Social Engineering mit Schwerpunkt Zutrittsschutz

Aus Sicherheitsperspektive bilden Firmengebäude und Büroräume quasi die physische Schutzschicht. Die teilweise sehr aufwändigen Sicherheitsmaßnahmen gegen unbefugtes Eindringen können mittels spezieller Angriffe geprüft werden, wobei menschliche Faktoren eine tragende Rolle spielen.

Ein entsprechendes Social Engineering Assessment umfasst folgende Bestandteile: 
  • Schwachstellenanalyse durch Observation des Gebäudes (Zutrittsmöglichkeiten, Sicherheitsvorkehrungen, Personenfrequentierung, relevante Abläufe / Prozesse / Mängel)
  • Optional / projektspezifisch: Schaffung einer qualifizierten Legende (z.B. durch gefälschte Firmenausweise, Verkleidung, Terminvereinbarung unter falscher Identität)
  • Unbefugtes Eindringen in Gebäude, z.B. durch Vortäuschung falscher Identitäten, falscher Tatsachen oder Tailgating (Anhängen an autorisierte Mitarbeiter). Die Zielsetzung innerhalb des Gebäudes ist projektspezifisch zu definieren, z.B. Erreichen eines bestimmten Raumes, Entwendung bestimmter Unterlagen, Zugang zum Computernetzwerk, Platzierung einer „Netzwerkwanze“ 
  • Markierung betretener Räume als Nachweis (Optional: Dokumentation der Vorgänge mittels versteckter Videokamera)

Das angriffsbasierte Assessment kann durch eine dedizierte Reifegradanalyse ergänzt werden. Diese erfolgt fragebogenbasiert und durch Ortsbegehungen.

Dabei werden folgende Teilbereiche geprüft:
  • Zutrittsschutz
  • Zugangsschutz
  • Überwachung und Kontrolle
  • Alarmierung
  • Sonstige organisatorische Maßnahmen
Eine weitere Vertiefung des Assessments ist durch eine technische Prüfung des Gebäudemanagementsystems und des Zutrittskontrollsystems möglich. Ein solches Assessment umfasst folgende Bestandteile:
  • Betrachtung der Systemarchitektur des zentralen Gebäudemanagements bezüglich der Einbindung in das Computernetzwerk und Bewertung der daraus resultierenden Risiken
  • Penetrationstest des Gebäudemanagementsystems aus Perspektive des lokales Netzwerks
  • Recherche bezüglich Manipulationsmöglichkeiten (bekannte Schwachstellen) des jeweils verwendeten Zutrittskontrollsystems (ggf. Angriffsversuche auf das System)

Die beschriebenen Assessmenttypen lassen sich beliebig miteinander kombinieren.