Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Physical Penetration Testing: Methodik, Werkzeuge und rechtliche Grundlagen

Physical Penetration Testing testet physische Sicherheitsmaßnahmen: Zutrittskontrolle, Tailgating, Lock-Picking, Badge-Klonen, OSINT für physische Ziele, Social Engineering vor Ort. Dieser Artikel erklärt Methodik (PTES Physical), Werkzeuge (Proxmark3, Flipper Zero, Lock-Picks), rechtliche Absicherung (Autorisierungsschreiben), und Schutzmaßnahmen gegen physische Angriffe.

Inhaltsverzeichnis (7 Abschnitte)

Physical Penetration Testing prüft die physische Sicherheit eines Unternehmens: Kann ein Angreifer unbemerkt in Büros, Rechenzentren oder Produktionsanlagen gelangen? Der physische Angriff ist in vielen Red-Team-Übungen der effizienteste Weg zu kritischer Infrastruktur - eine Stunde unbemerkter Zugang ersetzt oft wochenlange technische Arbeit.

Warum Physical Pentesting wichtig ist

Physischer Zugang: Game Changer für Angreifer:

Was physischer Zugang ermöglicht:
  → Keylogger am Arbeitsplatz installieren
  → USB-Drop: Malware-Stick an PC anschließen
  → Netzwerk-Implant (LAN-Turtle, Packet Squirrel) verstecken
  → Direktzugang zu Server-Konsolenports (IPMI, iDRAC)
  → Laptop-Diebstahl (unverschlüsselt = kompletter Datenabfluss)
  → Badge-Klonen für Folgeangriffe
  → OSINT vor Ort: IT-Infrastruktur-Labels, Systemnamen, Netzwerktopologie

Klassische Angriffskette (Red Team):
  OSINT → Tailgating → Netzwerk-Implant → Remote-Zugriff → Lateral Movement

Kosten-Nutzen-Verhältnis für Angreifer:
  → Technischer Exploit: Wochen Entwicklungszeit, hohe Entdeckungsrisiko
  → Physischer Zugang: Stunden Vorbereitung, niedrige Entdeckungsrisiko
  → "Der günstigste Angriff ist der physische"

Gegenmaßnahme:
  → Technische Sicherheit ohne physische Sicherheit = wertlos!
  → Zero Trust gilt auch physisch: Niemandem vertrauen der reinmarschiert

Rechtliche Grundlagen und Autorisierung

KRITISCH: Ohne Autorisierung ist Physical Pentest Hausfriedensbruch!

Rechtslage Deutschland:
  § 123 StGB Hausfriedensbruch:
  → Unbefugtes Betreten von Räumen → Strafbar!
  → Gilt auch wenn "nur Sicherheit testen"
  → Kein guter Wille schützt vor Strafverfolgung

  § 202a StGB Ausspähen von Daten:
  → Zugriff auf Computer ohne Berechtigung → Strafbar
  → Auch: Datenträger an fremdem PC anschließen

  § 303 StGB Sachbeschädigung:
  → Lock-Picking mit Kratzer → Sachbeschädigung!

Autorisierungsschreiben (Get-Out-of-Jail Letter):
  MUSTER-INHALT:
  ────────────────────────────────────────────────────
  Hiermit wird [NAME TESTER] / [FIRMA] autorisiert,
  in der Zeit vom [DATUM] bis [DATUM]
  physische Sicherheitstests an folgenden Objekten
  durchzuführen:

  Objekte: [ADRESSE, GEBÄUDE, ETAGEN]
  Umfang: Zutrittsversuche, Badge-Tests, Tailgating

  Bei Fragen: [ANSPRECHPARTNER] Tel: [TELEFON]

  Unterschrift Auftraggeber: _____________
  ────────────────────────────────────────────────────

  IMMER mitführen! Polizei/Sicherheitspersonal zeigen wenn gestoppt.
  Separate Kopie beim Auftraggeber → telefonische Bestätigung möglich.
  Juristische Prüfung: Anwalt für Strafrecht vor erstem Einsatz!

Koordination mit Auftraggeber:
  → Geheimnis über Test? (Blind-Test) oder transparent?
  → Wer muss Bescheid wissen: Sicherheitsdienst, Empfang, Geschäftsführung?
  → Notfall-Kontakt: 24/7 erreichbar wenn Tester festgehalten wird
  → Scope: Welche Gebäude? Stockwerke? Serverräume?
  → Out-of-Scope: Produktion, Kundenräume, Privatbereiche

Reconnaissance und OSINT

Physical OSINT vor dem Einsatz:

Öffentliche Quellen:
  → Google Maps Street View: Eingänge, Kameras, Außenbereich
  → Google Earth: Dachzugänge, Lüftungsschächte, Nebengebäude
  → LinkedIn: Mitarbeiternamen, Abteilungsstruktur, Organigramm
  → XING: weniger international, gut für DACH
  → Unternehmenswebsite: "Karriere", "Team", "Kontakt" → Namen, Fotos, Standort-Details
  → Handelsregister: Tochtergesellschaften, Standorte
  → Baupläne: manchmal öffentlich bei Stadtplanung

Job-Postings ausnutzen:
  → IT-Stellenanzeige: "Kenntnisse in Juniper-Routern und Cisco-Switches erwünscht"
  → Verrät Technologie-Stack → wichtig für technischen Angriff
  → Sicherheitsdienstleister: Welche Firma bewacht den Standort?
  → "Security Guard von [FIRMA X] ab sofort gesucht" → Dress-Code bekannt!

