Aktuelles & Veranstaltungen

Aus dem Tagebuch eines Red Teams – Teil 5

Die (Un-)Wirksamkeit von Sicherheitsdiensten

Sicherheitsdienste kommen und gehen – (leider) im wahrsten Sinne des Wortes. In diesem Artikel erzählen wir von drei Situationen, in denen wir mit Sicherheitsdiensten konfrontiert waren und deren Wirksamkeit nicht oder nur sehr eingeschränkt gegeben war.

„Und ihr müsst noch Spätschichten schieben?“

Es ist 21:50 Uhr. Außer uns ist keiner in diesem Bürogebäude – denken wir. Wir befinden uns zu zweit hinter dem Empfangstresen. Wie wir dort hingekommen sind? Tagsüber waren wir mittels Tailgating in das Gebäude gelangt. Bevor wir das Gebäude verließen, legten wir einen kleinen, unauffälligen Stein in den Rahmen einer Terrassentüre, die man nach einer kleinen Kletterpassage am Gebäude hoch erreichen konnte. Und unser Plan ging auf: Als wir spät abends hochkletterten, lag der Stein weiterhin im Türrahmen und hinderte die Türe am Schließen, sodass wir über die Terrasse in das Gebäude gelangten.

Wir steuerten zielstrebig den Empfangstresen an. Dort hatten wir tagsüber Schlüsselkästen gesehen, die ein interessantes Ziel darstellten, da wir noch auf der Suche nach einem ganz bestimmten Schlüssel waren. Am Tresen angekommen waren wir im Begriff, unser Material auspacken, als sich die Türe Richtung Flur öffnete. Überraschung, wir hatten Besuch! Vor uns Stand eine Person eines Sicherheitsdienstes, die ihre abendliche Runde durch das Gebäude drehte. Wie konnten wir das übersehen haben? Noch im gleichen Moment, in dem wir über eine Begründung unserer Anwesenheit nachdachten, stellt die Person fragend fest: „Und ihr müsst noch Spätschichten schieben?“ Perfekt, uns wurde die Antwort schon in den Mund gelegt! Wir bejahten dies, beschwerten uns kurz, wie ärgerlich und unnötig das sei. Die Person wünschte uns einen schönen Abend. Als die Türe wieder zufiel, sahen wir uns an und konnten uns das Schmunzeln nicht verkneifen – war es wirklich so einfach? Von nun an waren wir wirklich alleine und konnten uns ungestört umsehen.

Auf dem Weg nach draußen bemerkten wir später, dass der Sicherheitsdienst den Stein in der Terrassentüre auf der Runde durch das Gebäude noch entfernt haben muss. Gutes Timing für uns!

Bequemlichkeit: Klären der Situation aus dem Auto heraus

Bei dem Versuch, ein etwas außerhalb der Ortschaft gelegenes Gebäude nachts zu betreten, lösten wir einen Alarm aus. Die Sirene am Haus leuchtete rotierend rot und ertönte mit schrillem Klang. Wir verschlossen die Türe wieder, der Alarm tönte weiter. Um die Klärung der Situation zu beobachten, zogen wir uns zurück und beobachteten das Gebäude versteckt aus einiger Entfernung. Nach einigen Minuten verstummte die Sirene.

Wir warteten und warteten. Just in dem Moment, als wir die Beobachtung beenden wollten, um noch etwas Schlaf zu bekommen, sahen wir ein Auto mit der Aufschrift eines Sicherheitsdiensts, das sich dem Gebäude näherte. Nach 30 Minuten – doch so schnell? Und: Viel mehr passierte auch nicht. Das Auto drehte zwei Runden auf dem Hof. Vermutlich war das Personal mit speziellen Brillen ausgestattet, die durch Wände sehen konnten, denn eine Prüfung des Inneren des Gebäudes sparte man sich. Nachdem das Auto nach einer Minute den Hof wieder verließ, verabschiedeten auch wir uns.

Was könnte man in 60 Minuten alles anstellen?

