Physical Assessments: Tests zur Überprüfung der physischen Standortsicherheit

IT-Sicherheitsbeauftragte, Verantwortliche aus den Bereichen Gebäudetechnik und Gebäudemanagement und viele andere wissen: Die Bedeutung der Gebäudesicherheit wächst stetig. Unbefugtes Eindringen ins Gebäude sowie unerlaubter Zugriff auf Daten sind unbedingt zu verhindern. Alle Möglichkeiten, unbefugt in ein Gebäude einzudringen, Zugriff auf Geräte zu nehmen und so Daten abzugreifen, untersucht die SySS im Rahmen eines Physical Assessments.

Warum Physical Assessments?

Bei jeder Firmenimmobilie besteht das Risiko, dass sich unberechtigte Personen Zugang zum Gelände, zum Gebäude bzw. zu Räumen und Einrichtungen verschaffen. Besonders lohnenswerte Ziele sind z. B. die Forschungs- und Entwicklungsbereiche eines Industrieunternehmens, aber auch IT-Räume, Archive oder Räumlichkeiten der Geschäftsführung. Dadurch können

• Sachwerte geschädigt oder entwendet werden,
• Manipulationen an technischen Systemen vorgenommen werden oder
• erleichterter Zugriff auf Daten durch den direkten Zugang zu Rechnersystemen, Kopierern, mobilen Geräten und nicht zuletzt zur Netzwerkinfrastruktur möglich sein.

Das Ziel eines Physical Assessments ist, die physische Standortsicherheit zu prüfen. Diese Form des Tests soll helfen, Bedrohungen zu erkennen, deren Eintrittswahrscheinlichkeit und Schadenspotenzial zu beurteilen und daraus das Risiko für die Organisation abzuschätzen. Neben den technischen Vorkehrungen werden z. B. auch die Zutritts-, Zutrittskontroll- und Überwachungsprozesse getestet. Ein Physical Assessment beantwortet wichtige sicherheitsrelevante Fragen wie:

• Decken die Konzepte für die physische Sicherheit alles Relevante ab? Gibt es Lücken?
• Funktionieren die technischen Vorkehrungen und sind diese ausreichend?
• Werden die vorgesehenen Abläufe gelebt?
• Gewährleisten die technischen und organisatorischen Maßnahmen einen ausreichenden Schutz personenbezogener Daten?

Wie läuft ein Physical Assessment ab?

Um diese Fragen zu beantworten, versucht der SySS-Consultant in mehreren Etappen, sich Zutritt zum Gebäude bzw. den vereinbarten Räumlichkeiten zu verschaffen. Voraus geht dem eine Recherche von öffentlich verfügbaren Daten über das zu prüfende Unternehmen/die zu testende Einrichtung.

Physical Assessment-Tests haben im Wesentlichen den folgenden Ablauf:

• Beschaffung von Informationen aus öffentlichen Quellen
• Beobachtung des Gebäudes, des Geländes und der Umgebung, Analyse der Zutrittsmöglichkeiten
• Identifikation von Zutrittskontrollen und Analyse auf ihre Wirksamkeit
• Beobachtung der Authentifizierungsmaßnahmen für Mitarbeitende und Gäste
• Suche nach Umgehungsmöglichkeiten der installierten Schutzmaßnahmen
• Suche nach Zugangsmöglichkeiten zu weiteren Sperrbereichen
• ggf. Suche nach Zugriffsmöglichkeiten auf das interne Netzwerk

Beschaffung von Informationen aus öffentlichen Quellen

Zunächst sammelt der SySS-Consultant unterschiedliche Informationen, die auch einem Angreifer zur Verfügung stehen. Dies sind überwiegend Informationen aus dem Internet, aber auch eigene Beobachtungen u. Ä. Eine nahezu unerschöpfliche öffentliche Informationsquelle sind Job- und Karriereportale wie XING oder LinkedIn. Die Mehrheit der Menschen gibt dort beispielsweise ihren Arbeitgeber und ihr Aufgabengebiet im entsprechenden Unternehmen an. Manchmal hat der SySS-Consultant nicht mehr zu tun, als sich telefonisch als Mitarbeitender auszugeben, der vergessen hätte, einen Besucher für ein Meeting anzumelden, um so seinem SySS-Kollegen Zutritt zum Gebäude zu verschaffen. Oder aber er nutzt den auf XING recherchierten Kontakt, um sich im Zweifelsfall auf einen Termin mit ihm oder ihr berufen zu können, z. B. wenn der SySS-Consultant im Gebäude angesprochen wird.

