Im Auftrag eingebrochen

00:00:01: Da würde ich vielleicht den Vergleich zum Phishing ziehen.

00:00:04: Da gab es in der Vergangenheit auch eine große Diskussion dazu, oder darum ob Phishing-Kampagnen notwendig sind und wie der Effekt eigentlich ist, der Schulungseffekt.

00:00:12: Und da hat sich ja auch gezeigt dass diese Kampagne alleine gesehen nicht so einen großen Effekt haben.

00:00:18: Das ist bei den physischen Assessments ähnlich.

00:00:20: also da geht's eher darum zu zeigen das etwas machbar ist und einzelne besonders exponierte Personen zu schulen.

00:00:29: In der breiten Masse kann das aber nicht funktionieren.

00:00:32: Da gibt es dann zum Beispiel andere Ansätze, dass man sagt, man macht so eine Art Übung oder Drill wo Personen dazu animiert werden aktiv Leute anzusprechen.

00:00:43: Das heißt ich als Angreifer gehe in ein Unternehmen und habe schon einen T-Shirt an wo drauf steht Ich bin hier nicht berechtigt hier zu sein Und gehe ich direkt mit den Leuten ins Gespräch bzw.

00:00:57: warte darauf erst mal, dass ich angesprochen werde.

00:01:00: und wenn nicht angesprochen werden, dann werde ich von Zeit zu Zeit immer dreister probiere irgendwas an Rechner anzuschließen, probiere durch bestimmte Türen durchzukommen und hoffe einfach darauf, dass die Leute mich ansprechen und die dann mit denen in das Gespräch um ihnen zu zeigen welche Risiken jetzt letzten Endes mit ihrem Verhalten da verbunden sind.

00:01:24: HiWay!

00:01:25: Dein Wegweiser für Digitalisierung und Sicherheit. Präsentiert von HiSolutions

00:01:36: Hallo und herzlich willkommen zu einer neuen Folge von unserem HiWay Podcast.

00:01:41: Bei uns soll es heute um das Thema physische Sicherheit gehen, also um ein ganz greifbares Thema, um die Absicherung von Räumen, Gebäuden oder Betriebsgeländen.

00:01:50: Und ich habe einen total super Gast, den ich jetzt direkt vorstellen muss.

00:01:53: Henning!

00:01:55: Du bist sozusagen vom Beruf Einbrecher.

00:01:57: Deswegen haben wir dich hier nicht ganz.

00:02:00: Also du bist bei uns Pentester.

00:02:02: Du hast ne, also du brichst ein in Anwendungen und in Systemumgebung und sowas um Schwachstellen zu dokumentieren.

00:02:08: Und Hinweise zu geben wie sie geschlossen werden können und das Risiko einzuschätzen oder so was.

00:02:14: Aber du machst es eben nicht nur mit Systemen und nicht nur an Anwendung sondern auch mit Gebäuden.

00:02:22: Das finde ich einfach spannend!

00:02:23: Dazu möchte ich dich interviewn und vor allem möchte ich dir eine erste Frage stellen.

00:02:27: Du hast Informatik studiert.

00:02:29: Wie kommt man dazu?

00:02:33: Das ist eine gute Frage.

00:02:36: Das Interesse für physische Sicherheiten kam eher aus Filmen und so was, Agentenfilme.

00:02:44: Filme in denen die Schwachstelle Mensch irgendwie ausgenutzt wurde, Catch Me If You Can, Paper Moon ... die Born Trilogie.

00:02:53: Und das Interesse der physischen Sicherheit geht einen her mit dem Interesse von Informationssicherheit.

00:03:01: D.h.,

00:03:02: Ich kann im Grunde nicht für Informationssicherheit sorgen, wenn meine Betriebsmittel alle frei zugänglich sind.

00:03:09: Wenn Papiere irgendwo rumliegen, Dokumente und außerdem bin ich noch begeisterter Kletterer.

00:03:16: Das passt dann auch noch sehr gut in die Thematik rein, dass man mal über Zäune rüber kommt.

00:03:25: Warum findest du es wichtig?

00:03:27: Ich finde Spaß gut, Spaß an der Arbeit ist super.

00:03:30: Aber wenn wir's dem Kunden verkaufen wollen, muss das auch wichtig sein!

00:03:33: Also was ist der Hintergrund, das so stark zu betrachten?

00:03:37: Ja ich bin ja eingestiegen über das Pentesting in der Informationssicherheit und Stück für Stück bin ich dann auch in diese physische Sicherheitsschiene gekommen Und meine ersten Erfahrungen waren dass es super einfach ist im Gebäude reinzukommen.

