Einblicke in die praktische Umsetzung des physischen Pentesting: Hinter verschlossenen Türen
Nicht nur digitale Angriffe, sondern auch physische Bedrohungen wie Einbruch, Diebstahl oder Sabotage stellen eine Gefahr für Unternehmen dar. Physische Penetrationstests decken diese Risiken auf und machen deutlich, wie überraschend einfach es sein kann, in Unternehmen einzudringen. Unser Autor erläutert, was für eine objektive und faktenbasierte physische Gefahrenabwehr notwendig ist und zeigt anschließend, wie ein szenariobasierter physischer Penetrationstest im Detail abläuft.
Physische Penetrationstests (Pentests) simulieren gezielte Angriffe auf die Sicherheit einer Organisation. Dabei versuchen speziell ausgebildete Experten, Schwachstellen in Gebäuden, Anlagen oder zugangsbeschränkten Bereichen aufzudecken. Im Rahmen eines solchen bevorstehenden Pentests spielt eine umfassende Bedrohungsanalyse eine zentrale Rolle. Sie zielt darauf ab, sicherheitskritische Rollen und physische Einheiten zu identifizieren und zu klassifizieren. Kernstück dieses Prozesses ist die sogenannte Bedrohungsmatrix, ein Instrument zur systematischen
Erfassung und Bewertung von Bedrohungen im betrieblichen Umfeld. Zu Beginn dieses anspruchsvollen Unterfangens steht die präzise Erhebung aller relevanten Rollen und physischen Einheiten (Targeting), sei es intern oder extern.
Diese Akteure werden potenziellen Bedrohungsszenarien zugeordnet, um eine detaillierte Einschätzung der Risiken zu ermöglichen. Ein weiterer Schritt in diesem komplexen Prozess ist die Zusammenführung der identifizierten Einheiten. Hierbei werden Rollen und Einheiten mit ähnlichen Aufgabenprofilen und vergleichbaren Schwachstellen gruppiert (Cluster). Diese Clusterbildung erleichtert das Management von Bedrohungen, indem sie Einheiten mit gleichartigen Risikoprofilen zusammenfasst.
Auf Basis dieser Cluster erfolgt dann eine fundierte Bewertung ihrer Kritikalität (Assessment). Der Pentester analysiert, wie fragil, verwundbar und bedeutend jeder Cluster für die Sicherheit der Gesamtorganisation ist. Diese Einschätzungen fließen in eine Risikobewertung ein, die es ermöglicht, die kumulierten Gefahrenpotenziale (Mapping) im Gesamtkontext zu verstehen und darauf basierende Entscheidungen zu treffen (clusterbasierte Entscheidungsfindung).
Der nächste logische Schritt ist die Entwicklung spezifischer Maßnahmen (Verteidigungskonzept), die auf die identifizierten Bedrohungen abgestimmt sind. Diese reichen von proaktiven über reaktive bis hin zu korrektiven Handlungen, die speziell auf die Sicherheitsanforderungen des jeweiligen Clusters zugeschnitten sind. Für jede erkannte Bedrohung definiert man maßgeschneiderte Verteidigungsstrategien (Integration und Priorisierung), die in einem dynamischen Resilienzplan (RP) zusammengeführt werden.
Der RP dient nicht nur der praktischen Umsetzung der Schutzmaßnahmen, sondern ist auch flexibel genug, um auf sich verändernde Bedrohungslagen zu reagieren und die Ressourcennutzung zu optimieren. Er ermöglicht die Einführung geeigneter und verhältnismäßiger technischer, personeller und organisatorischer Maßnahmen für die jeweilige Einrichtung.
Derartige Maßnahmen können beispielsweise die Errichtung von Barrieren, Zäunen und Sperren, der Einsatz von Detektionsgeräten, wie Kameraüberwachung mithilfe künstlicher Intelligenz (KI), Zutrittskontrollen, Identität- und Sicherheitsüberprüfungen, aber auch das Vorhalten von Redundanzen und die Diversifizierung von Lieferketten sein. Die Organisationen sind damit in der Lage, ihre spezifischen Schutzmaßnahmen an den faktischen Risikobewertungen und den eigenen Mindestvorgaben auszurichten. Bei der Sicherung kann die Organisation nun eine Abwägung zwischen Wirtschaftlichkeit und Risikoeintrittswahrscheinlichkeit vornehmen, die der individuellen Gefahrenrealität entspricht.