Beobachtung des Gebäudes, des Geländes und der Umgebung, Analyse der Zutrittsmöglichkeiten

Flankierend zur Anwendung dieses Wissens müssen zunächst Zutrittsmöglichkeiten zum Gebäude ermittelt werden. In einer ersten Begehung des umgrenzenden Geländes beobachtet der SySS-Consultant die Zutrittsmöglichkeiten zum Gebäude, aber auch das Verhalten der Mitarbeitenden. Gehen beispielweise größere Gruppen gemeinsam zum Rauchen oder in die Mittagspause, kann der SySS-Consultant versuchen, sich unbemerkt dieser Gruppe anzuschließen.

Uneinsichtige Türen, Nebeneingänge, Lieferanteneingänge, Zufahrten für Kraftfahrzeuge, Garagen u. Ä. sind Geschenke für die SySS-Consultants, da sie in der Regel schlechter überwacht sind. Stark frequentierte Eingänge dagegen eignen sich für unbefugte Zutrittsversuche dahingehend, dass sie anfällig für Tailgating sind. (Tailgating ist eine Form des Social Engineering, bei dem jemand, der nicht berechtigt ist, einen bestimmten Bereich zu betreten – z. B. gesichert durch eine RFID-Karte –, jemandem mit legitimen Berechtigungen ohne dessen Wissen folgt und somit unberechtigten Zutritt erlangt.) Während der Observation identifizieren die SySS-Consultants nicht nur potenzielle Eingänge zu den Gebäuden, sondern nach Möglichkeit auch das Schema der Mitarbeiterausweise, sofern diese offen getragen werden. Bei öffentlichen Einrichtungen kommt in der Regel eine Besucheranmeldung hinzu. Hier verschaffen sich die Consultants einen Überblick über die entsprechenden Abläufe und leiten mögliche Zutrittsszenarien daraus ab.

Identifikation von Zutrittskontrollen und Analyse auf ihre Wirksamkeit

Entscheidend für ein Physical Assessment sind die Zutrittskontrollen. Lässt die Einrichtung mehrere Personen den Eingang passieren oder setzt das Unternehmen z. B. Personenvereinzelungsschleusen ein, die sicherstellen, dass eine Authentifizierung über die Zugangskarte erzwungen wird? Die Analyse der Wirksamkeit von Zutrittskontrollen richtet sich u. a. auf Folgendes: Wie einsehbar sind die Zugänge ins Gebäude? Wann ist der Empfang/die Wache besetzt? Mit wie viel Personal ist der Empfang/die Wache besetzt?

Beobachtung der Authentifizierungsmaßnahmen für Mitarbeitende und Gäste

Häufig ist der Zutritt zu einem Firmengebäude an bestimmte Authentifizierungsmaßnahmen gebunden. Zu ermitteln ist also: Müssen Ausweise vorgezeigt werden und wenn ja, wie häufig und an welchen Stellen? Am ersten Tag eines Physical Assessments machen die SySS-Consultants in der Regel unbemerkt mehrere Fotos von unterschiedlichen Mitarbeiterausweisen und erstellen dann für sich selbst Ausweise, die in Art und Design den Originalausweisen nachempfunden sind. Diese Ausweiskopien verfügen meist nicht über technische Funktionen. Werden Mitarbeiterausweise offen sichtbar getragen, zeigt die Erfahrung der SySS, dass ein optisch identisch aussehender, offen getragener Ausweis in vielen Fällen für ein Vertrauensverhältnis zu anderen Mitarbeitenden und zum Wachpersonal ausreicht – den SySS-Consultants werden dann sogar freundlich die Türen aufgehalten.

Werden Ausweise nicht offen getragen, gehört nicht selten ein einfaches LAN-Kabel zur Ausstattung des SySS-Consultants. Auf die Frage „Wer sind Sie?“ ist die Antwort „Ich bin von der IT und soll in einem der Meetingräume diese Kabel austauschen.“ in aller Regel eine akzeptierte Antwort. Auch das Vorgeben ungeplanter Wartungsarbeiten oder das Fingieren von Dienstleistungstätigkeiten aller Art sind mögliche Tricks, um Authentifizierungsmaßnahmen mit großer Aussicht auf Erfolg zu umgehen.

Suche nach Umgehungsmöglichkeiten der installierten Schutzmaßnahmen

Die niedrigschwelligste Möglichkeit, sich unbefugt Zugang zum Gebäude zu verschaffen, ist Tailgating. Beispielsweise könnte ein SySS-Consultant versuchen, sich einem Mitarbeiter anzuschließen, der gerade die Tür geöffnet hat. Sind Vereinzelungsschleusen wie z. B. Drehkreuze vorhanden und gilt es, diese zu überwinden, stellt sich die Frage: Welche Höhe haben sie? Können sie übersprungen werden? Kann man unter ihnen hindurchschlüpfen? Und wenn ja: Ist die Wache ablenkbar?