00:03:54: Das heißt, ich druck mir einen Ausweis selber der so aussieht wie der original Firmenausweis.

00:04:00: Ich halte ihn irgendwo an eine Glasscheibe ran beim Pferdner und sage, dass mein Ausweis nicht funktioniert – und ich bin drin!

00:04:05: Und das wird in der Regel selten gechallenged.

00:04:10: Das funktioniert genauso gut bei einfachen Mitarbeitenden wenn ich durch ne Tür mitkommen oder durchkommen möchte.

00:04:17: Wenn ich irgendwo klopfe und sage «mein Ausweis funktioniert nicht».

00:04:22: sehr so einfach und deswegen halt total unterschätzt auch.

00:04:28: Und ich glaube, es wird nur nicht so häufig gemacht weil es eben viel einfacherere und vor allem in der Masse tauglichere andere Angriffe gibt wie zum Beispiel Phishing wo das Risiko für die Angreifenden einfach noch sehr niedrig ist allerdings bei gezielten Angriffen wenn man wirklich irgendwo reinkommen möchte.

00:04:50: ein ganz konkretes Ziel hat ein besonders hochwertiges Ziel hat, also als Unternehmen.

00:04:59: Dann denke ich, dass es doch auch sehr einfach machbar ist.

00:05:03: Okay!

00:05:07: Also was dann die interessante Frage ist?

00:05:09: Ich denk das passiert ja öfter ne?

00:05:10: Das passiert ja auch unbeabsichtigt, dass mal jemand irgendwie mit hinter der Tür kommt weil man Ausweis nicht dabei hat oder so.

00:05:15: Es ist sehr menschlich.

00:05:17: Kann man das schon vorstellen, dass das leicht ist?

00:05:20: Ich stelle es mir trotzdem sehr aufregend vor tatsächlich.

00:05:23: Aber was machst du dann?

00:05:24: Also, du machst ja sozusagen im Rahmen von so Red-Teaming Assignments zum Beispiel aber auch unabhängig davon.

00:05:30: prüfst du das im Kundenauftrag.

00:05:33: also was tust du wenn du dann reingekommen bist?

00:05:35: Was sind denn übliche Ziele?

00:05:36: Ja, also üblicherweise stimmen wir das vorher mit dem Kunden natürlich ab, was wir machen dürfen und was wir sollen.

00:05:43: Das kann zum Beispiel sein, dass wir ein Laptop klauen.

00:05:46: Das kann sein, das wir uns ein elektronisches Zutrittsmittel irgendwie organisieren.

00:05:52: Es kann sein ,dass wir einfach nur Gespräche belauschen probieren in bestimmten besonders schützenswerte Räumlichkeiten zu kommen Vorstandsbüro oder Serverräume Genau gehen die Postfächer durch, schauen ob wir da irgendwas lohnen zu werden.

00:06:09: Das finden ... je nachdem was der Kunde mit uns abgestimmt hat und was wir machen sollen.

00:06:14: Und je nach dem, was das Ziel von unserem Auftrag ist, sollen wir sensibilisieren?

00:06:20: Sollen wir einfach nur zeigen, dass es machbar ist?

00:06:25: Genau!

00:06:26: Okay,

00:06:26: d.h.,

00:06:27: ihr habt das mit dem Kunden vereinbart.

00:06:29: Ihr habt vereinbart, was ihr macht und was ihr tun dürft.

00:06:33: Dann ist es leicht und ihr kommt irgendwo rein.

00:06:35: Also vielleicht ihr schafft es ein Laptop mitzunehmen oder keine Ahnung ins Rechenzentrum zu gehen und irgendwie einen Keylogger zu platzieren, was auch immer.

00:06:44: Was passiert dann?

00:06:44: Ich vermute die meisten Organisationen sind wahrscheinlich eher davon überzeugt dass sie ganz gut aufgestellt sind weil sonst hätten sie's ja von vornherein anders gemacht.

00:06:55: Wie ist denn so die Reaktion?

00:06:57: hast du der Erlebnisse vom erwischt werden oder vielleicht auch Erlebnisse davon eben nicht erwischt worden zu sein die du teilen kannst?

00:07:04: Ja vom erwischt werden?

00:07:05: tatsächlich bisher noch nicht.

00:07:09: Das Spektakulärste, was wir mitgemacht haben in der Richtung war dass tatsächlich mal ein externer Sicherheitsdienstleister danach Personen entlassen wollte.

00:07:21: so die heftigste Konsequenz.

00:07:23: da hat zum Glück unser kunde ja auf Vorstandsebene interveniert und gesagt das explizit diese beiden personen dann auch Bitte weiterhin dort beschäftigt sind und auch weiter bei diesem Kunden im Einsatz.

00:07:35: Weil das einfach die besten geschultesten Personen jetzt sind.

00:07:41: Ansonsten, die Reaktionen ... Ja, da muss man sehr feinfühlig sein immer.

00:07:46: Ich bin ein Fan davon, dass wir möglichst zeitnah nach dem Assessment auf die einzelnen Personen zugehen und mit denen durchsprechen was gerade passiert ist.

00:07:57: Einfach damit sich Leute nicht hintergangen fühlen.

00:08:01: Super wichtig, weil es nicht darum geht, angebliche schwarze Schafe zu identifizieren oder Menschen eine Falle zu stellen.

00:08:09: Und da würde ich auch einen Auftrag ablehnen wenn ich merke das soll denn die Richtung gehen.

00:08:15: Es geht eher darum Fehler in Prozessen zu identifikieren.

00:08:18: Wissen Mitarbeitende überhaupt dass sie fremde Personen immer zu zweit begleiten sollten wenn die Personen auch zu zweit sind.

00:08:26: Das zum Beispiel, das sind wir mal... War zu

00:08:28: zweit?

00:08:28: Ja, wollte ich auch gerade sagen!

00:08:29: Die Regeln mit dem Begleiten kenne ich.

00:08:31: Warum zu

00:08:31: zweitt?!

00:08:32: Näh, wir sind zum Beispiel mal nachts in ein Unternehmen reingekommen wo wir... Es war ziemlich kompliziert.

00:08:40: Wir hatten noch eine Person am Telefon, die hat angerufen dass wir jetzt kommen als externer Dienstleister und wir haben gesagt, dass wir Netzwerkauffälligkeiten untersuchen müssen und es dringend ist weil es möglicherweise einen Hackerangriff gibt.

00:08:52: Und wir waren zu zweit und wurden dann vom Sicherheitsdienst in Begleitung durch das Unternehmen geführt, waren auch ins Schützenswert noch Räumlichkeiten wie zum Beispiel von Vorstand.

00:09:04: Und es war dann sehr einfach dass wir uns auch einfach aufgeteilt haben, dass die eine Person mal in das Büro reingeht, die andere Personen im Besprechungsraum und eine einzelne Person kann natürlich nicht alles im Blick behalten.

00:09:16: und ja da wurden dann zb auch Attrappen von Mikrophonen, Kielorgan etc.

00:09:21: platziert.

00:09:24: Frage drei.

00:09:25: Also ich sehe ihr Adressiertes, das sind Möglichkeiten die ja schon auch Unmut oder Scham erzeugen können.

00:09:31: wo aber irgendwie versucht entgegenzuwirken ist es trotzdem dass was sein muss sozusagen also ist das die einzige Möglichkeit die Mitarbeitenden aufs Glatteis zu führen?

00:09:40: Ich vermute man erreicht damit in der Sensibilisierung nicht wahnsinnig viele Leute und ich glaube es bleibt ja schon irgendwie auch hängen.

00:09:47: so emotional ein bisschen.

00:09:49: Ja würde ich vielleicht den Vergleich zum Phishing ziehen.

00:09:53: Da gab es in der Vergangenheit auch eine große Diskussion dazu, oder darum ob Phishing-Kampagnen notwendig sind und wie der Effekt eigentlich ist, der Schulungseffekt.

00:10:02: Und da hat sich ja auch gezeigt dass diese Kampagne alleine gesehen nicht so einen großen Effekt haben.

00:10:07: Das ist bei den physischen Assessments ähnlich.

00:10:10: also da geht's eher darum zu zeigen das etwas machbar ist und einzelne besonders exponierte Personen zu schulen.

00:10:19: In der breiten Masse kann das aber nicht funktionieren.

00:10:21: und da gibt es dann zum Beispiel andere Ansätze, dass man sagt Man macht so eine Art Übung oder Drill wo Personen dazu animiert werden aktiv Leute anzusprechen.

00:10:33: Das heißt ich als Angreifer gehe in ein Unternehmen Und habe schon einen T-Shirt an wo drauf steht Ich bin hier nicht berechtigt hier zu sein gehe ich direkt mit den Leuten ins Gespräch beziehungsweise.

