Physical Assessment: Die Gebäudesicherheit auf Einfallstore prüfen

Bei einem Physical Assessment wird die physische Sicherheit überprüft. Die beste IT-Sicherheit nützt wenig, wenn die Unternehmenstüre jedem Angreifer physisch offensteht. Insbesondere interessant sind deshalb alle Schnittstellen zwischen der IT-Abteilung und weiteren Abteilungen.

Die Ausnutzung von Schwachstellen in der Zugangskontrolle oder in den Prozessen und der Awareness von Mitarbeitenden bietet oft einen Zugang zu den Unternehmensräumlichkeiten.

Darauf aufbauend sind folgende Ziele möglich:

• Eindringen in Server-, Labor- oder Lagerräume
• Eingliederung eines fremden Systems ins Unternehmensnetzwerk
• Zugang zu hochsensiblen Verwaltungsbüros

Je nach Kundenwunsch wird das Assessment mit mehr oder weniger Social Engineering durchgeführt. Wie bei allen Projekten mit Social Engineering-Anteil hält sich die SySS strikt an ihre Social Engineering-Ethik (siehe SySS-Whitepaper, Kapitel 3.3).

Das Physical Assessment liefert gleich mehrere Erkenntnisse. Die folgenden Fragen können beispielsweise mithilfe des Assessments beantwortet werden:

• Gibt es Schwachstellen in der Zugangskontrolle für Mitarbeitende und/oder Gäste?
• Gibt es Fehler in den Prozessen für Gäste?
• Wie hoch ist das Awareness-Level der Mitarbeitenden? Werden betriebsfremde Personen erkannt – und wenn ja, werden diese aufgehalten?
• Gibt es unzureichende physische Sicherheitsmaßnahmen?

Diese Erkenntnisse liefern dann weitere Möglichkeiten, Prozesse auszubauen oder gar einzuführen. Weitere Awareness-Maßnahmen lassen sich ebenfalls aus den Erkenntnissen ableiten.

Physical Assessments werden im Idealfall über einige Tage hinweg und von mindestens zwei Consultants durchgeführt. Die nachfolgenden Projektphasen bilden die Grundlage für das Assessment:

• Kick-off
• Sammeln von Informationen
• Erstellung geeigneter Hintergrundgeschichten
• Eindringversuche
• Dokumentation