Social Engineering Vorbereitung:
  → Organigramm: Wer ist Empfangsperson? Wer ist Hausmeister?
  → Typische Besucher: Lieferanten, IT-Service, Handwerker
  → IT-Support-Firma: "Wir kommen wegen Ihres Tickets..."
  → Lieferant: Amazon/DHL-Kleidung + große Pakete → Tür auf!

Reconnaissance vor Ort (ohne Eintreten):
  → Außenbereich beobachten: Raucherpause-Zeiten → Türen offen!
  → Kamera-Positionen kartieren
  → Badge-System identifizieren: HID, MIFARE, LEGIC?
  → Wachintervalle beobachten: wann macht Wachmann die Runde?
  → Schichtübergaben: Ablenkungsmoment!

Werkzeuge und Techniken

Physical Pentest Toolkit:

Badge/RFID-Klonen:
  Proxmark3 (professionell, ~300 EUR):
  → Liest alle gängigen RFID-Karten: EM4100, HID, MIFARE, iCLASS
  → Klont 125kHz-Karten (EM4100, HID Prox) ohne Mitwissen des Opfers!
  → 13.56MHz (MIFARE Classic): klonbar wenn key bekannt
  → Reichweite: 5-10cm (Karte in Hosentasche eines "Bumpers")

  Flipper Zero (~200 EUR):
  → Multitool für RFID, NFC, Sub-GHz, IR, iButton
  → EM4100 (125kHz): lesen und emulieren → unkompliziert
  → MIFARE Classic: lesen (wenn ungesichert), klonen
  → Sub-GHz: Garagentoröffner klonen (433MHz, 868MHz)
  → Auch: Bluetooth-Sniffing, BadUSB-Angriffe

  Lange-Range-Reader (LF Reader):
  → Versteckt in Umhängetasche
  → Liest EM4100-Badges von ~50cm Abstand
  → Kombination mit Social Engineering: "nahe an Ziel herantreten"

Lock-Picking:
  → Grundset: Hook-Pick, Diamond, Tension-Wrench
  → Single Pin Picking (SPP): jeder Pin einzeln setzen
  → Raking: schneller, weniger präzise (für günstige Schlösser)
  → Bypass-Methoden oft einfacher als Picking:
    → Shimming: Vorhängeschloss mit Plastikstreifen
    → Under-the-Door-Tool: Türgriff von innen betätigen
    → Loid (Kreditkarte): Schrägriegel zurückdrücken

  Rechtlich: Lock-Picks in Deutschland nicht verboten (zu besitzen)
  → Einsatz: nur mit Autorisierung! (§ 123 StGB)

Keylogger:
  → Hardware-Keylogger zwischen Keyboard und PC (~50 EUR)
  → PS/2 und USB-Varianten
  → Speichert alle Tastenanschläge → später auslesen
  → Erkennung: physische Inspektion oder USB-Gerätmanagement

Netzwerk-Implants:
  → LAN Turtle (Hak5, ~80 EUR): Tarnt sich als USB-Ethernet
  → Packet Squirrel: passiver Traffic-Logger
  → Raspberry Pi Zero W: vollständiges Linux, versteckt hinter Rack
  → WiFi Pineapple: MITM-Angriff auf WLAN

BadUSB:
  → USB-Rubber-Ducky (~80 EUR): emuliert HID-Tastatur
  → Tippt Payload-Befehle mit 1000 WPM
  → Autorun-Sequenz: PowerShell → Reverse Shell → 10 Sekunden!
  → O.MG Cable: Normales Lightning-Kabel mit eingebettetem WiFi

Angriffstechniken im Detail

Tailgating und Social Engineering:

Tailgating (Hinterherfolgen):
  → Hält Abstand zu Mitarbeiter → folgt durch Sicherheitstür
  → "Tut leid, ich habe meinen Badge vergessen" → soziale Hemmung
  → Schlimmster Fall: Mitarbeiter hält Tür auf → eingeladen!

  Gegenmaßnahmen:
  → Mantrap (Schleuse): nur eine Person gleichzeitig
  → Tailgating-Detection-Kameras (Videosensor)
  → Kulturelle Maßnahme: ansprechen ist erwünscht!

