[Social Engineering Pentesting]

Wir kommen rein.
Bevor es ein Angreifer tut.

Physische Pentests.

Realistische Angriffssimulationen zeigen, wie Angreifer Ihre physischen Sicherheitsmaßnahmen umgehen — und wie Sie das verhindern.

Pentest anfragen Kontakt aufnehmen

Hält Ihre physische Sicherheit realen Angriffen stand?

09:14 — Anruf am Empfang. Interne Nummer. „Anke hier, aus dem Facility-Management. Ist der Herr Mehring vom TÜV-Dienstleister schon da? Ich muss gleich in einen Termin, wenn er kommt, bitte direkt hochschicken — er weiß wohin."
09:15 — Die Empfangskraft notiert. Eigentlich sollen Externe begleitet werden, aber Ausnahmen bestätigen die Regel.
09:21 — Ein freundlicher Mann mittleren Alters tritt ein, das ausgedruckte Auftragsschreiben mit kohärenten internen Ansprechpartnern passt zum Gesamtbild. „Mehring. Brandschutz-Prüfung."
09:22 — Der gefälschte Ausweis wird kurz überflogen, der Besucherausweis wird ausgehändigt.
09:34 — Den Auftrag gibt es nicht. Aber den Angreifer, der sich nun frei durch die Geschäftsräume bewegt, gibt es schon.

Top 5

Physische Zutrittsversuche in der aktuellen Bedrohungslage
BSI Lagebericht 2024

3–10 Min.

durchschnittliche Zeit bis zum unbefugten Zutritt
HRC interne Daten

0%

unserer Tests erreichen die definierten Schutzziele
HRC interne Daten

Zutrittskontrollen, Kameras und Ausweise reichen nicht.
Nur ein realistischer Test zeigt, ob Ihre Schutzmaßnahmen im Ernstfall standhalten.

Typische Schwachstellen, die wir aufdecken

Schwachstelle

Zutritt

Offene Türen, lückenhafte Kontrollen, Tailgating

Schwachstelle

Menschen

Höflichkeit, fehlende Ansprache, Social Engineering

Schwachstelle

Prozesse

Besucher- und Lieferantenkontrollen, Eskalationswege

Schwachstelle

Technik

Schlösser, Sensoren, Kamerasysteme, Alarmanlagen

Realistische Tests, die Schwachstellen ans Licht bringen

Angriffe werden gezielter und komplexer. Unsere Simulationen zeigen reale Schwachstellen auf — und liefern konkrete Maßnahmen.

Sicherheitslücken identifizieren

Schwachstellen in physischen Sicherheitsmaßnahmen aufdecken, unzureichende Zugangskontrollen erkennen und Lücken in Prozessen identifizieren, die durch menschliches Verhalten entstehen.

Sicherheitsrisiken mindern

Risiko unbefugten Zutritts minimieren, Diebstahl sensibler Daten vorbeugen und Ihr Unternehmen vor finanziellen Verlusten sowie Reputationsschäden durch physische Sicherheitsvorfälle schützen.

Sicherheitsniveau erhöhen

Einblicke in die Widerstandsfähigkeit Ihres Unternehmens gewinnen, Sicherheitsprozesse verbessern und Ihr Team mit gezielten Trainings auf reale Sicherheitsvorfälle vorbereiten.

Unser Vorgehen bei physischen Penetrationstests

01

Pre-Engagement

Gemeinsam definieren wir Ablauf, Ziele und Rahmenbedingungen. Erwartungen werden abgeglichen, Risiken minimiert — so entstehen belastbare Ergebnisse.

Scope-Definition und Zielsetzung
Rechtliche Absicherung und Vertragswerk
Eskalationswege und Notfallkontakte

02

Informationsgewinnung

Mehrtägige Vor-Ort-Aufklärung und systematische OSINT-Analysen. Bei Freigabe setzen wir Softcalls und gezielte E-Mails ein.

Vor-Ort-Aufklärung und Beobachtung
Open Source Intelligence (OSINT)
Gezielte Softcalls und Pretexting

03

Angriffssimulation & Eskalation

Aus den gesammelten Informationen entwickeln wir realistische Angriffsszenarien. Unter echten Bedingungen prüfen wir, ob sich bestehende Sicherheitsmaßnahmen überwinden lassen.

