpersonen überhaupt als nützliches Feature angekommen oder hat er den Status „Unerwünschte Belästigung“? Wie sind die Unterschiede zum kommerziellen Umfeld.

Buchert: Im privaten Umfeld ist der Lock Anschluss weitgehend unbekannt. Taucht er auf der Feature Liste eines Gerätes auf, werden hierzu regelmäßig Fragen gestellt und die Erklärung mit "das brauche ich nicht" abgetan.

Ich weiss nicht, wie es in den großen Märkten aussieht, aber bei uns sind Sicherungsseile nicht wirklich ein Verkaufsschlager. Im kommerziellen Umfeld kenne ich Kabel z.B. aus Schulungsräumen. Dort sind die Kabel manchmal hinderlich, weil die Teilnehmer damit an Ihre Plätze verbannt sind und schlecht in Gruppen zusammenarbeiten können. Da die Kabel mit einem kleinen Bolzenschneider überwunden werden können, ist der Diebstahlschutz nicht vollkommen. In Märkten sind Alarm Sicherung über den USB Anschluss deshalb sinnvoller und üblich.

Security-Insider: Sind Anwender mit etablierten Schutzmethoden, wie einem Lock-Kabel, einem abschließbaren Gehäuse oder verplombten Schnittstellen überfordert oder kommen sie damit zurecht?

Buchert: Die Handhabung selbst ist denke ich kein Problem. Vergessene und abgebrochene Schlüssel sind jedoch typisch. Probleme machen allerdings häufiger die "Chassis Intrusion Detection" Systeme in professioneller Hardware. Nach Überspannungen haben hier Mainboards gerne mal Fehlfunktionen und stoppen beim Post oder fangen an zu piepen. Auch wenn die Türen oder der Schließmechanismus etwas verbogen sind kommt es zum Fehlalarm und der Computer startet nicht. Geräte mit solchen Fehlerbildern hatten wir doch schon einige in der Werkstatt.

Security-Insider: Sie fertigen auch Spezial-Chassis für die unterschiedlichsten Geräte und verkaufen auch Security-Tools. Wo liegen hier die privaten Kunden-Präferenzen? Qualität, Sicherheit, Funktionalität oder ganz schlicht auf dem Preis?

Buchert: Unsere Spezialanfertigungen sind sehr individuell. Meistens geht es darum, eine Workstation oder einen Server zu verstecken, also möglichst geräuschlos in einem Schrank, hinter einer Wand oder wie zuletzt in einer umfunktionierten Kühlbox einzubauen. Für Shows oder auch am Arbeitsplatz, im Wartezimmer einer Kanzlei oder dem heimischen Wohnzimmer. Hier spielen sowohl ästhetische als auch praktische Gründe eine Rolle. Unsere Kunden möchten einfach keinen störanfälligen, lauten, schwarzen Kasten herumstehen haben. Was man nicht sieht, wird natürlich auch nicht geklaut oder mutwillig zerstört. In Ausstellungen mit Publikumsverkehr sicher eine gute Methode. Offen sichtbare, nach DIN gefertigte und vandalismussichere Gehäuse sind ja oft geradezu eine Herausforderung, sich daran auszuprobieren. Wenn man sie nicht zerstören kann, werden sie stattdessen verkratzt oder beschmiert. Bei Notebooks arbeiten wir eher mit festen Bügeln, als mit Kabeln. Feste Einbauten verhindern auch ein Zerren, Heben, Verschieben der Geräte und verhindern somit Beschädigungen.

Methoden zur erschwerten Einsichtnahme

Die Löschung des Datenbestands eines gestohlenen Geräts per per Remote-Zugriff zählt neben der Verschlüsselung beim Diebstahlschutz noch immer zu den besten Möglichkeiten um die Einsichtnahme in die Daten durch Unbefugte zu verhindern. Zwar ist das keine rein physische Sicherheit, aber die besten Ergebnisse sind oft durch eine Kombination von Soft- und Hardware zu erreichen.

Reine Hardware sind beispielsweise Blickschutzfilter, die vor einigen Jahren einen Hype erlebten. Dank cleverer Technik, beschränken sie die Lesbarkeit eines Displaybilds auf einen begrenzten Blickwinkel. Wer von der Seite her versucht mitzulesen, scheitert am Filter. Diese Schutzoption ist für PC, Notebooks, Tablets aber auch Smartphones verfügbar. Das Unternehmen 3M bietet hier eine umfangreiche Palette an Blickschutzfiltern an. Für Anwender, die auf Reisen oder öffentlichen Orten mit vertraulichen Daten arbeiten, sind sie seit Jahren eine bewährte Methode um unerwünschte Mitleser auszusperren. Ein angenehmer Nebeneffet ist auch der Schutz des Bildschirmes vor Kratzern und anderen kleineren Beschädigungen.

