Physical Security Assessments

Was ein Physical Security Assessment ist

Ein Physical Security Assessment ist ein realistischer Einbruchs- und Zutrittstest: Wir prüfen, ob unbefugte Personen physisch in Gebäude, Rechenzentren oder Sicherheitsbereiche deines Unternehmens eindringen können, und dokumentieren detailliert, wo Mensch, Prozess oder Technik versagen.

Die meisten Sicherheitsbudgets fließen in Endpoint Detection, SIEM-Plattformen, Phishing-Trainings und Vulnerability-Scans. Dein EDR sieht aber keinen Angreifer, der durch den Seiteneingang kommt: Wer einmal physisch im Gebäude steht, hat die Hälfte der digitalen Schutzwälle bereits umgangen. Ein Angreifer, der unbemerkt einen Konferenzraum betritt, braucht weder Zero-Day noch ausgefeilten Phishing-Köder. Er steckt einen unscheinbaren USB-Stick in einen Drucker, platziert ein Netzwerk-Implantat hinter einem Schreibtisch oder fotografiert die Produkt-Roadmap vom Whiteboard.

Physische Sicherheit schützt dabei nicht nur Gebäude, sondern auch Mitarbeitende, sensible Informationen und wertvolle Vermögenswerte. Wir finden die Schwachstellen, bevor sie ausgenutzt werden.

Was wir testen

Ein Assessment bei slashsec ist keine Checklisten-Abarbeitung. Wir gehen vor wie ein professioneller Angreifer, bei dem physische Methoden und Social Engineering nahtlos ineinandergreifen.

Tailgating und Social Engineering vor Ort

Tailgating durch gesicherte Eingänge bleibt eine der erfolgreichsten Methoden, um Schleusen und Drehkreuze zu umgehen: mit einem Stapel Pizzakartons, einem Werkzeugkoffer oder schlicht einem freundlichen Lächeln im richtigen Moment. Social Engineering vor Ort funktioniert vor allem mit einer plausiblen Cover Story, als externe Technikfirma, die kurz den Drucker im dritten Stock prüft, als IT-Praktikant am ersten Tag oder als Auditor mit Klemmbrett und gefälschtem Ausweis. Die meisten Mitarbeitenden wollen hilfreich sein, und genau das wird gegen die Organisation gewendet.

Zutrittskontrollen und Badge-Cloning

Wir testen Kartenleser, Schleusen und Drehkreuze ebenso wie die Prozesse dahinter. Viele Unternehmen setzen noch immer auf RFID-Technologien wie Mifare Classic oder EM4100, die sich mit Geräten für unter 200 Euro innerhalb von Sekunden auslesen lassen, oft schon, wenn die Karte in der Außentasche eines Sakkos steckt. Eine geklonte Karte öffnet dann jede Tür, für die das Original berechtigt ist.

Lock Picking und Bypass-Techniken

Türen und Schlösser öffnen wir mit nicht-destruktiven Methoden wie Lock Picking, Bumping und Bypass-Techniken. Das zeigt, dass auch hochwertige Schließanlagen ohne Spuren überwunden werden können, und welche Bereiche danach offenstehen: Serverräume, Archive, kritische Infrastruktur.

Hardware-Implantate und Rogue Devices

Sobald wir im Gebäude sind, geht es um Persistenz. Unauffällige Hardware wie Mini-Rechner, getarnte USB-Adapter oder manipulierte Tastaturen platzieren wir an Mitarbeiterrechnern, Druckern oder Konferenzraum-Infrastruktur. Diese Geräte stellen eine verschlüsselte Verbindung zu uns her und geben Zugang zum internen Netzwerk, ganz ohne externe Phishing-Welle. Dazu kommen Keylogger auf Endgeräten, der Zugriff auf offen einsehbare Dokumente und auf Wunsch simulierte Abhörgeräte in Konferenzräumen oder Vorstandsbüros: nicht um tatsächlich mitzuhören, sondern um nachzuweisen, ob solche Geräte bei einer routinemäßigen Sweep-Inspektion auffallen würden. Den Abschluss bildet oft der simulierte Diebstahl von Laptops, Festplatten oder Backup-Bändern. Entscheidend ist nicht, ob es gelingt, sondern ob, wann und durch wen es auffällt.