Wieder einmal waren wir nachts unterwegs. An einem Bürogebäude fanden wir eine Seitentüre, die mit einem „normalen“ Türschloss gesichert war. Nach dem Erkunden der Möglichkeiten entschieden wir uns, mit sogenanntem Lockpicking zu versuchen, das Schloss zu öffnen. Beim Lockpicking versucht man, ein Schloss ohne Zugriff auf den Schlüssel mit Hilfe von Werkzeugen, die man in das Schloss einführt, zu öffnen. Wenige Minuten später war es so weit – das Schloss drehte sich! Doch an der Türe war eine Warnung angebracht, dass die Türe alarmgesichert sei. Und was nun? Nach einigem Abwägen entschieden wir uns, die Türe dennoch zu öffnen und das Risiko, einen Alarm auszulösen, einzugehen.

Wir waren zu dritt unterwegs. Einer von uns blieb im Auto, das an der Straße mit Sicht auf die Front des Gebäudes geparkt war. Sollte ein Sicherheitsdienst kommen – in unseren Köpfen vielleicht mit großen, wilden Hunden – dann würde die Person die Situation schon einmal deeskalieren, bevor der Sicherheitsdienst das Gebäude betreten würde. Die anderen beiden öffneten schließlich die Türe, wonach instantan ein lauter Alarm mit rot leuchtender Sirene ertönte. Die beiden gingen in das Gebäude hinein. Diesmal wollten wir prüfen, ob ein Sicherheitsdienst das Innere des Gebäudes sichtet und nicht – wie zuvor – die Sichtung aus dem Auto heraus stattfindet.

Die beiden setzten sich an einen Tisch, der nach dem Betreten gut einsehbar war. Nach wenigen Minuten verstummte der Alarm kurz, bevor er, ausgelöst durch Bewegungen der beiden im Inneren, wieder ertönte. Da wir testen wollten, ob der Sicherheitsdienst das Gebäude untersuchen würde, wenn der Alarm nicht mehr ertönt, durften die beiden sich fortan nicht mehr bewegen.

Aus dem Auto heraus beobachteten wir den Anwohner eines nahegelegenen Hauses, der, während der Alarm noch ertönte, die Situation aus der Ferne beobachtete. Doch sonst passierte nichts.

Die bewegungslosen Minuten schienen endlos – nach einer knappen Stunde erschien dann aber doch noch ein Sicherheitsdienst. Anders als in der vorherigen Situation ging die Person – übrigens ganz ohne große, wilde Hunde – ins Gebäude, sodass wir die Situation dann aufklärten.

Letztlich stellt sich die Frage: Was hätten wir in dieser Zeit im Gebäude machen können? Eine naheliegende Möglichkeit ist das Anschließen eines kleinen Computers (z.B. Raspberry Pi) ans Netzwerk, der eine Verbindung zu unserem Server herstellt. So hätten wir auch nach Verlassen des Gebäudes Zugriff auf das Netzwerk. Ob das dann wohl jemand bemerkt hätte? Der Sicherheitsdienst sicherlich nicht.

Wofür sind Sicherheitsdienste da?

Letztlich ist die Effektivität der Reaktionen der Sicherheitsdienste mit dem Ziel, die Sicherheit eines Gebäudes zu gewährleisten, in allen drei Fällen fraglich. Nicht zuletzt stellen sich Fragen, wie:

  1. Was erwarten Firmen eigentlich von ihren Sicherheitsdiensten? Sind die Aufgaben klar geregelt und Erwartungen kommuniziert?
  2. Ist festgelegt, wie ein Sicherheitsdienst bei einem potenziellen Vorfall reagieren soll und was unter einem potenziellen Vorfall zu verstehen ist?

Während die Antworten zu diesen Fragen für Ihren Sicherheitsdienst vertraglich vielleicht geklärt, vielleicht auch ungeklärt sind, können wir mit Ihnen zusammen herausfinden, wie Ihr Sicherheitsdienst tatsächlich reagieren würde.
Wir führen Red-Teaming-Projekte durch, in denen wir die Effektivität Ihres Sicherheitsdiensts durch Herbeiführen von Situationen, wie sie oben beschrieben sind, überprüfen. Melden Sie sich gern bei uns!

Telefon: +49 731 20 589-26
E-Mail: pentests@it-sec.de

Nina Wagner
IT-Security Consultant / Penetration Testing

Back To Top