Physische Sicherheit: 3 Pfade, die euer EDR nicht sieht

David Wind

8 Minuten im Louvre

Im Oktober 2025 brauchten vier Männer im Louvre acht Minuten. Leiter, Winkelschleifer, Vitrine auf, raus durchs Fenster, weg. Keine Kamera, keine Alarmanlage, kein Wachdienst hat es verhindert.

In Banken, Versicherungen und Software-Häusern läuft das nicht grundsätzlich anders. Nur das Ziel ist ein anderes. Statt einer Vitrine ein Serverraum, statt eines Schmuckstücks eine Workstation mit Domain-Admin-Rechten. Statt acht Minuten ein paar Stunden.

Bei slashsec testen wir genau solche Pfade. Was wir dabei sehen, lässt sich kurz zusammenfassen: Die digitalen Schutzmaßnahmen vieler Organisationen sind heute erstaunlich gut. Die physischen sind erstaunlich schlecht.

Was dein EDR nicht sieht

Die meisten Sicherheitsbudgets in den letzten fünf Jahren sind in digitale Werkzeuge geflossen. SIEM-Plattformen, modernes EDR, Identity Governance, Vulnerability-Scanner, Phishing-Trainings. Das ist gut. Es deckt aber nur die Hälfte ab.

Stell dir vor: Donnerstagabend, halb zehn. Euer Bürogebäude ist offiziell zu, der Empfang seit Stunden unbesetzt. An einem Nebeneingang an der Rückseite steht jemand mit einer Türklinkenangel, drückt durch den Türspalt die innere Klinke nach unten, geht rein. Kein Schloss aufgebrochen, keine Karte gezogen, kein digitales Tool genutzt.

Welches eurer Tools würde diesen Mann sehen? In der Praxis fast immer keines. EDR, SIEM und SOC setzen alle voraus, dass der Angreifer schon im Netzwerk ist. Der Mann am Seiteneingang ist es noch nicht. Er steht nur im Flur.

Drei Pfade aus drei Branchen

Die folgenden drei Cases stammen aus unterschiedlichen Sektoren: Finanz, Software, Industrie. Alle drei sind anonymisiert beschrieben, alle drei haben wir mehrfach in genau dieser oder sehr ähnlicher Form durchgespielt. Was sie eint, ist das Ergebnis. In jedem Fall war die physische Tür offen, lange bevor ein einziges Paket durchs Netzwerk ging.

Pfad 1: Seiteneingang, Schlüsseltresor, Vollzugriff

Donnerstag, kurz nach halb zehn am Abend. Nebeneingang an der Rückseite eines mehrstöckigen Bürogebäudes. Innen sitzt eine Drücker-Türklinke, die im Notfall ohne Karte oder Code zu öffnen ist, wie es der Brandschutz vorschreibt.

Bei solchen Türen verwenden wir meistens eine Türklinkenangel. Das ist ein langes, vorne abgewinkeltes Werkzeug, das wir durch den Spalt zwischen Tür und Rahmen führen und mit dem wir die innere Klinke nach unten drücken. Nach gut 20 Sekunden öffnet die Tür. Wir sind drinnen.

Im Erdgeschoss-Flur steht eine offene Tür mit der Beschriftung "Personalraum", dahinter ein Schlüsseltresor. Ein Standardmodell mit 4-stelligem Code, der seit der Installation nie geändert wurde und noch auf der Werkseinstellung 1234 steht. Im Tresor liegt der vollständige Generalschlüssel-Satz, sauber beschriftet mit Etagen und Bereichen.

Was dann passiert, ist Routine. Wir gehen durch die Büros, die Konferenzräume und in den Bereich mit den Netzwerktechnik-Schränken. Wir machen Fotos, hinterlassen einen Beleg-USB-Stick in einer ungesperrten Workstation, schließen den Tresor wieder zu und hängen die Schlüssel zurück. Um 23:14 verlassen wir das Gebäude über denselben Eingang.

Keine Kamera, kein Wachdienst, kein Alarm hat reagiert. Der Tresor-Zugriff wurde auch nicht geloggt, das Modell hat keine Audit-Funktion.

Was hilft: Bürstendichtung im Spalt der Nebeneingangs-Tür. Ein eigener Code am Schlüsseltresor, nicht die Werkseinstellung. Idealerweise ein Tresor-Modell mit Audit-Trail. Keine dieser Maßnahmen braucht ein eigenes Projekt.