00:10:47: Ich warte darauf erst mal, dass ich angesprochen werde und wenn nicht angesprochen werden dann werde ich von Zeit zu Zeit immer dreister probiere irgendwas an Rechner anzuschließen, probiere durch bestimmte Türen durchzukommen und hoffe einfach darauf das die Leute mich ansprechen und geh dann mit denen in's Gespräch um ihnen zu zeigen welche Risiken jetzt letzten Endes mit ihrem Verhalten da verbunden

00:11:07: sind.".

00:11:10: Das ist jetzt sozusagen der gesamte Bereich Social Engineering, den wir angeguckt haben.

00:11:14: Also ich habe gesagt, physische Sicherheit am Anfang.

00:11:16: Social Engineering ist vielleicht ein Spezialfall davon oder sowas, wo es eben darum geht, die leichte zu umgehende Schwachstelle den Menschen zu nutzen.

00:11:24: Physische Sicherheit ist aber ja nicht nur Social Engineering?

00:11:26: Oder sind wahrscheinlich andere Aspekte auch noch mit drin?

00:11:29: Genau!

00:11:32: Im Grunde Social Engineering als eben Angriffsversuch, um an physischen Sicherheitsmaßnahmen vorbeizukommen.

00:11:39: Unternehmen investieren sehr viel Geld in ihre physische Sicherheits- maßnahmen, um klassische Einbrüche zu verhindern.

00:11:45: Da haben wir Alarmanlagen besonders sichere Schlösser, Vereinzelungsanlagen oder ähnliches und mit dem Social Engineering probieren wird das alles zu umgehen.

00:11:55: Nichtsdestotrotz sind diese Maßnahmen natürlich super wichtig.

00:11:58: Das prüfen wir zum Beispiel dann in erster Linie in offenen Begehungen.

00:12:02: Das heißt, wir probieren gar nicht erst ein Schloss aufzubohren oder Lockpicking zu machen.

00:12:08: Klar das können wir machen wenn es notwendig ist aber in erester Linie testen wir sowas dann in offene Begehung und gehen zusammen mit den Sicherheitsverantwortlichen die entsprechenden Punkte ab Und schauen ob's irgendwelche Sprachstellen gibt.

00:12:25: Ja, Henning.

00:12:25: Vielen Dank für diesen Einblick in eine wirklich, wirklich ungewöhnliche Tätigkeit die sehr aufregend klingt wo ich mir nicht so richtig vorstellen konnte oder sich vielleicht nicht jeder so richtig vorstellen kann wie sie abläuft was das auch so für Auswirkungen hat dir aber sehr anschaulich zeigt wo manchmal die Schwachstellen liegen an den Stellen die so banal sind dass man gar nicht mehr drüber nachdenkt.

00:12:47: also dann gibt es tolle Firewalls und dann gibt's tolle Sicherheitsmechanismen Schicke Absicherungskonzepte.

00:12:53: Und dann ist es eben trotzdem möglich, reinzugehen und zu fragen ob man mal eben ein Laptop mitnehmen könnte.

00:12:58: Nichtsübersehende Schwachstelle.

00:13:00: Spannender Aspekt der Informations-Sicherheit die physische Sicherheit.

00:13:05: Liebe Zuhörerinnen und Zuhörer liebe Zuschauerinnen und Zuschauer.

00:13:08: wir verlinken euch noch einige Infos zum Thema weiterführend oder ein bisschen verwandt das was Henning zum Schluss diskutiert hat Die Sache mit den Studien mit der neu entstandenen Studie zur Wirksamkeit von Phishing-Maßnahmen, die ja auch so ein bisschen Auswirkungen hat oder übertragbar ist auf dieses Thema physische Sicherheit.

00:13:26: Dazu haben wir einen Blogartikel verfasst bei uns, den würden wir verlinken.

00:13:30: Wir würden noch einen anderen Blogartikel verlinken, der es so ein bisschen verwandt.

00:13:33: Der wurde tatsächlich im Fall von einer Incident Response in realer Keylogger gefunden, denen ein realer Angreifer hinterlegt hat.

00:13:39: Bei einem unserer Kunden und unsere Forensiker haben das dann untersucht.

00:13:42: Auch dazu gibt es einen kleinen Blogartikel, wer Lust hat so was mal zu lesen.

00:13:46: Sehr technisch aber ich würde's trotzdem mit verlinken und ansonsten sage ich herzlichen Dank fürs Zuhören, fürs Zuschauen und ich freue mich wenn ihr wieder dabei seid beim nächsten HiWay Podcast.

00:13:55: damit drei Fragen an allen Experten in zehn

00:14:12: Minuten.