Künstliche Intelligenz
Penetrationstest: Warum physische Sicherheit scheitert – und wie man das ändert
Es war ein Dienstagnachmittag, als mein Kollege und ich mit zwei großen Kartons warmer Pizza auf die Sicherheitsschleuse eines mittelgroßen deutschen Unternehmens zugingen. Kartons hoch, Blick auf den Boden, sichtlich überfordert. Ein Mitarbeiter, der gerade das Gebäude verließ, hielt uns nicht nur die Tür auf – er drückte uns auch noch den Fahrstuhlknopf. Keine Frage. Kein Zögern. Nur Hilfsbereitschaft.
Das Gebäude hatte biometrische Leser, Kameraüberwachung und eine Sicherheitsrichtlinie, die Besucher explizit verpflichtete, sich am Empfang anzumelden. Keines dieser Systeme hat uns aufgehalten. Ein einziger menschlicher Reflex hat uns eingelassen: Höflichkeit. Dieser Moment ist kein Einzelfall. Er ist ein Muster.
- Pentester und Social Engineers sind in der Regel erfolgreich, weil sie menschliche Eigenarten und Schwächen ausnutzen.
- Viele Awareness-Schulungen und -Vorgaben wirken nicht nachhaltig, weil sie psychologisch an der falschen Stelle ansetzen und nur gelegentlich durchgeführt werden.
- Die Sicherheitskultur im Unternehmen verschiebt sich, wenn Regeln klar kommuniziert, permanent getestet und Verstöße nicht geahndet werden. Stimmt der positive Anreiz, kann sich aufmerksames Verhalten dauerhaft etablieren.
Als Physical Pentester begegnen einem dieselben Schwachstellen immer wieder – in Unternehmen unterschiedlicher Größe, unterschiedlicher Branchen und mit unterschiedlichem Sicherheitsbudget. Was sie gemeinsam haben: Die technische Infrastruktur ist oft beeindruckend. Die menschliche Seite nicht, wie die drei folgenden Fälle zeigen.
Das war die Leseprobe unseres heise-Plus-Artikels „Penetrationstest: Warum physische Sicherheit scheitert – und wie man das ändert“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.