Im einfachsten Fall lässt der SySS-Consultant unmittelbar vor dem Drehkreuz seinen Ausweis fallen und robbt beim Aufheben unter dem Drehkreuz hindurch. Bei den Tests können jedoch auch Social Engineering-Methoden zum Einsatz kommen, z. B. zur Ablenkung des Wachpersonals. Die Grenze zieht die SySS bei der Durchführung der Tests immer spätestens bei solchen Methoden, die darauf abzielen, Mitarbeitende unter besonderen Stress zu setzen, Notsituationen vorzutäuschen oder Ähnliches. Das Ziel, eine Wache abzulenken, würde also niemals um den Preis erreicht werden, dass man per Anruf vorgibt, deren Kind sei ins Krankenhaus eingeliefert worden und sie solle schnellstmöglich in die örtliche Notaufnahme kommen. Ausgeschlossen sind auch Tricks wie bspw. ein Cocktail aus Mentos und Cola, mit dem leicht Schaum vor dem Mund simuliert werden und die Wache zum Verlassen ihres Platzes verleitet werden kann, in der Absicht, erste Hilfe zu leisten. Die Methoden bei Physical Assessment-Tests stehen sämtlich im Einklang mit den SySS-Ethikgrundsätzen für Social Engineering.

Suche nach Zugangsmöglichkeiten zu weiteren Sperrbereichen

Ist der SySS-Consultant erfolgreich ins Gebäude vorgedrungen, steht er recht bald wieder vor verschlossenen Türen. Sofern die Tür nicht mechanisch verschlossen ist, sondern lediglich zufällt und bspw. durch RFID-Karten gesichert ist, kann der Zutritt über diese Tür meist durch einen Bypass des Schlosses erfolgen. Das Hilfsmittel dazu ist das „Under-the-Door-Tool“. Einem Lasso vergleichbar, wird ein Draht bzw. eine Schnur mit einer Schlaufe am Ende unter der Tür hindurch innen in die Klinke eingehängt. Zieht der SySS-Consultant nun von außen, kann er die Klinke herunterdrücken und so die Türe öffnen. Ca. 1-2 unbeobachtete Minuten sind für einen erfolgreichen Bypass die Voraussetzung. Wenn es ganz schnell gehen muss, funktioniert auch heute noch der klassische „Kreditkarten-Trick“, um den Türbolzen zurückzudrücken und so mühelos Zugang zu weiteren Bereichen zu erhalten.

Suche nach Zugriffsmöglichkeiten auf das interne Netzwerk

Ist ein Physical Assessment in einen Red Teaming-Test eingebunden bzw. ist dies explizit beauftragt, wird auch der Versuch unternommen, sensible Unternehmensdaten zu stehlen. Hierzu ist die Platzierung von Minicomputern, in der Regel ein Raspberry Pi, ein probates Mittel. Mit ihnen kann auf das interne Netzwerk zugegriffen und Daten können entwendet werden. Erforderlich dafür ist lediglich der Zugang zu geeigneten Netzwerkdosen. Zu Physical Assessments gehört in solchen Fällen häufig noch die Installation von Hardware-Keyloggern, die per WLAN über den Minicomputer das Auslesen der Tastatureingaben des jeweiligen Arbeitsplatzes ermöglichen, sobald die Mitarbeitenden wieder im Büro sind. Mit der Möglichkeit, Kennwörter und andere sensible oder kritische Informationen mitzulesen, ist ein massiver Datendiebstahl dann ein Kinderspiel.

Welche Erkenntnisse kann ein Physical Assessment liefern?

Die Physical Assessments der SySS identifizieren System- und Konfigurationsschwächen von Zutrittskontrollsystemen, decken technische und organisatorische Prozessfehler auf und geben Auskunft über die Awareness von Mitarbeitenden zur IT- und Gebäudesicherheit. Die SySS spricht Empfehlungen aus, mit deren Umsetzung höhere Sicherheitsstandards erreicht werden können. Dies ist im technischen Bereich z. B. die Einrichtung von Sensorpassagen, bei der Prozessoptimierung sind es z. B. angemessene Sperr- und Meldefristen. In Sachen Awareness empfiehlt die SySS passende Schulungen, die die Sensibilisierung der Mitarbeitenden für das Thema Sicherheit zum Ziel haben – und zwar vom Sperren des PCs und dem Abschließen der Bürotür bis hin zum Umgang mit Phishing-Nachrichten und anderen Social Engineering-Techniken wie Tailgating bzw. Piggybacking.

Übrigens: Ein Physical Assessment ist oft auch Bestandteil von Red Teaming-Tests nach TIBER-DE, wie sie seit 2019 von der Deutschen Bundesbank für Banken, Versicherungen, Finanzmarktinfrastrukturen und deren Dienstleister empfohlen werden.

Und zum Schluss: Bei einem der wenigen Male, als die SySS aufflog, wurde ein Mitarbeiter stutzig – weil ihn das Verhalten der SySS-Consultants an seine eigene frühere Tätigkeit als Tester bei Physical Assessments erinnerte.