Hallo Leute,
bis zum 31.12.2018 kommt bei uns in Deutschland das Nationale Bewacherregister. In dem Register werden alle Unternehmer und Bewachungspersonal erfasst sein. In dem Register wird z.B. stehen, ob jemand die Unterrichtung oder die Sachkunde hat bzw. über eine Qualifikation als Bewacher verfügt. Zitat aus dem 1. Informationsbrief: "Wesentliche Nutzer des Bewacherregisters werden die §34a-Behörden und Gefahrenabwehrbehörden sein."
Ich bin der Meinung, dass hier ein großes Problem auf uns zukommt, denn ich bin der Meinung, dass die Sicherheitsbranche vor allem dann effektiv arbeiten kann, wenn eben nicht alle Details bekannt sind, Stichwort "security by obscurity". In der IT funktioniert das Prinzip zwar nicht, in der realen Welt ist er aber ein zusätzlicher Sicherheitsfaktor.
Ich möchte hier mal ein Beispiel zeigen, den wir gerade bearbeiten:
Ein Bewachungsunternehmen wird eingesetzt, um ein See-Fest eines Dorfes zu bewachen. Gegen Ende der Veranstaltung tauchen Personen auf, die als Laufburschen in der Rocker-Szene bekannt sind. Bei Veranstaltungsende mischen diese Leute den Sicherheitsdienst auf - auf beiden Seiten kommt es zu Verletzungen. Unter anderem bekommt der Chef der Bande eins auf die Nase. Noch vor Ort verlangt er vom Sicherheitsdienst die Auskunft denjenigen zu benennen, der ihm auf die Nase geschlagen hat "um ihn zu töten".
In den kommenden Tagen und Wochen werden einige Mitarbeiter des Sicherheitsdienstes unter deren privater Wohnanschrift aufgesucht. Sie werden bedroht und einige sogar zusammengeschlagen. Frage: Woher haben die Leute die privaten Daten?
Es stellte sich heraus, dass die Daten an drei Orten vorhanden sind: Auf den Rechnern der Firma, beim Steuerberater und bei der Stadt. Wir selbst haben die IT-Forensische Untersuchung der Rechner der Firma und des Steuerberaters übernommen, aber nichts gefunden. Blieb nur eine Stelle übrig. Auf dem kurzen Dienstweg haben wir aber erfahren, dass sich die Daten im städtischen IT-Netz befinden und ALLE Rechner in dem Netz darauf theoretisch Zugriff haben können.
Wenn das Register nun eingeführt wird, dann gibt es noch mehr potentielle Angriffsstellungen auf die Daten. Selbst im Bereich der Veranstaltungssicherheit ist dies ein Problem. Wir selbst sind aber im Bereich von Geld- und Werttransporten tätig. Und hier ist das Risiko besonders hoch, denn wenn ein Angreifer weiß, dass er bei einem Angriff mehrere Millionen Gewinn machen kann, hat er genug Spielraum um an die Daten der Mitarbeiter zu kommen und diese zu bestechen bzw. auch zu bedrohen.