Insgesamt bietet dieses strukturierte Vorgehen ein methodisches Fundament für das physische Pentesting, indem Bedrohungen präzise erfasst und Maßnahmen kategorisiert und ausgeführt werden. So kann die Prüfungsentscheidung ebenfalls nach Faktenlage getroffen werden und nicht nach subjektiven persönlichen Empfindungen. Das folgende Beispiel verdeutlicht, warum eine willkürliche Entscheidung darüber, was physisch gepentestet werden soll, nicht zielführend ist:
Beispiel: Das scheinbar sichere RZ
Ein Unternehmen betreibt ein hochmodernes Rechenzentrum (RZ), das nach dem neuesten Stand der Technik gesichert ist. Es verfügt über biometrische Zutrittskontrollen, Videoüberwachung und eine 24/7-Bewachung durch Sicherheitsdienste. Das Management ist davon überzeugt, dass das Rechenzentrum praktisch uneinnehmbar ist, und beschließt, sich bei einem bevorstehenden physischen Pentest nur auf dieses Rechenzentrum zu konzentrieren, da es als der kritischste Bereich angesehen wird. In den zentralen Gebäudeeinheiten des Unternehmens, die nicht in den Test einbezogen werden sollen, befinden sich jedoch sogenannte Patchfelder.
Diese spielen eine entscheidende Rolle bei der Vernetzung mehrerer Standorte und der Weiterleitung von Datenverkehr zwischen verschiedenen Bereichen des Unternehmens, einschließlich des Rechenzentrums. Obwohl das Rechenzentrum als „Hochsicherheitsbereich“ sachdienlich gesichert ist, weist das zentrale Bürogebäude eine Schwachstelle auf: Die Vereinzelungsanlage, die den Zugang
zum Gebäude regulieren soll, ist veraltet und leicht zu überwinden. Über einen einfachen Social-Engineering-Trick, dem Tailgating, bei dem eine unbefugte Person einer berechtigten Person unauffällig durch eine Tür folgt, können Angreifer leicht in das Bürogebäude gelangen.
Einmal darin angekommen, haben sie Zugriff auf die Patchfelder. Diese ermöglichen es, den Datenverkehr zwischen verschiedenen Unternehmensstandorten zu steuern und bieten somit eine direkte Verbindung zur Systeminfrastruktur des Rechenzentrums. Mit einer kompromittierten Hardware, wie beispielsweise einem manipulierten Netzwerkgerät oder einem modifizierten Kabel, können die Angreifer diese Verbindungen ausnutzen, um über die Patch-Channels einen versteckten und verteilten Angriff auf das Rechenzentrum durchzuführen. Das Beispiel zeigt sehr anschaulich, wie eine scheinbar sichere Infrastruktur durch eine Vernachlässigung angrenzender, weniger gesicherter Bereiche gefährdet werden kann.
Der Angriff über das Patchfeld könnte es den Angreifern ermöglichen, die hochsicheren Systeme im RZ zu infiltrieren, ohne dass sie die strengen physischen Sicherheitsmaßnahmen des Rechenzentrums selbst direkt durchbrechen müssen. Das Rechenzentrum, das eigentlich als uneinnehmbar galt, würde durch eine Schwachstelle in einem weniger gesicherten Bereich des Unternehmensnetzwerks kompromittiert werden.
Dieses Szenario verdeutlicht, warum es entscheidend ist, nicht nur isoliert die kritischsten Bereiche eines Unternehmens zu betrachten, sondern die gesamte Netzwerk- und Sicherheitsinfrastruktur als ein zusammenhängendes System zu verstehen. Schwachstellen in scheinbar weniger kritischen Bereichen wie Bürogebäuden mit unzureichenden Zugangskontrollen können zu einer potenziellen Bedrohung für die sichersten Teile des Unternehmens wie das Rechenzentrum werden. Eine umfassende Bedrohungsmatrix, die sowohl das Rechenzentrum als auch die damit verbundenen, aber weniger gesicherten Einheiten einbezieht, ist daher unerlässlich, um alle möglichen Angriffspfade zu identifizieren und zu schließen. Nehmen wir nun an, dass man auf Basis einer ausführlichen Gefahrenbetrachtung den Gedanken entwickelt, ein physisches Pentesting auf eine bestimmte Entität oder auch auf ein Mischgebiet durchzuführen.