Tag- und Nacht-Szenarien

Angreiferprofile und Schutzmaßnahmen unterscheiden sich je nach Tageszeit fundamental, deshalb trennen wir bewusst zwischen zwei Szenarien. Ein Tag-Assessment fokussiert auf Mensch und Prozess: Tailgating, Social Engineering, Badge-Cloning und das Ausnutzen menschlicher Hilfsbereitschaft, während der Empfang besetzt und das Gebäude voller Menschen ist. Ein Nacht-Assessment fokussiert auf die physischen Schutzmaßnahmen: Lock Picking, Bypass-Techniken, Sensorik und vor allem die Alarmkette. Wir lösen Alarme bewusst aus und messen, ob der Wachdienst tatsächlich anspringt, ob die Polizei informiert wird und wie lange es von der Auslösung bis zur ersten Person vor Ort dauert. Diese Reaktionszeit-Messung ist oft die ernüchterndste Erkenntnis des gesamten Assessments, und gleichzeitig die mit dem größten Hebel für konkrete Verbesserungen. Wer nur tagsüber testet, übersieht systematisch die Stunden zwischen 18:00 und 06:00 Uhr.

So läuft ein Assessment ab

Scoping und Rules of Engagement

Jedes Engagement startet mit einem klar definierten Scoping: Welche Standorte? Welche Zeitfenster? Welche Methoden sind freigegeben, welche ausgeschlossen? Welche Red Flags lösen einen sofortigen Abbruch aus? Diese Rules of Engagement werden schriftlich vereinbart und sind die Grundlage des gesamten Assessments, inklusive Get-Out-of-Jail-Letter für unsere Tester.

Aufklärung

Bevor wir auch nur in die Nähe eines Gebäudes kommen, kartieren wir das Gelände, auf Wunsch auch aus der Luft. Drohnenaufnahmen zeigen offene Dachluken, ungesicherte Lichtschächte, schlecht einsehbare Hinterhöfe, Parkplätze ohne Kameraabdeckung oder Lieferantenzugänge, die tagsüber dauerhaft offenstehen. In nahezu jedem Assessment finden wir auf diesem Weg mindestens einen Schwachpunkt der Perimetersicherung, der vom Boden aus nicht erkennbar war.

Durchführung

In der Testphase kombinieren wir die freigegebenen Szenarien zu einer durchgehenden Angriffskette unter realen Bedingungen. Du hast permanenten Kontakt zu einer benannten Person aus dem slashsec-Team, und wir berichten täglich kompakt über durchgeführte Aktivitäten, ohne das Ergebnis vorwegzunehmen. Das Resultat ist kein abstrakter Risk Score, sondern eine konkrete Erzählung: Wir sind um 22:47 Uhr über das Nordfenster reingekommen, standen um 23:14 Uhr im Serverraum, niemand hat reagiert.

Bericht und Debrief

Nach Abschluss erhältst du zuerst eine Executive Summary mit den wichtigsten Erkenntnissen, gefolgt vom detaillierten technischen Bericht und dem Management-Debrief. Die Gesamtlaufzeit eines typischen Assessments liegt zwischen zwei und sechs Wochen, abhängig von Anzahl der Standorte und Tiefe der Tests.

Die vollständige Methodik, kompakt zum Weiterleiten an Geschäftsführung oder Auditor:innen, findest du in unserem Physical Security Onepager inklusive PDF-Download. Einen Überblick über die Anbieterlandschaft und Auswahlkriterien bietet unsere Übersicht der Physical Security Anbieter im DACH-Raum.

Kombination mit Red Teaming

Ein Physical Security Assessment lässt sich eigenständig durchführen oder als Baustein eines umfassenderen Red Teaming Assessments. In der Kombination liefert das physische Eindringen oft den entscheidenden Initial Access: Das platzierte Netzwerk-Implantat wird zum Startpunkt für das digitale Vorgehen, einen Weg, den rein digitale Tests nicht abbilden können.

