Wir werden oft nach Praxisbeispielen aus unserem Social-Engineering-(SE)Alltag gefragt – genau darauf möchte ich heute eingehen. Bei diesem Pentest handelt es sich um einen der ersten SE-Pentests, die wir als größeres Team durchgeführt haben. Gleich vorweg: Diese Angriffssimulation ist für uns beinahe gescheitert.
Einführung
Als SE-Pentester haben wir den Anspruch, unsere Angriffssimulationen so realistisch wie möglich zu gestalten – um nicht „verbrannt”, also aufgeklärt, zu werden. In der Regel beauftragen Kunden uns, um ihre Sicherheitsmaßnahmen einem Härtetest zu unterziehen und echte Erkenntnisse über die eigene Resilienz zu gewinnen.
SE-Pentest: Unser Vorgehen
Wir wählen den leichtesten Weg – wie es echte Angreifer auch tun würden: hohe Erfolgswahrscheinlichkeit, geringes Risiko, aufgedeckt zu werden. Nach der Auftragsbestätigung beginnt die Informationsgewinnung. Dazu nutzen wir Open Source Intelligence (OSINT) sowie eine mehrtägige Observation der Zielobjekte.
Dann folgt die Angriffsplanung. Wir entwickeln mehrere Angriffsszenarien (COA – Course of Action), die entweder aufeinander aufbauen oder unabhängig voneinander funktionieren.
Der Auftrag
Fünf Objekte sollten an einem Tag getestet werden. Die Sicherheitsstandards und das Bewusstsein der Mitarbeitenden waren hoch – wie es bei einem KRITIS-Unternehmen zu erwarten ist.
Die Vorbereitung
Schnell war klar: Wir müssen tief in die Trickkiste greifen. Wir mieteten einen Rettungswagen und Filmrequisiten. Zwei Wochen vor dem Pentest begannen wir mit gezielter Annäherung an Zielpersonen. Mit der Cover-Story, als unternehmenseigener Fotograf weihnachtliche Bilder zu machen, kam ich an mehreren Standorten ins Gespräch mit dem Sicherheitspersonal.
Eine »besondere« Herausforderung
Am Pentest-Tag wurde uns schnell klar: Etwas stimmt nicht. Der Pentest wurde im Vorfeld angekündigt – und am Testtag über das interne Schwarze Brett publik gemacht. Jetzt hieß es: Leben in der Lage.
Das finale Angriffsszenario
„Der Fotograf” war eigentlich unser schwächstes Szenario. Mit gefälschtem Ausweis und Kamera machte ich mich auf den Weg zum letzten Objekt. Im Empfangsbereich nutzte ich den vermeintlichen Wissensvorsprung der Sicherheitskräfte gegen sie.
Ich lenkte den Sicherheitsmitarbeiter mit einem Kollegen ab, der sich draußen sichtbar positionierte. Während der Sicherheitsmitarbeiter nach draußen ging, schob ich die Deko unter der Vereinzelungsanlage durch, stieg hinterher und bewegte mich frei im Objekt.
Warum hat es funktioniert?
Die Sicherheitskräfte wussten, dass Pentester unterwegs waren – aber nicht wie. Die Mischung aus Geltungsdrang, Angst zu „versagen” und Neugier erzeugte Stress. Und Stress trübt die Wahrnehmung.
Fazit
Auch wenn dieser Pentest nicht realistisch im engeren Sinne war, zeigt er, wie einfach Manipulation ist – selbst bei geschärfter Aufmerksamkeit. Wir stellen in unseren Reportings keine Einzelpersonen bloß. Ein SE-Pentest zeigt nicht nur Schwächen – er schafft die Basis für nachhaltiges Training.