Vorgespräch
Ziel des physischen Pentesting ist es, Schwachstellen im Sicherheitskonzept einer Organisation aufzudecken und die Wirksamkeit bestehender Resilienzmaßnahmen zu bewerten. Der Test dient als messbarer Indikator für die Widerstandsfähigkeit einer Organisation gegenüber physischen und personenbezogenen Angriffen.
Zur Vorbereitung eines Pentests führen die Pentester ein Vorgespräch mit ihren Auftraggebern, um die zu simulierenden Szenarien zu besprechen. Ziel ist es, sowohl die extrinsischen als auch die intrinsischen Motive des Auftraggebers zu verstehen und zu klären, ob ein Penetrationstest überhaupt das geeignete Instrument ist.
Dabei können verschiedene Motive eine Rolle spielen, zum Beispiel Beschaffungskriminalität, Industriespionage oder gezielte Sabotageakte durch Nationalstaaten. Bei vielen kleinen und mittleren Unternehmen sind solche Motive jedoch seltener, weshalb es sinnvoll sein kann, zunächst ein umfassendes Sicherheitskonzept zu entwickeln, anstatt sofort einen vollständigen Penetrationstest durchzuführen.
Der Pentest folgt einer klaren Struktur, die in mehrere Phasen unterteilt ist. Zunächst werden die grundlegenden Rahmenbedingungen in der Feinplanung festgelegt. Wenn Motivation, Zielsetzung und Erwartungen in Bezug auf die Ergebnisse klar definiert sind, kann das Targeting genauer erfolgen. Das Targeting bestimmt schließlich, welche Aspekte des Unternehmens durch den Penetrationstest auf Herz und Nieren geprüft werden sollen.
Ein Beispielauftrag könnte darin bestehen, einen Hardware-Keylogger in das Unternehmen einzuschleusen und an verschiedenen Stationen anzubringen, zum Beispiel an den IT-Admin-Workstations und der Geschäftsführungsstation.
Vorbereitung und Erkundung
In dieser Phase beginnen die Pentester mit der sogenannten Vorbereitungsphase, die in zwei zusammenhängende Unterphasen unterteilt ist: Prävorbereitung und Erkundung. Der Einsatz startet typischerweise mit der Informationsbeschaffung durch eine Kombination aus logischen Methoden wie Social Media Intelligence (SOCMINT) und Open Source Intelligence (OSINT) sowie durch physische Erkundungen vor Ort.
Zunächst sammelt man Daten zum Beispiel zur Gebäudestruktur, zum Personal, zu Lieferanten, Telefonnummern, Kontakten und zu bestehenden Beziehungen zwischen den Personen. Ein zentraler Bestandteil des Einsatzes ist somit die verdeckte Aufklärung vor Ort. In dieser Phase überwacht der Pentester das „Objekt“ mit höchster Diskretion. Oft bedeutet das, tagelang in einem unauffälligen Fahrzeug positioniert zu sein, ausgestattet mit Fernglas und Kameraausrüstung.
Aus sicherer Entfernung macht er präzise Beobachtungen und entscheidende Aufnahmen: Wie gelangen Lieferanten auf das Gelände? Wer sind die externen Dienstleister wie Haustechniker oder Reinigungsunternehmen, die regelmäßig am Standort erscheinen? Wie erfolgt der Zutritt für Besucher zum Gebäude? Wohin gehen die Mitarbeiter während ihrer Mittagspause – und gibt es Möglichkeiten, sich ihnen diskret anzuschließen?
Jede dieser sorgfältigen Beobachtungen liefert essenzielle Informationen, die für die erfolgreiche Durchführung des Penetrationstests von entscheidender Bedeutung sind.