Pfad 2: Das offene Notebook nach Feierabend

Ein DACH-Software-Haus mit gehärteter digitaler Pipeline. Signierte Builds, Branch Protection, Code Reviews, zertifizierte CI/CD-Workflows. Auf der Whiteboard-Ebene sauber.

Wir wählen das Hauptgebäude als Ziel und beginnen das Assessment um 19:45 Uhr, eine Stunde nach offiziellem Feierabend. Der Empfang ist unbesetzt, die Reinigungskolonne ist im Haus. Wir folgen einem Reinigungswagen durch das Tiefgaragentor und nehmen den Lift in den dritten Stock.

Innerhalb von 40 Minuten finden wir folgendes:

  • Drei nicht-gesperrte Notebooks an Schreibtischen, alle drei mit aktiver Domain-Session
  • Einen Generalschlüssel im Putzwagen einer Reinigungskraft, die keine eigene Zugangskarte hat
  • Ein Whiteboard im Konferenzraum mit der vollständigen Cloud-Architektur und drei API-Endpoints
  • Einen Notizzettel am Monitor mit einem Service-Account-Passwort

Die digitalen Schutzmaßnahmen dieser Organisation sind exzellent. Die physische Seite bewegt sich in einem ganz anderen Reifegrad.

Was hilft: Automatische Sperrbildschirme nach fünf Minuten Inaktivität per Group Policy. Eigene Zugangskarten für die Reinigung statt Generalschlüssel. Ein monatlicher Clean-Desk-Spot-Audit. Alles innerhalb von 30 Tagen umsetzbar.

Pfad 3: Drohne, Dachluke, Serverraum

Ein Industrieunternehmen mit einem großen Hauptstandort. Wir fliegen das Gelände an einem Sonntag mit einer Drohne ab. Die Aufnahmen zeigen ein dauerhaft offenes Oberlicht über einem Treppenhaus im Nebengebäude. Vom Boden aus ist es nicht sichtbar.

Eine Woche vorher waren wir tagsüber schon einmal vor Ort, per Tailgating hinter einem Lieferanten durch den Haupteingang in den Bürotrakt. Auf einem Schreibtisch im Großraumbüro liegt eine unbeaufsichtigte Zugangskarte. Fünf Sekunden mit einem Handheld-Reader und wir sind wieder draußen. Die Karte ist eine Mifare Classic, ein Kartentyp, der seit 2008 als geknackt gilt.

Sonntag, kurz nach Mitternacht. Wir steigen über ein angrenzendes Parkhaus auf das Dach des Nebengebäudes. Tagsüber wäre der Empfang besetzt, Mitarbeiter:innen würden Notiz von Fremden im Serverraum-Trakt nehmen. Nachts ist das Gebäude bis auf den Wachdienst leer.

Wir seilen uns durch das Oberlicht ins Treppenhaus ab und gehen drei Etagen runter ins Untergeschoss. Eine Brandschutztür steht offen, mit einem Keil dazwischen, vermutlich für die nachmittägliche Lüftung. Der Serverraum liegt am Ende des Gangs. Unser Klon öffnet die Tür.

Drinnen platzieren wir einen Mini-PC, etwa so groß wie eine Zigarettenschachtel, mit integriertem 4G-Modem. Wir hängen ihn an einen Rechner im Raum und verbinden ihn mit dem internen Netzwerk. Ab diesem Moment haben wir einen Tunnel ins interne Netz, der über das Mobilfunknetz aus dem Gebäude raus geht. Firewall, Proxy und SIEM sind komplett umgangen. Drei Minuten Fotodokumentation, raus über denselben Weg. Die gesamte Operation dauerte 47 Minuten. Keine Kamera, kein Wachdienst, kein Alarm hat reagiert.

Was hilft: Halbjährliche Dach-Inspektionen und eine Migration weg von Mifare Classic.

Fünf unangenehme Fragen

In jedem der drei Cases oben spielt eine der folgenden Fragen die zentrale Rolle. Generalschlüssel in Pfad 1 und Pfad 2, Kartenleser in Pfad 3, Alarm- und Reaktionszeit in Pfad 1 und Pfad 3.

  1. Werden bei euch wirklich alle Besucher:innen registriert? Nicht nur Anmeldungen am Empfang. Auch externe Handwerker, Postzustellung, Reinigung, Catering, Lieferanten. Wo verläuft die Grenze zwischen "registriert" und "irgendwie reingekommen"?