Realistische Szenarien basierend auf Aufklärung
Zugriff auf Systeme, Daten oder Räumlichkeiten
Vollständige Dokumentation aller Schritte

04

Dokumentation & Maßnahmen

Detaillierter Bericht über alle Schwachstellen und deren Auswirkungen. In einem Workshop präsentieren wir die Ergebnisse und erarbeiten konkrete Maßnahmen.

Detaillierter Report mit Risikoklassifizierung
Anonyme Analyse des Sicherheitsbewusstseins
Workshop mit konkreten, umsetzbaren Maßnahmen

250+

Physische Pentests durchgeführt

12+

Branchen abgedeckt

4 Tage

bis zum vollständigen Report

Wir lassen uns regelmäßig physisch testen [...]. Üblicherweise kommen die Tester nicht weit, weil unsere Eingangskontrolle gut ist. Das HRC Team hat es nach ca. 20 Minuten in den Bereich der Leitwarte geschafft, ohne dass jemand sie angesprochen hat. [...] Das hat unsere Diskussionen intern auf einen Schlag verändert.

— CSO

[...] Wir haben nach dem SE Pentest drei Prozesse geändert und eine Stelle für Site Security aufgebaut. [...] Die Stelle hätte ich ohne diesen Report wahrscheinlich nicht genehmigt bekommen.

— Geschäftsführende Direktorin

Danke für euren Einsatz und die Berücksichtigung unserer Testparameter. Eure Handlungsempfehlungen haben für unsere Physical Security den entscheidenden Unterschied gemacht.

— IT-Sicherheitsbeauftragter

Kostenlos herunterladen

Beispiel-Report & Case Study erhalten

Erhalten Sie exklusive Einblicke in unsere Arbeitsweise — kostenlos und unverbindlich.

Physischer Pentest Report — Ein anonymisierter Beispiel-Report eines physischen Social Engineering Pentests — mit Schwachstellenanalyse, Fotodokumentation und Handlungsempfehlungen.

Case Study: Physischer Zutritt — Wie wir mehrfach unbefugten Zugang zu einem großen Finanzdienstleister erlangten.

Geschäftliche E-Mail-Adresse *

Ihr Name

Kein Spam. Kein Abo. Nur die angeforderten Dokumente und ggf. eine persönliche Rückmeldung.

[Weitere Leistungen]

Robuste Sicherheit für Ihre Unternehmenssicherheit

Vishing Pentest — Telefonbasierte Angriffssimulation

Vishing Pentest

Remote Social Engineering Pentesting

Remote Pentesting

Human Risk Awareness Kampagne

Human Risk Awareness

Social Engineering Security Manager (TÜV)

SE Security Manager (TÜV)

Häufige Fragen

Wie läuft ein physischer Pentest ab? +

Nach dem Pre-Engagement und der Informationsgewinnung simulieren wir unter realen Bedingungen einen oder mehrere Angriffsszenarien. Alles wird dokumentiert und in einem Workshop mit konkreten Maßnahmen präsentiert.

Ist das legal? +

Ja. Jeder Test wird vertraglich abgesichert mit klaren Regeln, Eskalationswegen und Notfallkontakten. Wir arbeiten ausschließlich im Rahmen der vereinbarten Scope-Definition.

Erfahren die Mitarbeitenden davon? +

In der Regel nein — das ist Teil des Tests. Nach Abschluss empfehlen wir eine transparente Kommunikation, die auf Sensibilisierung statt Bloßstellung setzt.

Wie lange dauert ein physischer Pentest? +

Je nach Umfang und Anzahl der Standorte zwischen 3 und 15 Tagen. Die Informationsgewinnung und das Pre-Engagement kommen vorab dazu.

[Nächster Schritt]

Bereit, Ihre Sicherheit
auf die Probe zu stellen?

Ein erstes Gespräch — unverbindlich, vertraulich, und auf Augenhöhe. Wir klären gemeinsam, wo Ihre größten Risiken liegen.

Termin vereinbaren Kontakt aufnehmen