Auch regulatorisch greifen beide Disziplinen ineinander. DORA und NIS2 fordern einen ganzheitlichen Ansatz für Operational Resilience und Risikomanagement, physische Sicherheit ist dabei integraler Bestandteil. TIBER-AT erlaubt physische Angriffsvektoren ausdrücklich als Teil eines Threat-Led Penetration Tests.

Was du bekommst

• Detaillierter Bericht: alle Findings mit Risikobewertung, CVSS-orientiert und auf physische Kontexte angepasst, inklusive Foto- und Videodokumentation jedes Schwachpunkts. Lesbar für Sicherheitsverantwortliche, Geschäftsführung und Auditor:innen.
• Priorisierte Handlungsempfehlungen: keine generischen Lehrbuch-Empfehlungen, sondern Maßnahmen für genau deine Standorte. Oft mit Quick Wins, die innerhalb von Tagen umsetzbar sind, und mittel- bis langfristigen Investitionen mit klarem Business Case.
• Management-Debrief: persönliche Präsentation der wichtigsten Erkenntnisse für Geschäftsführung und CISO.
• Awareness-Material: auf Wunsch Foto- und Videomaterial des Assessments, aufbereitet für interne Schulungen. Mitarbeitende reagieren anders, wenn sie Material aus dem eigenen Gebäude sehen statt generischer Beispiele aus dem Internet.

Häufige Fragen

Was ist der Unterschied zwischen einem Physical Security Assessment und Red Teaming?

Ein Physical Security Assessment prüft Gebäude, Zutrittssysteme und physische Sicherheitsprozesse. Red Teaming verfolgt ein übergreifendes Ziel und kombiniert Technik, Social Engineering und physischen Zutritt zu einer durchgehenden Angriffskette. In der Kombination liefert das physische Eindringen oft den Initial Access, mit dem das digitale Vorgehen startet. Du kannst ein Physical Security Assessment aber auch eigenständig beauftragen, wenn du gezielt deine Standorte prüfen willst.

Ist ein Physical Security Assessment legal und wie wird es autorisiert?

Ja, sofern es vom rechtmäßigen Auftraggeber, typischerweise Geschäftsführung oder CISO, freigegeben und vertraglich abgesichert ist. Vor jedem Assessment werden Rules of Engagement schriftlich vereinbart: Standorte, Zeitfenster, freigegebene Methoden und Abbruchkriterien. Zusätzlich erhalten die Tester einen Get-Out-of-Jail-Letter, mit dem sie sich ausweisen, falls Wachdienst oder Polizei eingreifen.

Was passiert, wenn die Tester erwischt werden?

Dann hat ein Teil deiner Verteidigung funktioniert, und genau das wollen wir messen. Die Tester weisen sich über den vorbereiteten Authorization Letter aus, der Auftraggeber ist über das Zeitfenster informiert. Im Nacht-Assessment lösen wir Alarme sogar bewusst aus, um die Reaktionskette von Wachdienst und Polizei zu prüfen. Echte Notfälle werden durch klar definierte Abbruchkriterien in den Rules of Engagement ausgeschlossen.

Wie lange dauert ein Physical Security Assessment?

Die Gesamtlaufzeit liegt typischerweise zwischen zwei und sechs Wochen, abhängig von Anzahl der Standorte, gewünschten Szenarien (Tag- und/oder Nacht-Assessment) und Tiefe der Tests. Vorbereitung und Reporting sind dabei eingerechnet.

Werden einzelne Mitarbeitende bloßgestellt?

Nein. Wir testen die Organisation, nicht einzelne Personen. Findings werden anonymisiert dokumentiert: Im Bericht steht, dass Tailgating am Nebeneingang funktioniert hat, nicht, wer die Tür aufgehalten hat. Auf Wunsch bereiten wir Foto- und Videomaterial für interne Awareness-Schulungen auf, ohne Mitarbeitende vorzuführen.