Physical Security Assessment - Onepager, Methodik & Ablauf

Q: Was ist der Unterschied zwischen Tag- und Nacht-Assessment?

Ein Tag-Assessment fokussiert auf Mensch und Prozess: Tailgating, Social Engineering, Badge-Cloning und das Ausnutzen menschlicher Hilfsbereitschaft. Ein Nacht-Assessment fokussiert auf physische Schutzmaßnahmen: Lock Picking, Bypass-Techniken, Alarmreaktion und die Reaktionszeit von Wachdienst und Polizei. Beide Perspektiven decken unterschiedliche Schwachstellen auf und ergänzen sich.

Q: Was ist der Unterschied zu einem klassischen Pentest?

Ein klassischer Pentest prüft IT-Systeme und Netzwerke auf digitale Schwachstellen. Ein Physical Security Assessment prüft Gebäude, Zutrittssysteme und physische Sicherheitsprozesse. In einem Red Teaming Engagement werden beide Disziplinen kombiniert - das physische Eindringen liefert dann oft den Initial Access, mit dem das digitale Vorgehen startet.

Q: Was passiert, wenn während des Assessments der Alarm ausgelöst wird?

Das ist explizit gewollt - im Nacht-Assessment lösen wir Alarme bewusst aus, um die Reaktionskette zu prüfen. Der Auftraggeber (typischerweise CISO oder Sicherheitsverantwortlicher) ist über das Zeitfenster informiert. Sollte Wachdienst oder Polizei eingreifen, weisen sich die Tester über einen vorbereiteten Authorization Letter aus. Echte Notfälle werden durch klar definierte Abbruchkriterien in den Rules of Engagement ausgeschlossen.

Warum physische Sicherheit weiterhin der unterschätzte Risikofaktor ist

Die meisten Sicherheitsbudgets fließen in Endpoint-Detection, SIEM-Plattformen, Phishing-Trainings und Vulnerability-Scans. Was dabei oft vergessen wird: Wer einmal physisch im Gebäude steht, hat die Hälfte der digitalen Schutzwälle bereits umgangen. Ein Angreifer, der unbemerkt einen Konferenzraum betritt, braucht weder Zero-Day noch ausgefeilten Phishing-Köder - er steckt einen unscheinbaren USB-Stick in einen Drucker, platziert ein Netzwerk-Implantat hinter einem Schreibtisch oder fotografiert einen Whiteboard-Screenshot der nächsten Produkt-Roadmap.

Genau hier setzt ein Physical Security Assessment an. Wir simulieren realistische Einbruchsszenarien, prüfen Gebäude, Zutrittssysteme und Sicherheitsprozesse - und dokumentieren detailliert, wo Mensch, Prozess oder Technik versagen. Dieser Onepager fasst zusammen, wie wir bei slashsec Physical Security Assessments durchführen, was Sie als Kunde davon haben und warum sich der Test gerade jetzt - im Kontext von DORA, NIS2 und TIBER-AT - lohnt.

Was wir bei einem Assessment wirklich tun

Ein Physical Security Assessment bei slashsec ist keine Checklisten-Abarbeitung. Wir gehen vor wie ein professioneller Angreifer, der Ihr Unternehmen auf einem realistischen Weg kompromittieren würde - bei dem klassische "physische" Methoden und Social Engineering nahtlos ineinandergreifen.

Luftraumaufklärung mit Drohnen

Bevor wir auch nur in die Nähe eines Gebäudes kommen, kartieren wir das Gelände aus der Luft. Drohnenaufnahmen zeigen offene Dachluken, ungesicherte Lichtschächte, schlecht einsehbare Hinterhöfe, Parkplatzbereiche ohne Kameraabdeckung oder Lieferantenzugänge, die tagsüber dauerhaft offenstehen. In nahezu jedem unserer Assessments finden wir auf diesem Weg mindestens einen Schwachpunkt der Perimetersicherung, der vom Boden aus überhaupt nicht erkennbar war.

Abseilen durch Dachfenster

Was viele Sicherheitsverantwortliche überrascht: Offene Oberlichter und Dachluken sind keine Ausnahme, sondern die Regel. Wir setzen Industriekletter-Equipment ein, um über Nebengebäude, Treppenhäuser oder Lüftungsanlagen aufs Dach zu gelangen und uns von dort unbemerkt in das Gebäudeinnere abzuseilen. Klingt nach Hollywood - ist in der Praxis aber unauffällig, schnell und in 90 % der Fälle erfolgreich.

Netzwerk-Implantate platzieren

Sobald wir im Gebäude sind, geht es um Persistenz. Unauffällige Hardware - Mini-Rechner, getarnte USB-Adapter, manipulierte Tastaturen - wird an Mitarbeiterrechnern, Druckern oder Konferenzraum-Infrastruktur platziert. Diese Geräte stellen eine verschlüsselte Verbindung zum Angreifer her und geben Zugang zum internen Netzwerk, ganz ohne externe Phishing-Welle. In einem Red-Team-Kontext ist das oft der entscheidende Schritt vom physischen zum digitalen Foothold.

Wanzen in Vorstandsbüros

Bei besonders sensiblen Kundenanforderungen simulieren wir das Platzieren von Abhörgeräten in Konferenzräumen, Vorstandsbüros oder Forschungslaboren. Ziel ist nicht das tatsächliche Abhören, sondern der Nachweis, ob solche Geräte bei einer routinemäßigen Sweep-Inspektion auffallen würden - und wie lange sie unentdeckt bleiben könnten.

IT-Equipment entwenden

Der letzte Test ist banal, aber wirkungsvoll: Wir simulieren den Diebstahl von Laptops, externen Festplatten, Backup-Bändern oder mobiler Hardware. Entscheidend ist nicht, ob es uns gelingt, sondern ob, wann und durch wen es auffällt. Die Antworten überraschen regelmäßig - in beide Richtungen.

Tag und Nacht - zwei Perspektiven, zwei Angriffsszenarien

Ein gutes Physical Security Assessment unterscheidet ganz bewusst zwischen Tag-Assessment und Nacht-Assessment, weil sich Angreiferprofile und Schutzmaßnahmen fundamental unterscheiden. Tagsüber sind Gebäude voller Menschen, Prozesse laufen, Empfangsbereiche sind besetzt - und genau das wird zur Angriffsfläche. Nachts ist es umgekehrt: Menschen weg, Technik übernimmt - und genau die wird zum Prüfstein.

Tag-Assessment: Fokus auf Mensch und Prozess

Tagsüber konzentrieren wir uns auf Angriffe, die menschliches Verhalten und etablierte Prozesse ausnutzen. Tailgating durch gesicherte Eingänge - mit einem Stapel Pizzakartons, einem Werkzeugkoffer oder schlicht einem freundlichen Lächeln im richtigen Moment - bleibt eine der erfolgreichsten Methoden, um Schleusen und Drehkreuze zu umgehen.

Social Engineering vor Ort funktioniert vor allem dann, wenn wir mit einer plausiblen Cover Story auftreten: als externe Technikfirma, die "kurz den Drucker im 3. Stock prüft", als IT-Praktikant am ersten Tag, als Auditor mit Klemmbrett. Die meisten Mitarbeiter:innen wollen hilfreich sein - und genau das wird gegen die Organisation gewendet.

Drittens prüfen wir das Klonen von Zutrittskarten. Die meisten Unternehmen setzen noch immer auf RFID-Technologien (Mifare Classic, EM4100), die mit Geräten für unter 200 Euro innerhalb von Sekunden auslesbar sind - oft schon, wenn die Karte in der Außentasche eines Sakkos steckt.

Nacht-Assessment: Fokus auf physische Schutzmaßnahmen

Nachts kippt das Bild. Empfangsbereiche sind unbesetzt, Mitarbeiter:innen weg - jetzt zählen nur noch Schlösser, Sensoren und Alarmreaktionen. Wir öffnen Türen und Schlösser mit nicht-destruktiven Methoden (Lock Picking, Bumping, Bypass-Techniken), um zu zeigen, dass auch hochwertige Schließanlagen ohne Spuren überwunden werden können.

Zentral ist der zweite Schritt: Alarmanlagen werden bewusst ausgelöst, um die gesamte Reaktionskette zu prüfen. Springt der Wachdienst tatsächlich an? Wird die Polizei informiert? Wie lange dauert es von der Auslösung bis zur ersten Person vor Ort? Diese Reaktionszeit-Messung ist oft die ernüchterndste Erkenntnis eines Nacht-Assessments - und gleichzeitig die mit dem größten Hebel für konkrete Verbesserungen.

So hilft slashsec - drei klare Mehrwerte

Was unsere Kunden konkret aus einem Assessment mitnehmen, lässt sich auf drei Säulen reduzieren:

Tag- und Nacht-Coverage. Wir prüfen Zutrittsversuche zu beiden Tageszeiten mit jeweils passender Methodik - Menschen, Prozesse und technische Schutzmaßnahmen werden alle drei abgedeckt. Wer nur tagsüber testet, übersieht systematisch die größte Schwachstelle vieler Standorte: die Stunden zwischen 18:00 und 06:00 Uhr.

Realistische Szenarien statt theoretischer Audits. Wir kombinieren Social Engineering, physischen Einbruch und simulierten Diebstahl zu einer durchgehenden Angriffskette unter realen Bedingungen. Das Ergebnis ist kein abstrakter Risk Score, sondern eine konkrete Erzählung: "Wir sind um 22:47 Uhr über das Nordfenster reingekommen, haben um 23:14 Uhr im Serverraum gestanden, niemand hat reagiert."

Awareness-Material für interne Schulungen. Auf Wunsch erhalten Sie Fotodokumentation und Videomaterial des Assessments - aufbereitet für interne Schulungen und Awareness-Programme. Mitarbeiter:innen reagieren ganz anders, wenn sie konkretes Material aus dem eigenen Gebäude sehen, statt allgemeiner Beispiele aus dem Internet.

Was Sie nach dem Assessment in der Hand halten

Drei klar abgegrenzte Deliverables, die wir nach jedem Assessment liefern:

1. Detaillierter Bericht

Alle Findings mit Risikobewertung (CVSS-orientiert, aber auf physische Kontexte angepasst), inklusive Foto- und Videodokumentation jedes Schwachpunkts. Der Bericht ist so strukturiert, dass er sowohl für die operativen Sicherheitsverantwortlichen als auch für Geschäftsführung und Auditor:innen lesbar ist.

2. Handlungsempfehlungen

Keine generischen Empfehlungen aus dem Lehrbuch, sondern priorisierte Maßnahmen für genau Ihre Standorte - oft mit Quick Wins, die innerhalb von Tagen umsetzbar sind, und mittel- bis langfristigen Investitionen mit klarem Business Case.

3. Management-Debrief

Eine persönliche Präsentation für CISO und Geschäftsführung, in der wir die wichtigsten Erkenntnisse zusammenfassen und Fragen direkt beantworten. In der Praxis ist dieser Termin oft der Moment, in dem aus einem "interessanten Pentest-Report" eine konkrete Budget-Entscheidung wird.

Wann lohnt sich ein Physical Security Assessment?

Physical Security Assessments sind kein Standardprodukt für jedes Unternehmen - aber für bestimmte Profile sind sie nahezu unverzichtbar:

Finanzinstitute, die unter DORA oder im Rahmen von TIBER-AT Threat-Led Penetration Testing umsetzen müssen
Kritische Infrastruktur (Energie, Telekommunikation, Gesundheit) im Geltungsbereich von NIS2
Forschungs- und Technologieunternehmen mit schützenswertem geistigem Eigentum
Behörden und Verwaltungseinrichtungen mit sensiblen Daten
Rechenzentren und Cloud-Provider, deren physische Sicherheit Vertragsgegenstand mit Großkunden ist
Unternehmen mit international vergleichbarer Standortstruktur, die einheitliche Sicherheitsstandards durchsetzen wollen

Häufig ist ein Physical Security Assessment Teil eines umfassenderen Red Teaming Engagements - es liefert dann den entscheidenden Initial Access, der digitale Tests allein nicht abbilden können.

Regionale Anbieterübersichten

Detaillierte Übersichten der Physical-Security-Provider in der DACH-Region finden Sie hier:

Physical Security Anbieter Österreich - Anbieterlandschaft und Auswahlkriterien für Wien, Linz, Graz und ganz Österreich
Physical Security Anbieter Deutschland - Übersicht für Frankfurt, München, Berlin und den deutschen Markt
Physical Security Anbieter Schweiz - Anbieter in Zürich, Genf, Bern und der gesamten Schweiz

Zusammenarbeit - so läuft ein Assessment ab

Jedes Engagement startet mit einem klar definierten Scoping: Welche Standorte? Welche Zeiträume? Welche Methoden sind freigegeben, welche ausgeschlossen? Welche "Red Flags" lösen einen sofortigen Abbruch aus (z. B. unbeabsichtigte Polizeieinsätze)? Diese Rules of Engagement werden schriftlich vereinbart und sind die Grundlage des gesamten Assessments.

Während der Testphase haben Sie permanenten Kontakt zu einer benannten Person aus dem slashsec-Team. Wir berichten täglich kompakt über durchgeführte Aktivitäten - ohne das Ergebnis vorwegzunehmen. Nach Abschluss erhalten Sie zuerst eine Executive Summary mit den wichtigsten Erkenntnissen, gefolgt vom detaillierten technischen Bericht und dem Management-Debrief.

Die Gesamtlaufzeit eines typischen Physical Security Assessments liegt zwischen 2 und 6 Wochen, abhängig von Anzahl der Standorte und Tiefe der Tests.

Häufige Fragen zu Physical Security Assessments

Was ist ein Physical Security Assessment?

Ein Physical Security Assessment ist ein realistischer Einbruchs- und Zutrittstest, bei dem geprüft wird, ob unbefugte Personen physisch in Gebäude, Rechenzentren oder Sicherheitsbereiche eines Unternehmens eindringen können. Eingesetzt werden Methoden wie Tailgating, Social Engineering vor Ort, Lock Picking, Klonen von Zutrittskarten, Drohnenaufklärung und das Platzieren von Hardware-Implantaten - oft im Rahmen eines Red Teaming Assessments.

Wie lange dauert ein Physical Security Assessment?

Die Gesamtlaufzeit liegt typischerweise zwischen 2 und 6 Wochen, abhängig von Anzahl der Standorte, gewünschten Szenarien (Tag- und/oder Nacht-Assessment) und Tiefe der Tests. Vorbereitung, Threat Modeling, Testphase und Reporting sind dabei eingerechnet.

Was kostet ein Physical Security Assessment?

Die Kosten variieren je nach Scope, Dauer und Anzahl der eingesetzten Tester. Typische Budgets für einen einzelnen Standort liegen zwischen 13.000 und 18.000 EUR. Multi-Site-Engagements, Red-Team-Integrationen oder TIBER-AT-konforme Tests können deutlich umfangreicher werden. Im Erstgespräch klären wir Scope und Budget unverbindlich.

Ist ein Physical Security Assessment in Österreich legal?

Ja - ein Physical Security Assessment ist legal, sofern es vom rechtmäßigen Auftraggeber (typischerweise Geschäftsführung oder CISO) freigegeben und vertraglich abgesichert ist. Vor jedem Assessment werden Rules of Engagement schriftlich vereinbart und ein "Get-Out-of-Jail-Letter" für die Tester ausgestellt, falls Wachdienst oder Polizei eingreifen sollten.

Was ist der Unterschied zwischen Tag- und Nacht-Assessment?

Ein Tag-Assessment fokussiert auf Mensch und Prozess: Tailgating, Social Engineering, Badge-Cloning und das Ausnutzen menschlicher Hilfsbereitschaft. Ein Nacht-Assessment fokussiert auf physische Schutzmaßnahmen: Lock Picking, Bypass-Techniken, Alarmreaktion und die Reaktionszeit von Wachdienst und Polizei. Beide Perspektiven decken unterschiedliche Schwachstellen auf und ergänzen sich.

Was ist der Unterschied zu einem klassischen Pentest?

Ein klassischer Pentest prüft IT-Systeme und Netzwerke auf digitale Schwachstellen. Ein Physical Security Assessment prüft Gebäude, Zutrittssysteme und physische Sicherheitsprozesse. In einem Red Teaming Engagement werden beide Disziplinen kombiniert - das physische Eindringen liefert dann oft den Initial Access, mit dem das digitale Vorgehen startet.

Brauche ich ein Physical Security Assessment für DORA, NIS2 oder TIBER-AT?

DORA und NIS2 verlangen nicht explizit ein Physical Security Assessment, aber sie fordern einen ganzheitlichen Ansatz für Operational Resilience und Risikomanagement - physische Sicherheit ist dabei integraler Bestandteil. TIBER-AT erlaubt physische Angriffsvektoren ausdrücklich als Teil eines Threat-Led Penetration Tests. In der Praxis ist ein Physical Security Assessment oft Teil eines umfassenderen Red Teaming Engagements.

Was passiert, wenn während des Assessments der Alarm ausgelöst wird?

Das ist explizit gewollt - im Nacht-Assessment lösen wir Alarme bewusst aus, um die Reaktionskette zu prüfen. Der Auftraggeber (typischerweise CISO oder Sicherheitsverantwortlicher) ist über das Zeitfenster informiert. Sollte Wachdienst oder Polizei eingreifen, weisen sich die Tester über einen vorbereiteten Authorization Letter aus. Echte Notfälle werden durch klar definierte Abbruchkriterien in den Rules of Engagement ausgeschlossen.

Fazit

Physische Sicherheit ist kein Kostenpunkt, der mit der Anschaffung eines Drehkreuzes erledigt ist. Sie ist ein lebender Prozess, der regelmäßig unter realen Bedingungen geprüft werden muss - genau wie die digitalen Schutzmaßnahmen, die heute selbstverständlich quartalsweise gepentestet werden. Unser Onepager zum Download fasst Methodik, Tests und Deliverables noch einmal kompakt auf einer Seite zusammen - ideal zum Weiterleiten an Geschäftsführung, CISO oder Auditor:innen.

Interesse? Sprechen Sie mit uns.

Dipl.-Ing. David Wind, BSc dwind@slashsec.at +43 681/10 37 69 94

Möchten Sie ein Physical Security Assessment für Ihr Unternehmen evaluieren? Vereinbaren Sie ein kostenloses Erstgespräch mit unserem Team - wir besprechen Scope, Methodik und Budget unverbindlich in 30 Minuten.