An einem Wochenende wird in ein Bürogebäude eingebrochen. Die sichtbaren Spuren sind gering: ein aufgehebeltes Fenster im Erdgeschoss, eine gestohlene Kaffeekasse, ein paar fehlende Büromaterialien. Der Sachschaden wirkt überschaubar. Erst bei einer Routinekontrolle zwei Wochen später fällt auf, dass der zentrale Server genau zum Zeitpunkt des Einbruchs manipuliert wurde. Die eigentliche Beute: vollständiger Fernzugriff auf das Unternehmensnetzwerk.
Das unbefugte Eindringen in Räumlichkeiten ist eine Gefährdung, die in IT-Sicherheitskonzepten häufig unterschätzt wird. Das BSI führt sie als elementare Gefährdung G 0.44. Mit 25 zugeordneten ISO-27001-Kontrollen.
Was steckt dahinter?
Unbefugtes Eindringen in Räumlichkeiten umfasst jeden nicht autorisierten physischen Zugang zu Gebäuden, Stockwerken, Büros oder technischen Bereichen. Die Motive reichen von Diebstahl wertvoller Hardware über Industriespionage bis zur gezielten Manipulation von IT-Systemen.
Bei qualifizierten Angriffen ist die ungestörte Zeitdauer der entscheidende Faktor. Je länger ein Angreifer unbemerkt Zugang hat, desto größer das potenzielle Schadensausmass. Einige Minuten genügen, um einen Hardware-Keylogger zu installieren, einen USB-Stick mit Malware einzustecken oder Fotos von vertraulichen Dokumenten zu machen. Mit mehr Zeit lassen sich Server manipulieren, Festplatten ausbauen oder Netzwerk-Taps installieren.
Eindringmethoden
- Klassischer Einbruch — gewaltsames Öffnen von Fenstern oder Türen, meist außerhalb der Geschäftszeiten. Neben dem unmittelbaren Diebstahl entstehen Sachschäden, die zusätzliche Kosten verursachen.
- Tailgating / Piggybacking — der Angreifer folgt einem berechtigten Mitarbeiter durch eine gesicherte Tür. In großen Organisationen, in denen sich Mitarbeiter untereinander nicht kennen, fällt das selten auf.
- Vorgetäuschte Identität — der Angreifer gibt sich als Handwerker, Reinigungskraft oder Lieferant aus. Arbeitskleidung und ein Klemmbrett genügen oft, um an der Rezeption durchgewunken zu werden.
- Kompromittierung von Zugangssystemen — Schlüsselkarten können geklont, PIN-Codes ausgespäht oder biometrische Systeme mit Hilfe von Attrappen überlistet werden.
Schadensausmass
Unbefugtes Eindringen ist häufig nur der erste Schritt eines mehrstufigen Angriffs. Die physische Präsenz vor Ort ermöglicht Angriffe, die remote unmöglich wären: Zugang zu air-gapped Systemen, Installation von Hardware-Implantaten, Diebstahl von Festplatten oder Backup-Medien. Selbst wenn nur „Bagatellschäden” sichtbar sind, kann die eigentliche Kompromittierung wochen- oder monatelang unbemerkt bleiben.
Praxisbeispiele
Tailgating in einer Großbank. Ein Penetrationstester betritt das Gebäude einer Großbank in Businesskleidung, indem er sich hinter einer Gruppe von Mitarbeitern durch die Drehtür schiebt. Im Serverraum angekommen (die Tür stand offen, weil gerade ein Techniker arbeitete), steckt er einen USB-Stick in einen freien Port. Gesamtdauer bis zum vollständigen Netzwerkzugang: 22 Minuten. Niemand hat ihn angesprochen.
Einbruch am Wochenende mit gezielter Servermanipulation. In einem mittelständischen Unternehmen hebeln Einbrecher ein Fenster auf und durchsuchen die Büros. Die offensichtliche Beute ist gering. Was die forensische Analyse Wochen später zeigt: Am zentralen Datenbankserver wurde eine Backdoor installiert. Seitdem fließen Kundendaten an eine externe Adresse ab.
Gefälschte Reinigungskraft im Rechenzentrum. Eine Person in der Uniform eines Reinigungsdienstes verschafft sich Zugang zu einem Serverraum. Der Empfang prüft den Ausweis nicht, weil der reguläre Reinigungsdienst zu dieser Uhrzeit erwartet wird. Die Person fotografiert Netzwerkdiagramme an der Wand, notiert IP-Adressen von Servern und verlässt das Gebäude nach 15 Minuten.
Relevante Kontrollen
Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 25 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)
Prävention:
- A.7.1 — Physische Sicherheitsperimeter: Definition und Absicherung von Sicherheitszonen mit kontrollierten Zugangspunkten.
- A.7.2 — Physischer Zutritt: Zugangskontrollen (Schlüsselkarten, Biometrie, PIN) an allen Eingängen zu Sicherheitsbereichen.
- A.7.4 — Physische Sicherheitsüberwachung: Videoüberwachung, Bewegungsmelder und Alarmierung für kritische Bereiche.
- A.7.6 — Arbeiten in Sicherheitsbereichen: Regeln für die Arbeit in sensiblen Bereichen (Begleitpflicht, Fotografierverbot, Besuchermanagement).
- A.7.3 — Sicherung von Büros, Räumen und Einrichtungen: Physische Härtung von Serverräumen, Technikschränken und Archiven.
Erkennung:
- A.7.4 — Physische Sicherheitsüberwachung: Alarmanlagen und Videoüberwachung erkennen unbefugte Zutritte in Echtzeit.
- A.8.14 — Redundanz von informationsverarbeitenden Einrichtungen: Verteilte Systeme machen Manipulationen erkennbar, wenn Daten zwischen Standorten divergieren.
Reaktion:
- A.5.11 — Rückgabe von Vermögenswerten: Kontrolle bei Personalwechseln, damit Schlüssel und Zugangsmedien zurückgegeben werden.
- A.6.2 — Beschäftigungsbedingungen: Klare vertragliche Regelungen zur Verantwortung für physische Zugänge.
BSI IT-Grundschutz
G 0.44 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:
- INF.1 (Allgemeines Gebäude) — Grundanforderungen an die physische Sicherheit von Gebäuden.
- INF.2 (Rechenzentrum sowie Serverraum) — Schutz von Rechenzentren und Serverräumen gegen physisches Eindringen.
- INF.7 (Büroarbeitsplatz) — Sicherheitsmaßnahmen am Arbeitsplatz (Bildschirmsperre, Clean Desk).
- ORP.1 (Organisation) — Organisatorische Maßnahmen wie Besuchermanagement und Schlüsselverwaltung.
Quellen
- BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit aktuellen Vorfallstatistiken
- BSI IT-Grundschutz: Elementare Gefährdungen, G 0.44 — Originalbeschreibung der elementaren Gefährdung
- ISO/IEC 27002:2022 Abschnitt 7.1 — Umsetzungshinweise zum physischen Sicherheitsperimeter