Angriffsplanung
Auf Grundlage der gesammelten Informationen werden sogenannte „Courses of Action“ (COA) definiert. Diese spezifizieren und verfeinern die Angriffsszenarien und stellen die Penetrationspläne dar, die speziell für den Auftraggeber erarbeitet werden. In der Regel wird dabei nicht nur ein COA entwickelt, sondern mehrere, um die Operationseffizienz und die Erfolgschancen zu erhöhen. Die verschiedenen COAs werden definiert und klassifiziert. In jedem COA werden entgegen der allgemeinen Erwartung mindestens drei bis sechs Pentester im Team eingesetzt, die während der Ausführung unterschiedliche Aufgaben übernehmen. Dazu gehört auch der Pentest-Leiter, der in ständiger Verbindung mit dem Auftraggeber steht, und sein Team, das die Vor-Ort-Simulationen durchführt, unterstützt.
Angriffssimulation
In unserem fiktiven Fall wählen wir als erstes COA den Zutritt über den Haupteingang, indem wir uns als Telekommunikationsmitarbeiter ausgeben. Aus unseren Erkundungen wissen wir, wie der Werkschutz agiert und welche Ausrüstung für einen Telekommunikationsmitarbeiter erforderlich ist: ein bestimmter Ausweis, ein Tablet und eine Jacke. Mit einer bestimmten prägnanten Farbe. Wir denken uns nun unsere Geschichte aus.
Pentester 1 übernimmt die Rolle eines Telekommunikationsmitarbeiters, der angeblich heute Netzwerkkomponenten im Gebäude überprüfen soll. Ein weiterer Pentester (Pentester 2) verkleidet sich als Mitarbeiter des eigenen Werkschutzes, um die Täuschung weiter zu perfektionieren.
Während der gesamten Operation bleibt der Pentest-Leiter in einem verdeckten Beobachtungsposten, der sowohl von ihm selbst als auch vom Auftraggeber genutzt werden kann. Auf diese Weise kann der Auftraggeber den simulierten Angriff in Echtzeit verfolgen und den Fortschritt live miterleben. Pentester 1 nähert sich nun dem Werkschutzmitarbeiter. In diesem Moment spielen die psychologischen Konzepte von Daniel Kahneman (1934–2024) eine wesentliche Rolle: Kahneman unterscheidet zwischen zwei Denksystemen, die unser Verhalten beeinflussen: System 1 und System 2.
System 1 ist das schnelle, automatische und intuitive Denken, das auf schnellen Entscheidungen basiert. Es ermöglicht uns, in Sekundenschnelle auf vertraute Reize zu reagieren, indem es bekannte Muster erkennt und sofortige Urteile fällt. In diesem Fall wird System 1 aktiviert, wenn der Werkschutzmitarbeiter Pentester 1 sieht. Das System 1 erkennt die Farbe und das Equipment des Pentesters, welche auf einen bestimmten Telekommunikationsmitarbeiter hindeuten. Diese schnelle Erkennung führt zu der sofortigen Annahme, dass der Pentester tatsächlich eine legitime Person ist.
Die Herausforderung besteht jedoch darin, dass Pentester 1 ohne offiziellen Termin ins Unternehmen gelangen soll. Er zeigt dem Werk schutzmitarbeiter eine angebliche Terminierung, die vor zwei Tagen stattgefunden hat. Dieser ist darüber jedoch nicht informiert.
In diesem Moment tritt Pentester 2 in Erscheinung, der sich ebenfalls als Werkschutzmitarbeiter verkleidet hat. Dank seiner umfassenden Recherche durch OSINT kennt er sich detailliert mit den Namen, Funktionen und Rollen innerhalb der Organisation aus. Er eilt um die Ecke und ruft laut zu Pentester 1: „Ja, da sind Sie ja.“ Dann wendet er sich direkt an den echten Werkschutzmitarbeiter und sagt: „Es tut mir leid, mir ist ein Fehler unterlaufen. Ich habe den Termin nicht eingetragen.
Ich werde jetzt übernehmen und den Herrn durch das Werksgelände begleiten.“ Hier kommen erneut die psychologischen Prinzipien von Daniel Kahneman ins Spiel. Während System 1 des Werkschutzmitarbeiters bei der ersten Begegnung schnell auf die offensichtlichen Merkmale des angeblichen Telekommunikationsmitarbeiters reagierte, beeinflusst nun System 1 auch seine Reaktion auf Pentester 2. Die unerwartete, aber scheinbar autoritative Intervention von Pentester 2, der sich als Kollege des Werkschutzes ausgibt und die nötigen Details zur Organisation parat hat, verstärkt den Eindruck von Legitimität.
