« Sehr oft wird der Teil "Check" ausgelassen - und das ist ein Fehler." »
Sicherheitsdispositive und Massnahmen zu definieren und umzusetzen, ist eine Sache. Sie zu testen und den Nachweis zu erbringen, dass sie funktionieren, eine andere. Solche Audits gehören auch zum Angebot von Künzler&Partners. Nadine Boillat erzählt, wie man dabei im Fall von so genannten PEN-TESTS vorgeht.
Frau Boillat, was versteht man unter PEN-TEST?
Dabei handelt es sich um ein Audit für ein Sicherheitsdispositiv, bei dem versucht wird, physisch einzudringen oder vertrauliche Informationen zu erhalten. Der Auditor oder die Auditorin begibt sich im ersten Fall zum prüfenden Objekt und testet anhand eines im Vorfeld definierten Szenarios.
Was ist dabei das Ziel?
Wenn es um die Sicherheit eines Standorts oder eines Geländes geht, ist es sinnvoll, auf die Methode PDCA zu setzen: plan – do – check – act. Sehr oft wird jedoch der Teil «Check» ausgelassen. Und das ist ein Fehler, denn gerade diese Phase dient dazu, die vorhandenen Massnahmen zu kontrollieren und bei Bedarf anzupassen. Funktionieren alle Dispositive einwandfrei? Haben die Mitarbeitenden die Sicherheitskultur verinnerlicht? Sind die Sicherheitsvorkehrungen noch aktuell und auch in Hinsicht auf neue Bedrohungen sinnvoll? Denken Sie beispielsweise an Drohnen!
Was testen denn eure Auditoren und Auditorinnen konkret?
Bis hierhin haben sich unsere PEN-TESTS mehrheitlich um diese Achsen gruppiert: eindringen auf ein Gelände, unerlaubter Zutritt, melden eines Zwischenfalls, verdächtiges Paket, beschaffen von vertrauliche Informationen.
Haben sie konkrete Beispiele?
Der Versuch, nachts in den Perimeter einzudringen, zeigt, ob die Systeme den Auditor schnell und richtig erfassen. Unerlaubter Zutritt: Hier versuchen wir, ohne Badge-Authentifizierung den Mitarbeitenden beim Personaleingang zu folgen. Damit lässt sich herausfinden, ob der Versuch vom Sicherheitssystem erkannt wird oder ob Mitarbeitende den Auditor stoppen (Unternehmenskultur). Melden eines Zwischenfalls: Wir simulieren einen Schwächeanfall im Empfangsbereich, um die Reaktivität zu testen und zu sehen, ob der medizinische Dienst der Institution greift. Oder wir deponieren ein verdächtiges Paket und analysieren, ob und wie man sich dessen annimmt.
Wie werden denn diese Szenarios definiert?
Zu Beginn studieren wir zusammen mit dem Verantwortlichen die betroffenen Standorte, Gelände oder Räumlichkeiten, die zur Verfügung stehenden Sicherheitsdispositive sowie die Ziele des Kunden. Danach schlagen wir dem Kunden massgeschneiderte Szenarios vor. Dank unserer Erfahrung im Sicherheitsbereich und dank den Kompetenzen unserer Auditorinnen und Auditoren sind wir in der Lage, eine ganze Palette von Szenarios anzubieten. Je nach Zielen und Bedürfnissen des Sicherheitsbeauftragten können wir ihm die Daten und Zeitpunkte unserer Interventionen ankündigen – oder auch nicht.
Und wie läuft das dann konkret ab?
Nachdem die Szenarien angenommen worden sind, wird der Test geplant, der Auditor bereitet sich mit allen gesammelten Informationen vor und begibt sich zum betreffenden Objekt, um den Test durchzuführen. Er nimmt dazu eine andere Identität an, verkleidet sich vielleicht sogar und deckt nur wenn nötig auf, dass es sich um einen Test handelt. Er verfasst in der Folge einen vollständigen Rapport mit der Beschreibung des Ablaufs und der Interaktionen mit den involvierten Personen. Der Rapport kann mit Angaben des Kunden vervollständigt und mit ihm diskutiert werden. Von unserer Seite kann eine Bewertung hinzugefügt werden, etwa im Rahmen einer Testperiode, um eine Verbesserung zu dokumentieren.
Über welche Erfahrung verfügen denn eure Auditorinnen und Auditoren?
Alle sind seit vielen Jahren spezialisiert auf Safety & Security. Dank ihrer Erfahrung in diesem Bereich können Sie bei ihrem Rapport qualitativ hochwertige technische oder verhaltensbezogene Details einbringen.
Interesse?
Kontaktieren Sie uns.
Nadine Boillat freut sich darauf, Ihre Fragen zu beantworten.
Nadine Boillat
nadine.boillat@kuenzlerpartners.ch
M +41 78 949 81 07