Pretexting-Szenarien:
  Handwerker/Techniker:
  → "Ich bin von [lokaler Klima-Firma] für die Wartung der Klimaanlage"
  → Werkzeugkoffer + Sicherheitsschuhe + Weste + Klemmbrett
  → Empfang: "Warten Sie kurz, ich ruf im Facilitymanagement an"
  → Tipp: "Ich habe schon mit Herrn [Name aus LinkedIn] gesprochen"

  IT-Support:
  → "Wir haben eine Meldung wegen Ihres Netzwerkanschlusses"
  → Laptop + IT-Outfit → sofort glaubwürdig
  → "Ich muss kurz das Netzwerkkabel im Serverraum prüfen"

  Lieferant:
  → Amazon-Kleidung + Pakete (leer, aber schwer)
  → "Paket für [Name aus Briefkasten]"
  → Tür wird aufgehalten → rein, Richtung Lift, später wieder raus

  Neue Mitarbeiter:
  → "Ich fange heute an, bin im falschen Gebäude"
  → Kein Badge, unsicher wirkend → Empathy-Response

Umgehung von Türen:
  Rex Sensor (Request to Exit):
  → Viele Türen: Bewegungsmelder auf der Innenseite öffnet Tür
  → Dünner Draht unter Tür durch → Sensor auslösen!
  → Oder: Druckluft-Dosensprühstoß unter Tür

  Notausgänge:
  → Müssen von innen immer öffenbar sein (Brandschutz)
  → Von außen: manchmal Stangenschloss ohne Alarm
  → Oder: Alarm löst aus → aber wer kommt?

  Lüftungsschächte (selten praktikabel, aber im Pentest vorstellbar):
  → Real-World: sehr unwahrscheinlich (Größe, Alarm)
  → Meist nur in Filmen!

Physische Sicherheitschecks

Physical Security Assessment Checklist:

Außenbereich:
  □ Perimeter-Absicherung: Zäune, Tore, Beleuchtung ausreichend?
  □ Kamera-Abdeckung: blinde Flecken? Obstruktionen?
  □ Kamera-Qualität: HD? Nachtsichttauglich? Speicherdauer?
  □ Unbeaufsichtigte Eingänge (Lieferantenzugang, Nebeneingang)?

Zutrittskontrolle:
  □ Badge-System-Stärke: EM4100 (unsicher!) vs. iCLASS SE/Elite?
  □ Tailgating-Möglichkeiten an allen Eingängen?
  □ Mantrap vorhanden bei kritischen Bereichen?
  □ Besucher-Management: Ausweis-Pflicht? Begleitung?

Physische Sicherheit intern:
  □ Unbeaufsichtigte PCs (Screen-Lock nach X Minuten)?
  □ Clean-Desk-Policy: keine Passwörter auf Zetteln?
  □ Druckbereich: Drucker mit vertraulichen Dokumenten?
  □ Abfallsicherheit: Aktenvernichtung (P-4 Kreuzschnitt)?
  □ Netzwerk-Ports in Empfangsbereichen? (LAN-Turtle-Ziel)

Serverraum/RZ:
  □ Zutrittslog: wer war wann drin?
  □ Kameraüberwachung im RZ?
  □ Rack-Schlösser? (Einfach zu umgehen!)
  □ Konsolenports gesichert? (BIOS-Passwort, iDRAC-Auth)
  □ Leerslots in Racks = Kühlluftverlust + physischer Zugang

Meldekette:
  □ Was passiert wenn unbekannte Person angetroffen wird?
  □ Security-Awareness: Mitarbeiter schulen "Fremde ansprechen"
  □ Incident-Meldung physischer Vorfälle?

RFID-Badge-Audit:
  □ Alle aktiven Badges inventarisiert?
  □ Ehemalige Mitarbeiter: Badges deaktiviert?
  □ Badge-Technologie: 125kHz → Upgrade auf 13.56MHz SE/Elite!
  □ Anti-Skimming-Schutzhüllen für Mitarbeiter bereitstellen

Berichterstattung

Physical Pentest Report - Struktur:

Executive Summary:
  → Scope und Zeitraum
  → Zusammenfassung: was wurde erreicht?
  → Kritischste Findings
  → Risikoeinschätzung gesamt

Szenarien und Findings:
  Jeder Angriffsversuch:
  → Beschreibung: Was wurde versucht?
  → Ergebnis: Erfolgreich/nicht erfolgreich?
  → Beweise: Fotos (anonymisiert!), Badge-Klone als Beweis
  → Risikoklassifizierung: Kritisch/Hoch/Mittel/Niedrig
  → Empfehlung: konkrete Gegenmaßnahme

Beispiel-Finding:
  Title: Tailgating durch Haupteingang erfolgreich
  Severity: Hoch
  Description: Tester folgte Mitarbeiter durch gesicherten Eingang,
    ohne Badge-Scan. Mitarbeiter hielt Tür auf.
  Impact: Physischer Zugang zu gesamtem Bürobereich inkl. IT-Infrastruktur
  Evidence: Video-Recording (angehängt), Zeitstempel 14:23 Uhr
  Recommendation:
    1. Schulung: "Security Culture - Fremde ansprechen"
    2. Mantrap-Installation am Haupteingang
    3. Tailgating-Detection-Kamera aktivieren

Foto-Dokumentation:
  → Badge-Klon: Proxmark3 Log-Screenshot
  → Gefundene Zettel mit Passwörtern: anonymisiert
  → Netzwerk-Ports in öffentlichen Bereichen
  → Drucker mit unabgeholten Ausdrucken

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Vincent Heinen, Abteilungsleiter Offensive Services bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung