Physical Penetration Testing: Methodik, Werkzeuge und rechtliche Grundlagen
Physical Penetration Testing testet physische Sicherheitsmaßnahmen: Zutrittskontrolle, Tailgating, Lock-Picking, Badge-Klonen, OSINT für physische Ziele, Social Engineering vor Ort. Dieser Artikel erklärt Methodik (PTES Physical), Werkzeuge (Proxmark3, Flipper Zero, Lock-Picks), rechtliche Absicherung (Autorisierungsschreiben), und Schutzmaßnahmen gegen physische Angriffe.
Inhaltsverzeichnis (7 Abschnitte)
Physical Penetration Testing prüft die physische Sicherheit eines Unternehmens: Kann ein Angreifer unbemerkt in Büros, Rechenzentren oder Produktionsanlagen gelangen? Der physische Angriff ist in vielen Red-Team-Übungen der effizienteste Weg zu kritischer Infrastruktur - eine Stunde unbemerkter Zugang ersetzt oft wochenlange technische Arbeit.
Warum Physical Pentesting wichtig ist
Physischer Zugang verändert das Angriffsbild grundlegend. Was ein Angreifer damit erreichen kann: Keylogger am Arbeitsplatz installieren, USB-Sticks mit Malware anschließen, Netzwerk-Implants (LAN-Turtle, Packet Squirrel) verstecken, direkt auf Server-Konsolenports (IPMI, iDRAC) zugreifen, unverschlüsselte Laptops stehlen und Badge-Klone für Folgeangriffe anlegen.
Die klassische Red-Team-Angriffskette lautet: OSINT → Tailgating → Netzwerk-Implant → Remote-Zugriff → Lateral Movement. Im Vergleich zu technischen Exploits (Wochen Entwicklungszeit, hohes Entdeckungsrisiko) ist physischer Zugang mit Stunden Vorbereitung und niedrigem Entdeckungsrisiko der günstigere Angriffsweg. Technische Sicherheit ohne physische Sicherheit ist wertlos - Zero Trust gilt auch physisch.
Rechtliche Grundlagen und Autorisierung
Ohne Autorisierung ist Physical Penetration Testing Hausfriedensbruch (§ 123 StGB). Unbefugtes Betreten von Räumen ist strafbar, auch wenn der Zweck das Testen der Sicherheit ist. Weiteres strafbewehrtes Terrain: § 202a StGB (Ausspähen von Daten durch Anschluss von Datenträgern ohne Berechtigung) und § 303 StGB (Sachbeschädigung, z.B. Kratzer beim Lock-Picking).
Das Autorisierungsschreiben ("Get-Out-of-Jail Letter") muss folgende Angaben enthalten: Name des Testers und der durchführenden Firma, Testzeitraum (von/bis), autorisierte Objekte mit Adresse, Gebäude und Etagen, Umfang (Zutrittsversuche, Badge-Tests, Tailgating) sowie Ansprechpartner und Telefonnummer. Unterschrift des Auftraggebers ist Pflicht. Der Brief muss immer mitgeführt und Polizei oder Sicherheitspersonal gezeigt werden wenn der Tester gestoppt wird. Eine separate Kopie beim Auftraggeber ermöglicht telefonische Bestätigung. Vor dem ersten Einsatz sollte ein auf Strafrecht spezialisierter Anwalt hinzugezogen werden.
Weitere Koordinationspunkte mit dem Auftraggeber: Blind-Test oder transparenter Test? Wer muss Bescheid wissen (Sicherheitsdienst, Empfang, Geschäftsführung)? Ein 24/7-erreichbarer Notfallkontakt für den Fall, dass ein Tester festgehalten wird, ist unverzichtbar. Scope und Out-of-Scope-Bereiche (Produktion, Kundenräume, Privatbereiche) sind schriftlich zu fixieren.
Reconnaissance und OSINT
Vor dem physischen Einsatz werden öffentliche Quellen ausgewertet: Google Maps Street View (Eingänge, Kameras, Außenbereich), Google Earth (Dachzugänge, Lüftungsschächte, Nebengebäude), LinkedIn und XING (Mitarbeiternamen, Abteilungsstruktur, Organigramm), Unternehmenswebseite (Karriere, Team, Kontakt), Handelsregister (Tochtergesellschaften, Standorte) sowie manchmal öffentliche Baupläne bei der Stadtplanung.
Job-Postings sind eine unterschätzte Quelle: Eine IT-Stellenanzeige mit dem Wunsch nach "Kenntnissen in Juniper-Routern und Cisco-Switches" verrät den Technologie-Stack. Ausschreibungen für Sicherheitsdienstleister geben Aufschluss über Dress-Code und Bewachungsfirma.
Für die Social-Engineering-Vorbereitung sind folgende Informationen wertvoll: Empfangsperson und Hausmeister identifizieren, typische Besucher (Lieferanten, IT-Service, Handwerker), IT-Support-Firma herausfinden. Reconnaissance vor Ort ohne Eintreten umfasst: Beobachten von Raucherpausen-Zeiten (offene Türen!), Kartieren von Kamera-Positionen, Identifizieren des Badge-Systems (HID, MIFARE, LEGIC), Beobachten von Wachintervallen und Schichtübergaben als Ablenkungsmoment.
Werkzeuge und Techniken
Badge- und RFID-Klonen: Der Proxmark3 (ca. 300 EUR) ist das professionelle Werkzeug und liest alle gängigen RFID-Karten (EM4100, HID, MIFARE, iCLASS). 125-kHz-Karten (EM4100, HID Prox) lassen sich damit ohne Mitwissen des Opfers klonen, bei einer Reichweite von 5-10 cm. Der Flipper Zero (ca. 200 EUR) ist ein Multitool für RFID, NFC, Sub-GHz, IR und iButton: EM4100 liest und emuliert er unkompliziert, Sub-GHz ermöglicht das Klonen von Garagentoröffnern. Long-Range-Reader, versteckt in einer Umhängetasche, können EM4100-Badges von bis zu 50 cm Abstand lesen.
Lock-Picking: Ein Grundset besteht aus Hook-Pick, Diamond und Tension-Wrench. Beim Single Pin Picking wird jeder Pin einzeln gesetzt; Raking ist schneller, aber weniger präzise. Bypass-Methoden sind oft einfacher als Picking: Shimming bei Vorhängeschlössern, Under-the-Door-Tools für Türgriffe von innen, Loid (Kreditkarte) gegen Schrägriegel. Lock-Picks sind in Deutschland zwar legal zu besitzen, ihr Einsatz ist aber ausschließlich mit Autorisierung zulässig (§ 123 StGB).
Keylogger und Netzwerk-Implants: Hardware-Keylogger (ca. 50 EUR) werden zwischen Tastatur und PC platziert (PS/2- und USB-Varianten) und speichern alle Tastenanschläge. LAN Turtle (Hak5, ca. 80 EUR) tarnt sich als USB-Ethernet-Adapter; Packet Squirrel ist ein passiver Traffic-Logger; ein Raspberry Pi Zero W kann vollständig versteckt hinter einem Rack platziert werden.
BadUSB: Der USB Rubber Ducky (ca. 80 EUR) emuliert eine HID-Tastatur und tippt Payload-Befehle mit hoher Geschwindigkeit - eine Reverse-Shell-Sequenz dauert rund 10 Sekunden. Das O.MG Cable sieht wie ein normales Lightning-Kabel aus und enthält ein eingebettetes WiFi-Modul.
Angriffstechniken im Detail
Tailgating nutzt soziale Hemmungen: Der Tester hält Abstand zu einem Mitarbeiter und folgt durch die Sicherheitstür. "Ich habe meinen Badge vergessen" erzeugt häufig eine Empathie-Reaktion. Gegenmaßnahmen: Mantrap (Schleuse), Tailgating-Detection-Kameras und eine Unternehmenskultur, in der das Ansprechen von Fremden erwünscht ist.