System 1 des Werkschutzmitarbeiters, das schnelle und intuitive Urteilsvermögen, wird durch die unerwartete und „vertrauliche“ Intervention von Pentester 2 weiter aktiviert. Er nimmt die Erklärung von Pentester 2 als glaubwürdig an, da diese mit den von ihm erkannten Mustern und Informationen übereinstimmt. Dadurch wird die Notwendigkeit einer tiefergehenden Überprüfung, die durch System 2 – das langsame-analytische System – angestoßen werden könnte, weiter reduziert.
Infolgedessen gibt der Werkschutzmitarbeiter die Verantwortung ab und gewährt den Pentestern 1 und 2 den Zutritt zum Werksgelände. Diese Taktik macht sich die Neigung des menschlichen Gehirns zunutze, sich auf schnelle, intuitive Entscheidungen zu verlassen und die Autorität und Vertrautheit als Indikatoren für die Richtigkeit der Situation zu akzeptieren. Zudem wird hier ein raffinierter psychologischer Trick angewandt, um die Verantwortung von einer angeblich legitimen Person auf eine andere „vermeintlich legitime“ Person zu übertragen.
Indem Pentester 2 in der Rolle eines weiteren, angeblich zuständigen Werkschutzmitarbeiters auftritt, wird das Verantwortungsgefühl beim ursprünglichen Werkschutzmitarbeiter umgeleitet. Dieser fühlt sich nicht mehr verantwortlich, da er nun glaubt, dass ein anderer Kollege die Verantwortung übernommen hat. Daher gewährt er beiden Pentestern Zugang zum Gebäude, da er sich durch die vermeintliche Autorität des neuen „Kollegen“ entlastet fühlt.
Die Penetrationstester schlüpfen in die Rolle unauffälliger Eindringlinge mit glaubwürdigen Identitäten, um sich unbemerkt Zugang zu verschaffen. Der Erfolg des Tests hängt davon ab, ob sie es schaffen, unentdeckt in sensible Bereiche vorzudringen und die festgelegten Ziele zu erreichen.
Im Vorzimmer der Geschäftsführung übernimmt der angebliche Werkschutzmitarbeiter (Pentester 2) das Gespräch mit dem Sekretariat. Er erklärt, dass die Hardware im Büro der Geschäftsführung überprüft werden müsse und dass er persönlich den Telekom-Mitarbeiter überwachen und schließlich hinausbegleiten werde. Hier wird erneut das Prinzip der „Verantwortungsübertragung“ genutzt: Pentester 2 erwähnt den Namen der zuständigen Personen wie IT-Leiter und Sicherheitsleiter, die er durch OSINT recherchiert hat, und nutzt zusätzlich so den psychologischen Aspekt der Autorität.
Uniformierten und autoritären Personen wird oft eher geglaubt, ohne dass ihre Anforderungen hinterfragt werden. Die Sekretärin bietet somit ein Zeitfenster während der Mittagspause an, in dem der Telekom-Mitarbeiter seine Aufgaben erledigen kann, ohne die Geschäftsführung bei ihrer Arbeit zu stören. Am Zielort angekommen, wird ein USB-Stick ohne Inhalt dezent angebracht, und ein Beweisfoto wird gemacht. Anschließend erfolgt der subtile Abgang. Unser COA ist damit erfolgreich beendet.
Abschluss
Je nach den im Vorgespräch getroffenen Vereinbarungen können nach einem erfolgreichen COA zwei unterschiedliche Vorgehensweisen definiert und umgesetzt werden. Wurde im Vorfeld eine sofortige Aufklärung und ein Live-Training vereinbart, nehmen die Pentester nach Abschluss des Tests umgehend Kontakt zu den betroffenen Mitarbeitern auf, um die Situation ausführlich zu erläutern. Dabei wird besonderer Wert auf Sensibilität und Vertraulichkeit gelegt, damit niemand bloßgestellt wird.