Spionageabwehr: Spionage kann auf vielfältigen Weg erfolgen. Ein Richtmikrofon, welches den Dialog der Gesprächspartner wiedergibt oder eine Abhöreinrichtung ist eine etablierte Basis-Technologie. Aber nicht nur akustische Wellen lassen sich abhören, sondern auch elektromagnetische Wellen verraten viel durch Analyse der Abstrahlung (TEMPEST). Dabei kann von der Bildschirmstrahlung bis hin zur Tastatur alles abgehört werden. Der Security-Anbieter Kaspersky Lab nannte hier in einem Bericht aus dem Jahr 2015 die Möglichkeit Tastaturanschläge auf 20 Meter zu verfolgen. Diese Abstrahlung kann man nur durch spezielle Abschirmungen vermeiden bzw. reduzieren! Etablierter Anbieter derartiger Geräte ist das Unternehmen Siemens mit seiner Produktreihe „SITEMP Tempest Computer“ (pdf). Diese Systeme verfügen über eine elektromagnetische Abschirmung nach den Kriterien der SDIP 27 Class A/B.

Methoden zur Verhinderung einer unberechtigten Nutzung

Hat ein Dieb es geschafft, Notebook oder Smartphone zu stehlen, sollte man versuchen, die Geräte wieder zu erhalten, bevor Schaden entsteht oder zumindest versuchen, die Datennutzung zu verhindern (siehe Datenlöschung per Remote) und die Verwendung des gestohlenen Guts zu erschweren.

Bei PC-Systemen bietet sich es hier beispielsweise an, die Nutzung des Geräts durch Sperren von Ports oder Laufwerken zu erschweren. Für USB-Buchsen ist das Angebot recht umfangreich. So bietet beispielsweise Lindy Port-Schlösser für USB-Ports (Typ A) und Mini-DisplayPort/Thunderbolt-Ports an, mit denen sich der Zugriff auf die Schnittstellen ohne passenden „Schlüssel“ verhindern lässt. Das Angebot zum Schutz von SD/CF-Kartenslots und für CD-ROM-Laufwerke ist dann wieder deutlich reduziert bis nicht existent.Hier gibt es hier keine Standardlösungen – wenn überhaupt, dann nur „Bastel-Tipps“ oder mit etwas Glück spezifische Einzelangebote, wie z.B. für Lenovo-Thinkpads. Oft hilft da dann nur die Deaktivierung der Devices via BIOS/UEFI-Menü oder über das Betriebssystem selbst.

Verschlüsselung: Die beste Möglichkeit, den Zugriff auf die Daten zu verhindern ist nach wie vor, eine verschlüsselte Festplatte. Denn ohne entsprechende Passwörter sind die gespeicherten Daten nicht oder nur mit sehr, sehr hohem Aufwand zu dechiffrieren. Je nach Nutzung ist auch der Gebrauch von persönlichen Festplatten, die an einen Laptop oder Desktop-PC angedockt werden üblich. Mitunter ist her keine eigene Verschlüsselungsoption implementiert. Neben den ins Betriebssystem integrierten Verschlüsselungsfunktionen wie zum Beispiel Bitlocker gibt es auch plakative Umsetzungen. Zu nennen sind hier Speicherplatten, die beispielsweise ein sichtbares Zahlenfeld haben, wie der „Memory Safe“ von Intenso oder die DataLocker HDD und SSD.

IT-Sicherheit in Unternehmen

Datensicherheit am Beispiel von BitLocker

Bei diesen via USB 3 angeschlossenen Speichermedien, kann ein numerischer Zugriffscode definiert werden. Die Verschlüsselung erfolgt bei beiden Systemen via AES mit 256bit. Analog dazu ist auch der Gebrauch von USB-Speichersticks mit Verschlüsselung eine Option. Derartige Sticks werden wie auch entsprechende Festplatten von vielen Herstellern angeboten. Aber wo „Security draufstehe, ist nicht unbedingt immer Security drin“. So berichtet Kaspersky Lab in seinem Artikel „Ist Ihr verschlüsselter USB-Stick tatsächlich sicher?“ über einen Fachvortrag auf der Black Hat 2017 US von den Sicherheitsforschern Ellie Bursztein, Jean-Michel Picod und Rémi Audebert, dass es mit der Qualität/Sicherheit der Sticks nicht so weit her ist. So war es beispielsweise möglich, die mit Epoxidharz eingegossenen Bauteile durch den Einsatz von Aceton herauszulösen, da real andere Harze verwendet wurden als angegeben.

Fazit

Physische IT Sicherheit für PCs, Smartphones und Laptops ist grundsätzlich machbar. Je sicherer das angestrebte Niveau ist, umso höher sind jedoch die nötigen finanziellen Investitionen, die durch den Anwender zu berücksichtigenden Mechanismen und auch die Funktions-Einschränkungen, die ein Nutzer ggf. zu erdulden hat. Als ersten Schritt empfiehlt es sich daher, die Anwender im sicheren Umgangs mit Ihrem IT-Equipment zu unterweisen und erst dann mit der der Anschaffung von entsprechenden Sicherheitslösungen zu beginnen. Bei Neuanschaffungen empfiehlt es sich allerdings von vornherein auch die physische Sicherheit zu berücksichtigen und zudem auf Qualität zu achten, statt nur auf einen günstigen Einkaufspreis.

(ID:45386883)