Pretexting-Szenarien im Detail: Als Handwerker oder Techniker funktioniert ein Auftritt mit Werkzeugkoffer, Sicherheitsschuhen, Weste und Klemmbrett - der Hinweis "Ich habe schon mit Herrn [Name aus LinkedIn] gesprochen" überbrückt Rückfragen am Empfang. Als IT-Support ("Wir haben eine Meldung wegen Ihres Netzwerkanschlusses") mit Laptop wirkt man sofort glaubwürdig. Als Lieferant (Amazon-Kleidung, leere aber schwere Pakete) werden Türen regelmäßig aufgehalten. Als neuer Mitarbeiter ("Ich fange heute an, bin im falschen Gebäude") aktiviert man Empathy-Responses ohne Badge-Erwartung.
Umgehung von Türen: Rex-Sensoren (Request to Exit) auf der Innenseite öffnen viele Türen per Bewegungsmelder - ein dünner Draht oder ein Stoß Druckluft unter der Tür kann den Sensor auslösen. Notausgänge müssen aus Brandschutzgründen von innen immer öffenbar sein; von außen sind sie manchmal über Stangenschlösser ohne Alarm zugänglich. Lüftungsschächte sind entgegen der Filmdarstellung in der Praxis kaum nutzbar.
Physische Sicherheitschecks
Außenbereich: Perimeter-Absicherung (Zäune, Tore, Beleuchtung), Kamera-Abdeckung ohne blinde Flecken und mit HD- und Nachtsichttauglichkeit, unbeaufsichtigte Nebeneingänge.
Zutrittskontrolle: Badge-System-Stärke (EM4100 ist unsicher; iCLASS SE/Elite deutlich besser), Tailgating-Möglichkeiten an allen Eingängen, Mantrap bei kritischen Bereichen, Besucher-Management mit Ausweis-Pflicht und Begleitung.
Physische Sicherheit intern: Unbeaufsichtigte PCs (Screen-Lock-Timeout), Clean-Desk-Policy (keine Passwörter auf Zetteln), Drucker mit vertraulichen Dokumenten, Aktenvernichtung (mindestens P-4 Kreuzschnitt), Netzwerk-Ports in Empfangsbereichen (LAN-Turtle-Ziel).
Serverraum/Rechenzentrum: Zutrittslog (wer war wann drin), Kameraüberwachung, Rack-Schlösser (einfach zu umgehen), gesicherte Konsolenports (BIOS-Passwort, iDRAC-Authentifizierung), keine Leerslots in Racks.
Meldekette und RFID-Audit: Prozess für unbekannte Personen definiert, Mitarbeiter in "Fremde ansprechen" geschult, alle aktiven Badges inventarisiert, Badges ehemaliger Mitarbeiter deaktiviert, Badge-Technologie von 125 kHz auf 13,56 MHz SE/Elite aktualisiert, Anti-Skimming-Schutzhüllen für Mitarbeiter bereitstellen.
Berichterstattung
Der Physical Pentest Report besteht aus einer Executive Summary (Scope und Zeitraum, Zusammenfassung der erreichten Ziele, kritischste Findings, Gesamtrisikobewertung) und einer detaillierten Szenarien-Sektion.
Jeder Angriffsversuch wird dokumentiert mit: Beschreibung des Versuchs, Ergebnis (erfolgreich/nicht erfolgreich), Beweismittel (anonymisierte Fotos, Badge-Klone), Risikoklassifizierung (Kritisch/Hoch/Mittel/Niedrig) und konkreter Gegenmaßnahmen-Empfehlung.
Beispiel-Finding: Tailgating durch Haupteingang erfolgreich (Severity: Hoch). Der Tester folgte einem Mitarbeiter durch den gesicherten Eingang ohne Badge-Scan - der Mitarbeiter hielt die Tür auf. Impact: physischer Zugang zum gesamten Bürobereich inklusive IT-Infrastruktur. Empfehlung: Schulung zur Security-Culture, Mantrap-Installation am Haupteingang, Tailgating-Detection-Kamera aktivieren.
Die Foto-Dokumentation umfasst: Proxmark3-Log-Screenshots als Nachweis des Badge-Klons, anonymisierte Fotos von Passwort-Zetteln, Netzwerk-Ports in öffentlichen Bereichen und Drucker mit unabgeholten Ausdrucken.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.