Sollte hingegen kein Live-Training erforderlich sein, werden die Ergebnisse nach jedem Einsatz schriftlich zusammengefasst und in einem detaillierten Bericht konsolidiert. Auch hier wird auf eine vorurteilsfreie und respektvolle Kommunikation geachtet. Der Bericht vermittelt den Mitarbeitern ein klares Bild von den durchgeführten Tests und bietet ihnen die Möglichkeit, daraus wertvolle Erkenntnisse zu gewinnen und ihre Sicherheitsvorkehrungen entsprechend zu verbessern. Der Abschluss des physischen Pentestings erfolgt schließlich mit der Übergabe der Ergebnisse, einer umfassenden Abschlusspräsentation und der Darstellung von Verbesserungsvorschlägen und Maßnahmen.
Fazit
Physische Penetrationstests sind eine wichtige Methode zur Identifizierung und Behebung von Sicherheitslücken innerhalb einer Organisation. Durch die detaillierte Analyse und systematische Durchführung dieser Tests können Unternehmen nicht nur potenzielle Schwachstellen aufdecken, sondern auch ihre Resilienz gegenüber realen Bedrohungen stärken. Die in diesem Artikel dargestellten Phasen eines physischen Pentests, von der präzisen Zielbestimmung und umfassenden Informationssammlung über die ausgeklügelte Planung und Simulation von Angriffsszenarien bis hin zur sorgfältigen Nachbereitung und Ergebnisanalyse, verdeutlichen die Komplexität und Wichtigkeit dieses Prozesses.
Die Basis eines erfolgreichen physischen Pentests ist eine gründliche Bedrohungsanalyse, die es ermöglicht, kritische Rollen und physische Einheiten zu identifizieren und zu bewerten. Darüber hinaus ist es die wichtig, dass ein solcher Test nicht nur isolierte Bereiche betrachtet, sondern die gesamte Sicherheitsinfrastruktur als zusammenhängendes System versteht und testet.
Die methodische Durchführung eines physischen Pentests, beginnend mit der sorgfältigen Vorbereitung und Informationsbeschaffung bis hin zur gezielten Angriffssimulation, ist entscheidend für die Effektivität der Sicherheitsüberprüfung. Psychologische Aspekte und Täuschungstechniken spielen dabei eine zentrale Rolle, da sie die Fähigkeit der Tester beeinflussen, Schwachstellen im Sicherheitsbewusstsein und -management der Zielorganisation aufzudecken.
Abschließend ist festzuhalten, dass der physische Pentest weit mehr ist als ein rein umgebungsbezogenes und personenzentriertes Prüfverfahren. Er bietet wertvolle Einblicke in die tatsächliche Sicherheitslage einer Organisation und ermöglicht es, Sicherheitsmaßnahmen gezielt zu verbessern und an reale Bedrohungen anzupassen. Es ist jedoch wichtig zu beachten, dass die Ergebnisse eines physischen Pentests tiefgreifende Auswirkungen auf die grundlegende Sicherheitskultur und die bestehenden Verfahren innerhalb eines Unternehmens haben können.
Die Identifizierung von Schwachstellen und Sicherheitslücken kann wesentliche Änderungen in der Sicherheitsstrategie und -kultur erfordern, die bis hin zur „DNA“ des Unternehmens reichen können. Vor der Beauftragung eines physischen Pentests sollte daher sorgfältig abgewogen werden, ob die Organisation bereit ist, die identifizierten Lücken, Schwachstellen und notwendigen Anpassungen umfassend zu verstehen, anzugehen und zu schließen.
Ein erfolgreicher Pentest setzt die Bereitschaft voraus, die gewonnenen Erkenntnisse ernst zu nehmen und die erforderlichen Veränderungen nicht nur zu akzeptieren, sondern aktiv umzusetzen. Erst unter diesen Bedingungen kann ein physischer Pentest seine volle Wirksamkeit entfalten und einen echten Mehrwert für die Sicherheitsarchitektur der Organisation bieten.
Die sorgfältige Auswertung der Testergebnisse und die darauf basierenden Maßnahmen sind somit unerlässlich, um eine robuste und dynamische Sicherheitsstrategie zu entwickeln, die den fortlaufenden Herausforderungen im Bereich der physischen Sicherheit gerecht wird. In diesem Zusammenhang wird deutlich, dass Informationssicherheit nicht isoliert betrachtet werden kann: Sie ist untrennbar mit der physischen Sicherheit verbunden.
Erfan Koza ist Informationssicherheitsexperte, Sicherheitsforscher, Hochschuldozent und Autor des Buches „Social Engineering und Human Hacking“.