  2. Sind eure Kartenleser kopiergeschützt? Mifare Classic und EM4100 werden mit Geräten für unter 200 Euro innerhalb von Sekunden ausgelesen, oft schon, wenn die Karte in der Außentasche eines Sakkos steckt. Wer noch auf Mifare Classic setzt, ist faktisch kopierbar. Wer keinen Migrationspfad weg davon definiert hat, sollte das spätestens jetzt tun.

  3. Wo liegen eure Generalschlüssel? Reinigungspersonal, Hausverwaltung, Sicherheitsdienst, wer hat alles einen? Werden die Schlüssel an Subunternehmen weitergereicht, ohne dass ihr davon wisst?

  4. Funktionieren eure Alarmanlagen, und werden sie regelmäßig getestet? Wann zuletzt? Mit echtem Auslöser oder mit Funktionstest-Knopf? Springt der Wachdienst tatsächlich an, oder steht der Alarm in einer Liste, die niemand mehr liest?

  5. Wie lange dauert die Reaktionszeit von Auslösung bis zur ersten Person vor Ort? Wir messen das. Die ernüchterndsten Zahlen kommen in der Regel nachts und am Wochenende.

Bei den meisten Organisationen gibt es auf mindestens eine dieser Fragen eine unangenehme Antwort.

Warum das jetzt regulatorisch relevant wird

Bis 2024 war physische Sicherheit für die meisten CISO-Organisationen ein Compliance-Randthema. Es gab ISO-27001-Annex-A-Controls, es gab interne Audits, aber selten einen realen Stresstest.

Mit DORA, NIS2 und der zunehmenden Verbreitung von TIBER-AT ändert sich das. Keines dieser Regelwerke schreibt explizit ein Physical Security Assessment vor. Aber alle drei fordern einen ganzheitlichen Ansatz für Operational Resilience und Risikomanagement. Physische Sicherheit ist davon integraler Bestandteil.

TIBER-AT erlaubt physische Angriffsvektoren ausdrücklich als Teil eines Threat-Led Penetration Tests. Wer einen TIBER-AT-konformen Test plant, kommt um eine ehrliche Bewertung der physischen Seite nicht herum. Wer einen DORA-konformen Risiko-Bericht schreibt, sollte den physischen Vektor nicht als "Mögliche unbefugte Zutritte" abhandeln, ohne ihn jemals real getestet zu haben.

Was tun?

Ein Physical Security Assessment ist ein Stresstest unter realen Bedingungen, keine Checklisten-Übung. Was du danach in der Hand hältst:

  1. Eine ehrliche Bestandsaufnahme, was hält und was nur scheinbar hält
  2. Priorisierte Handlungsempfehlungen mit Quick Wins und mittel- bis langfristigen Investitionen
  3. Foto- und Videomaterial für interne Schulungen und Awareness

Die Gesamtlaufzeit liegt typischerweise zwischen zwei und sechs Wochen. Die typischen Budgets bewegen sich zwischen 13.000 und 18.000 Euro pro Standort. Das ist deutlich weniger, als ein einziger erfolgreicher Angriff kosten würde.

Wer mehr Detail braucht, findet in unserem Physical Security Onepager eine konkrete Methodik-Übersicht inklusive Tag- und Nacht-Assessment-Szenarien. Wer es im DACH-Kontext einordnen möchte, findet die regionale Anbieterübersicht für Österreich, Deutschland und die Schweiz.

Fazit

Vier Männer brauchten im Louvre acht Minuten. Wir brauchten 104 Minuten in einem Bürogebäude, 40 Minuten in einem Software-Büro, 47 Minuten in einem Industrieareal. Keine dieser drei Operationen war ein Stunt, keine hat ein Zero-Day, einen Insider oder echte Forensik-Kunst gebraucht. Alle drei haben dasselbe gebraucht: eine Tür, die nicht zumacht.

Diese Türen sind in den meisten Organisationen heute der einfachste Weg rein. Die digitalen Verteidigungen sind solide. Die physische Seite hat zehn Jahre weniger Aufmerksamkeit bekommen als die digitale. Wer das ändern will, muss seine physischen Pfade einmal jährlich von außen unter realen Bedingungen testen lassen.

Möchtest du wissen, wie ein Physical Security Assessment in deiner Organisation aussehen würde? Vereinbare ein kostenloses 30-Minuten-Erstgespräch. Wir besprechen Scope, Methodik und Budget unverbindlich.

Möchten Sie mehr über unsere Red Teaming & Pentesting Services erfahren?

Unsere Dienstleistungen ansehen
← Zurück zum Blog