Du hast eine Whitelist für Software und Hardware erstellt, deine Firewall-Richtlinien festgelegt und alle Benutzerberechtigungen überprüft. Aber hast du die Eingangstür abgeschlossen?

Unternehmen investieren enorme Ressourcen in die Cybersicherheit – und das zu Recht, denn ein einzelner Sicherheitsvorfall kann verheerende Auswirkungen auf das gesamte Geschäft haben. In dem Streben nach perfektem digitalem Schutz vergisst man leicht, dass es auch eine physische Seite der Cybersicherheit gibt.

Physische Social-Engineering-Bewertungen sind Übungen, die die Fähigkeit eines Unternehmens prüfen, sich gegen Angreifer zu verteidigen, die ihre Ziele vor Ort ausnutzen wollen. Wenn sie von einer erfahrenen Fachkraft durchgeführt werden, erhalten Organisationen wertvolle Einblicke, wie sicher sie tatsächlich sind.

Oft als das fehlende Puzzlestück der Cybersicherheit angesehen, sind physische Social-Engineering-Bewertungen in den USA immer beliebter geworden. Mit nur wenigen spezialisierten Berater:innen im Vereinigten Königreich und Irland sehen viele Unternehmen dies als den nächsten unverzichtbaren Service an.

was ist eine physische social-engineering-bewertung?
Physisches Social Engineering ist eine Bewertung, die feststellen soll, ob ein Angreifer physischen Zugang zu den Räumlichkeiten einer Organisation erlangen kann, um an sensible Informationen und interne Systeme zu gelangen. Anschließend werden Empfehlungen gegeben, wie man sich am besten gegen diese oft bei der Entwicklung einer Cybersicherheitsstrategie übersehenen Angriffe schützt.

Physisches Social Engineering ist ein oft übersehener Bereich der Cybersicherheit. Es beinhaltet, die Fähigkeit einer Organisation zu testen, unbefugten physischen Zugang zu ihren Standorten und Systemen zu verhindern. Eine typische Bewertung kann Versuche beinhalten, die Räumlichkeiten zu betreten, Netzwerkauthentifizierung zu erhalten oder Geräte zu platzieren, die für den Fernzugriff konzipiert sind – und dabei gleichzeitig alltägliche Praktiken wie Clean-Desk-Richtlinien, unbeaufsichtigte Arbeitsplätze oder offen herumliegende vertrauliche Dokumente zu beobachten.

Obwohl viele Organisationen regelmäßig interne und externe Penetrationstests durchführen, sind physische Sicherheitsbewertungen weit weniger verbreitet. Dies liegt häufig am Mangel an Fachkräften mit den richtigen Kompetenzen für umfassende Bewertungen. In vielen Fällen werden solche Tests von Berater:innen durchgeführt, deren Fachwissen hauptsächlich im technischen Bereich der Informationssicherheit und nicht bei physischen Eindringversuchen liegt. Infolgedessen können Organisationen ein falsches Sicherheitsgefühl entwickeln und glauben, dass der Schutz ihrer Netzwerke allein ausreicht, um vertrauliche Daten zu sichern.

Wenn schließlich eine physische Sicherheitsbewertung durchgeführt wird, können die Ergebnisse ein echter Augenöffner sein. Unternehmen sind oft überrascht, wie leicht jemand angeblich sichere Räumlichkeiten betreten, ein Gerät in das Unternehmensnetzwerk einbringen oder weggeworfene sensible Informationen sammeln könnte, ohne über Tage oder sogar Wochen entdeckt zu werden. Diese Erkenntnisse veranlassen Organisationen häufig dazu, physische Sicherheit auf ihre Cybersicherheitsagenda zu setzen, regelmäßige Bewertungen einzuführen und Gegenmaßnahmen zu ergreifen, um die Lücken zu schließen.

Im heutigen Bedrohungsumfeld ist physische Cybersicherheit wirklich das fehlende Puzzlestück. Ohne sie ernst zu nehmen, riskieren Organisationen, die Tür – manchmal buchstäblich – für Angreifer offenzulassen. Kriminelle Gruppen haben diese Schwachstelle ebenfalls erkannt, und Vorfälle mit physischem Eindringen als Teil größerer Cyberangriffe nehmen stetig zu.

wie unterscheidet sich eine physische social-engineering-bewertung von einer red-team-bewertung?
Physisches Social Engineering nimmt üblicherweise zwei Formen an:

  1. Penetrationstests – dieser Ansatz konzentriert sich ausschließlich auf das physische/social-engineering-Element: Kann ein Angreifer unentdeckt physischen Zugang zu den internen Netzwerken und sicheren Bereichen einer Organisation erlangen?

  2. Red Teaming – dieser Ansatz untersucht, ob der physische Angriffsvektor eine praktikable Route darstellt, um die Ziele des Engagements zu erreichen: Kann ein Angreifer unentdeckt physischen Zugang zu den internen Netzwerken einer Organisation erlangen, um dem Red Team logischen Zugang zu verschaffen und das Engagement voranzutreiben?

warum ist eine physische social-engineering-bewertung wichtig?
Cyberkriminelle gehen nach dem „niedrig hängenden Obst“, und weil in Cybersicherheitsstrategien Netzwerksicherheit vor physischer Sicherheit priorisiert wurde, ist es einfacher geworden, sich vor Ort Zugang zu Daten einer Organisation zu verschaffen als Netzwerke und Anwendungen online zu hacken.

Cybersicherheit bedeutet, potenziellen Bedrohungen immer einen Schritt voraus zu sein; Unternehmen müssen wissen, wo sie verwundbar sind und welche Bedrohungen ein konkretes Risiko für ihre Vermögenswerte und ihren Ruf darstellen könnten, um diese Risiken zu mindern oder ihre Verteidigungsmaßnahmen anzupassen. Da der physischen Sicherheit von Unternehmen bislang wenig Aufmerksamkeit geschenkt wird, bleibt sie ein praktikabler Angriffsvektor für Cyberkriminelle.

Fragst du dich, wie dein Unternehmen bei einer physischen Social-Engineering-Bewertung abschneiden würde? Finde es heraus, indem du Integrity360 kontaktierst und noch heute eine Bewertung vereinbarst.