Physical Assessments: Wege, in Unternehmen einzubrechen – und dies zu verhindern

Ein Secutorial von IT Security Consultant Christian Dölling aus dem Red Team der SySS

Ein Physical Assessment ist eine Überprüfung der physischen Sicherheit eines Betriebsgeländes und verfolgt das Ziel, Zugang zu Unternehmensräumlichkeiten zu erlangen. In einem zweiten Schritt soll meist noch ein vom Auftraggeber gestecktes, spezifisches Ziel erreicht werden, z. B. ein Laptop zu entwenden, Zugang zum Serverraum zu erlangen, die  Räumlichkeiten der Forschungsabteilung zu betreten o. Ä. Initial geht es also um diese Frage: Gelingt es einem Red Team – und damit potenziellen Angreifenden – in ein Gebäude einzubrechen? Und wenn ja: Welche Voraussetzungen haben dies ermöglicht und wie kann ein solcher Einbruch verhindert werden?

Typische Einfallstore zur Überwindung der Gebäudesicherheit

Einfallstore, die typischerweise genutzt werden, um die Gebäudesicherheit zu überwinden, sind mangelnde Awareness, mangelnde Sicherheitsvorkehrungen und Sicherheit, die nicht "gelebt" wird.

Zu mangelnder Awareness zählen:

  • Möglichkeit für Tailgating/Piggybacking: Ein Angreifer betritt zeitgleich mit bzw. kurz nach einem Mitarbeiter die Firma/Büroräume durch dieselbe Tür wie dieser Mitarbeiter – mit oder ohne dessen Wissen.
  • Übermäßige Hilfsbereitschaft: Der Angreiferin wird die Tür aufgehalten, weil sie z. B. etwas Schweres in den Händen trägt – oder ihr wird die Tür aus reiner Höflichkeit geöffnet.
  • Alleinlassen von Unbefugten: Ein Angreifer bittet unter einem Vorwand um Eintritt in die Räumlichkeiten. Dort wird er dann (vorübergehend) unbeaufsichtigt allein gelassen.
  • Gutgläubigkeit: Eine Angreiferin gibt sich als befugte Person aus, Mitarbeitende glauben ihr und lassen sie ohne Überprüfung gewähren.
  • Auch mangelnde Awareness Dritter (bspw. Handwerker, die in der Firma zu tun haben) kann die Sicherheit gefährden.

Zu mangelnden Sicherheitsvorkehrungen zählen:

  • Das vollständige Fehlen von Sicherheitsvorkehrungen
  • Drehkreuze, die nur hüfthoch sind und leicht überwunden werden können
  • Rauchereingänge ohne besondere Sicherung
  • Anfälligkeit für das sog. "Under-the-Door-Tool"
  • Billige Schlösser, die besonders anfällig für Lockpicking (Schlossknacken) sind

"Nicht gelebte“ Sicherheit bedeutet:

  • Mitarbeitende nutzen aus Bequemlichkeit den Besuchereingang, weil sie am Mitarbeitendeneingang ihre Ausweise vorzeigen müssten. Dies führt dazu, dass der Empfang eintretende Personen nicht mehr streng genug oder gar nicht mehr kontrolliert, weil es zur Gewohnheit geworden ist, dass Mitarbeitende das Gebäude durch den Besuchereingang betreten.
  • Das Konzept, dass innerhalb des Firmengeländes alle Mitarbeitenden einen Mitarbeitendenausweis und jeder Gast einen Gastausweis zu tragen hat, wird nicht umgesetzt. Deshalb fallen Angreifende ohne Ausweis nicht negativ auf.
  • Der Empfang kontrolliert grundsätzlich keine eintretenden Personen.

Best Practices zur Erhöhung der Gebäudesicherheit

Um die physische Sicherheit von Betriebsgeländen zu erhöhen und Angreifenden einen Einbruch so schwer wie möglich zu machen, werden folgende Best Practices empfohlen:

  • Regelmäßige Awareness-Schulungen und -Tests der Mitarbeitenden und auch der externen Dienstleister
  • Deckenhohe Personenvereinzelungsanlagen an allen Zugängen
  • Besucher sollten sich nur mit Gastausweis und/oder in Begleitung eines Mitarbeiters/einer Mitarbeiterin auf dem Firmengelände bewegen dürfen.
  • Mitarbeitende sollten auf dem Firmengelände ihren Ausweis stets sichtbar tragen. Außerhalb des Firmengeländes sollte er hingegen nicht sichtbar getragen werden, um Nachahmungen zu erschweren.
  • Verbauen von Schlössern mit hoher Sicherheitsstufe
  • Sicherheit im Unternehmen leben: kein Schleifenlassen von Sicherheitsvorgaben aus Bequemlichkeit und regelmäßige Überprüfung der Unternehmenskultur vor diesem Hintergrund

Wenn Sie Ihre Gebäudesicherheit testen lassen wollen oder Awareness-Schulungen für Ihre Mitarbeitenden erwägen, beraten wir Sie gerne.

Kontaktieren Sie uns jederzeit unter anfrage(at)syss.de.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer