Viele Unternehmen investieren beträchtliche Summen in Alarmanlagen, Zutrittskontrollsysteme und einen eigenen oder beauftragten Werkschutz. Betroffen sind nicht nur Bürogebäude, sondern auch Lagerhallen, Produktionsstätten und Rechenzentren, in denen Diebstahl, Sabotage oder der unbefugte Zugriff auf sensible Daten erheblichen Schaden anrichten können. Die Planung orientiert sich an anerkannten Normen, die Abnahme erfolgt durch zertifizierte Fachbetriebe oder unabhängige Prüforganisationen. Auf dem Papier wirkt das Schutzkonzept damit solide. Trotzdem bleibt eine zentrale Frage meist unbeantwortet, nämlich ob diese Maßnahmen auch einem gezielten, kreativen Eindringversuch standhalten oder nur unter den Bedingungen funktionieren, die bei der formalen Abnahme geprüft wurden.

Normgerecht heißt nicht automatisch widerstandsfähig

Eine Einbruchmeldeanlage nach VdS-Richtlinie oder der Normenreihe DIN EN 50131 erfüllt klar definierte technische Kriterien. Dazu gehören Sabotageerkennung, eine gesicherte Stromversorgung bei Netzausfall und eine zuverlässige Signalübertragung an die Alarmempfangsstelle. Solche Prüfungen bestätigen, dass die Technik funktioniert, sofern sie korrekt ausgelöst wird, und werden in der Regel in festen Wartungsintervallen wiederholt. Sie sagen jedoch wenig darüber aus, ob ein Eindringling überhaupt in eine Lage gerät, in der die Anlage anschlägt. Ein Angreifer hält sich nicht an Prüfprotokolle, sondern sucht den Weg mit dem geringsten Widerstand. Das kann eine unverschlossene Nebentür sein, ein Mitarbeiter, der aus Höflichkeit die Tür aufhält, oder ein einfaches Schloss, das sich mit etwas Übung in Sekunden öffnen lässt. Genau an diesem Punkt unterscheidet sich eine reine Funktionsabnahme von einer echten Belastungsprobe.

Um zu überprüfen, ob die eigenen Schutzmaßnahmen im Ernstfall wirklich greifen, kommt eine ganzheitliche Angriffssimulation ins Spiel. Anders als eine reine Funktionsprüfung verbindet sie technische, physische und menschliche Angriffsvektoren zu einem realistischen Gesamtbild und macht sichtbar, an welchen Stellen Theorie und Praxis auseinanderlaufen.

Welche Methoden bei einem physischen Eindringversuch zum Einsatz kommen

Physische Penetrationstests folgen keinem starren Schema, orientieren sich aber an etablierten Vorgehensweisen aus dem Red Teaming. Vor dem eigentlichen Test steht meist eine Aufklärungsphase, in der öffentlich zugängliche Informationen zum Standort ausgewertet und Begehungen aus der Distanz durchgeführt werden, um Schwachpunkte vorab einzuschätzen. Anschließend wird geprüft, welche Stufe ein realer Eindringling durchlaufen müsste, von der ersten Annäherung an das Gelände bis zum Zugriff auf sensible Räume. Zu den gängigen Techniken zählen unter anderem Tailgating, also das unbefugte Mitgehen durch eine Tür, die für eine andere Person geöffnet wurde. Badge Cloning, das Auslesen und Kopieren von RFID- oder NFC-Zugangskarten mit handelsüblichen Lesegeräten, sofern keine verschlüsselte Chiptechnologie wie etwa DESFire eingesetzt wird. Lockpicking und Bumping, also das Öffnen mechanischer Schlösser ohne den passenden Schlüssel. Und das Ausnutzen unzureichender Vereinzelungsanlagen, bei denen mehrere Personen gleichzeitig einen gesicherten Zugang passieren können. Aus rechtlichen Gründen erhalten die Testenden vorab ein schriftliches Autorisierungsschreiben des Auftraggebers, das im Ernstfall gegenüber Werkschutz oder Polizei vorgelegt werden kann.

Warum physische Sicherheit nicht isoliert betrachtet werden darf

Ein erfolgreicher physischer Zugang bleibt selten ohne Auswirkungen auf die IT-Infrastruktur. Wer unbemerkt in ein Gebäude eindringt, kann häufig auf offene Netzwerkanschlüsse, unbewachte Arbeitsplätze oder Räume mit direktem Zugang zu Servern stoßen. Manchmal genügt ein kurzer Moment der Unaufmerksamkeit, um ein kleines Gerät an einer Netzwerkdose anzuschließen, mit dem später aus der Ferne auf das interne Netzwerk zugegriffen werden kann. Daher integrieren seriöse Sicherheitsprüfungen zunehmend physische Tests mit IT-Penetrationstests und Social-Engineering-Übungen in einen gemeinsamen Ansatz.

Das IT-Grundschutz-Kompendium des BSI legt in speziellen Bausteinen großen Wert auf physische Sicherheit, während ISO 27001 sie gleichrangig als Teil der organisatorischen und technischen Maßnahmen im Anhang A behandelt. Auch der TISAX-Prüfkatalog, der in der Automobilbranche für Zulieferer Pflicht ist, verlangt ein dokumentiertes Sicherheitszonen-Konzept mit gestaffelten Zugriffsrechten. Beide Regelwerke basieren auf dem Prinzip der mehrschichtigen Verteidigung, oft als Defense in Depth bezeichnet. Fällt eine Schutzschicht aus, sollen die anderen einspringen und die Schäden minimieren. Solch ein Zusammenspiel lässt sich jedoch nur prüfen, wenn die Tests bewusst die Grenzen zwischen Gebäude, Netzwerk und Mitarbeitenden überschreiten – ganz so, wie es ein echter Angreifer tun würde.

Vom Testbericht zur echten Verbesserung

Am Ende eines physischen Eindringversuchs steht ein Bericht, der jede ausgenutzte Schwachstelle nachvollziehbar beschreibt, einschließlich des benötigten Zeitaufwands und der verwendeten Methode. Die gefundenen Schwachstellen werden üblicherweise nach Eintrittswahrscheinlichkeit und möglicher Schadenshöhe eingestuft, ähnlich wie bei der Risikobewertung in der IT-Sicherheit. Daraus lassen sich priorisierte Maßnahmen ableiten, etwa der Umstieg auf verschlüsselte Zugangskarten, der Einbau einer Vereinzelungsanlage oder gezielte Schulungen für Empfangs- und Sicherheitspersonal. Entscheidend ist dabei nicht, einzelne Mitarbeitende oder den beauftragten Sicherheitsdienst vorzuführen, sondern eine belastbare Grundlage für künftige Investitionsentscheidungen zu schaffen.

Schutzkonzepte veralten auch dann, wenn sich an der Technik selbst nichts ändert. Neue Gebäudeteile, gewachsene Teams oder veränderte Zugangsregelungen schaffen kontinuierlich neue Lücken, die bei der ursprünglichen Abnahme noch gar nicht existierten. Wer physische Sicherheit nicht einmalig, sondern wiederkehrend unter realistischen Bedingungen prüfen lässt, verschafft sich einen verlässlichen Überblick darüber, wie viel Schutz tatsächlich vorhanden ist und an welchen Stellen nachgebessert werden sollte. Als grober Richtwert gilt eine jährliche Prüfung, ergänzt durch einen zusätzlichen Test nach größeren baulichen oder organisatorischen Veränderungen.

Der Beitrag Physische Sicherheit auf dem Prüfstand: Wie widerstandsfähig sind Alarmanlage und Zugangskontrolle wirklich? erschien zuerst auf Securityszene.de.