Wir erachten physische Sicherheit als elementaren Bestandteil der Unternehmenssicherheit. Auch hier hält die Informationstechnologie parallel zu traditionellen physischen Themen Einzug. Damit ist eine Modernisierung der physischen Sicherheit unaufhaltsam.
Wir sind begeisterte, legale Einbrecher und freuen uns Ihre Systeme bis aufs Äußerste auf die Probe zu stellen oder mit Ihnen schrittweise und strukturiert Ihre Gebäudepläne und installierten baulichen Maßnahmen auf mögliche physische Zugriffe zu analysieren.
Physical Security Walkthrough
Bei diesem Assessment begehen wir gemeinsam mit Ihnen die Unternehmens-Räumlichkeiten und ermitteln sowohl theoretische als auch praktische Einbruchsrisiken. Auf Wunsch werden, im Speziellen zerstörungsfreie Techniken, bei der Begehung gemeinsam praktisch getestet, um auch direktes praktisches Feedback zur Wahrscheinlichkeit der Durchführung zu erhalten. Welche Punkte gemeinsam analysiert werden, bestimmen entweder Sie auf Basis Ihrer eigenen Risikobewertung oder sie ergeben sich aus vorhergehenden Analysen der Gebäudepläne und theoretischen, physischen Angriffsszenarien, die wir im Projekt ermitteln.
Physical Security Penetration Test
In diesem Assessment wird die Möglichkeit des physischen Zugriffs praktisch getestet. Der Scope wird vorab festgelegt. Anschließend lassen die Testenden ihrer Kreativität freien Lauf. Im traditionellen Penetration Testing liegt der Fokus auf technischen Schwachstellen der gesamten physischen Struktur des Unternehmens bis hin zu sehr speziellen Assessments von Einzelgeräten, wie beispielsweise Vereinzelungsschleusen.
Test der Videoüberwachung, Alarmierung und Zutrittskontrolle
Wenn Sie ein neues System einführen oder bestehende Systeme der Unternehmenssicherheit in Ihr Risikomanagement eingliedern möchten, benötigen Sie jeweils eine Risikoeinschätzung. Mit diesen Assessments unterstützen wir Sie bei der Ermittlung der theoretischen als auch praktischen Risiken, beginnend mit Prozessabläufen bis hin zum Hacken von Geräten und Netzwerken, wie beispielsweise Zutrittskartensysteme und Alarmanlagen.
Physical Red Teaming
Beim physischen Zutritt zu Unternehmen ist ein balanciertes Zusammenspiel von Maßnahmen der physischen Sicherheit mit jener des Sicherheitsbewusstseins von Mitarbeitenden und Erkennungs- und Reaktionsmöglichkeiten des Security Teams essenziell. Beim Physical Red Teaming stimmen wir den Scope und die Einschränkungen mit Ihnen ab, erstellen gezielte Angriffspläne und führen Angriffssimulationen durch, bei denen wir aktiv in Ihr Unternehmen eindringen und nicht nur die physische Sicherheit, sondern auch die Erkennung und Reaktion auf unsere Eindringungsversuche mit testen.
Wir haben uns sehr gefreut die DEFCON in Las Vegas, USA im August 2023 zum ersten Mal zu besuchen! DEFCON ist eine jährliche Computersicherheits-Veranstaltung, welche bis zu 30.000 Besucher anzie...
Unser Team ist gewachsen und wir freuen uns, seit kurzem drei neue Mitarbeiter im Pentesting begrüßen zu dürfen. Mit ihrer Hilfe fällt es uns leichter, auf die vielen Projektanfragen einzugehen, und w...
Treasury on Tour ist eine Veranstaltung von Schwabe, Ley & Greiner, um führende Köpfe des Treasurys mit hochwertigen Vorträgen, Diskussionen und der Möglichkeit zum Netzwerken zusammenzubringen. H...
Commerce
Aufgabe war es Zugang zu einem großen Bürogebäude mit Portier zu erlangen. Im Internet konnte im Vorfeld ein Gebäudeplan des Architekten mit den genauen Räumen für die ersten beiden Stockwerke aufgefunden werden.
Aus dem Plan konnten fünf Eingänge und Wege identifiziert werden, wodurch die Portierloge umgangen werden konnte. Die meisten dieser Zugänge waren geschlossen, aber nicht versperrt, und konnten mit einfachen Mitteln geöffnet werden.
Education
Die Raumpläne einer Bildungseinrichtung waren öffentlich einsehbar, wodurch kritische Räume, wie Server-, Heiz- oder Archiv-Räume für den Auftrag zum Physical Security Penetration Test („legalen Einbruch“) ausfindig gemacht werden konnten.
Vor Ort waren die beschriebenen Räume meist nicht versperrt und konnten mit einfachen Mitteln in kurzer Zeit geöffnet werden. Zugriff auf den Serverraum war nicht möglich, dafür aber auf die Heizsteuerung und Räume mit wichtigen Dokumenten.
Unsere Empfehlung war es ähnliche Sicherheitsmaßnahmen wie für die Serverstruktur anzuwenden und die öffentlichen Raumpläne nach einem Need-to-Know-Prinzip zu gestalten.
Energy
Ein Energie-Unternehmen hatte bereits ein Zonenkonzept für die gesamte Anlage und wollte durch eine physische Begehung dieses Konzept überprüfen lassen. Kritische Bereiche sollten hierbei besonders abgesichert werden. Bereits bestehenden waren Vereinzelungsschleusen am Eingang, auch für LKWs.
Durch unsere Begehung fiel auf, dass an den richtigen Stellen die Vereinzelungsschleusen umgangen werden konnten und dies Angreifenden einen direkten Zugang zum Unternehmensgelände ermöglichte. Ebenfalls konnten Zutrittstüren mit einer Türangel oder Öffnungsnadel geöffnet werden. Wir empfahlen weitere bauliche Maßnahmen zur Sicherung des Geländes und das Ersetzen der Zutrittstüren durch einbruchhemmende Türen mit Sicherheitsbändern.