Piggybacking ist eine weitere Technik des Social Engineerings, die wie Tailgating darauf abzielt, physischen Zugang zu gesicherten Bereichen zu erhalten, indem menschliches Verhalten ausgenutzt wird. Trotz ihrer Ähnlichkeit weist Piggybacking einige entscheidende Unterschiede auf, die es wert sind, genauer betrachtet zu werden.
Erklärung der Technik
Piggybacking beschreibt eine Situation, in der ein Angreifer mit der Zustimmung einer autorisierten Person in einen gesicherten Bereich gelangt. Im Gegensatz zu Tailgating, bei dem der Angreifer unbemerkt folgt, erfolgt beim Piggybacking der Zutritt bewusst und mit Einverständnis. Dies kann geschehen, indem der Angreifer um Einlass bittet oder vorgibt, die Hände voll zu haben, sodass er die Tür nicht selbst öffnen kann.
Unterschiede zu Tailgating
Der Hauptunterschied zwischen Piggybacking und Tailgating liegt im Grad der Zustimmung der autorisierten Person. Beim Tailgating bemerkt die Person möglicherweise gar nicht, dass sie jemandem Zugang verschafft, während beim Piggybacking eine bewusste Entscheidung getroffen wird. Diese Technik spielt oft auf das Mitgefühl und die Hilfsbereitschaft der Mitarbeitenden an, die aus Höflichkeit oder Hilfsbereitschaft handeln.
Beispiele aus der Praxis
In vielen meiner Projekte habe ich gezeigt, wie einfach es sein kann, selbst die strengsten Sicherheitsmaßnahmen zu umgehen, indem man das Vertrauen und die Hilfsbereitschaft der Mitarbeitenden ausnutzt. Auch Piggybacking erfordert sorgfältige Planung und ein professionelles Auftreten. Hier ist ein Beispiel aus meiner Praxis:
Bei vielen meiner Projekte gebe ich vor, ein Mitarbeitender zu sein, und trage dabei beispielsweise einen Business-Anzug sowie einen gefälschten Mitarbeiterausweis, den ich sichtbar an meiner Hose befestigt habe. Unabhängig davon, ob ich in ein Gebäude eindringen möchte oder bereits im Gebäude bin und in weitere Bereiche vordringen will, warte ich auf eine Situation, in der ein Mitarbeitender auf eine Tür zugeht, um in einen zugangsbeschränkten Bereich zu gelangen. Ich versuche, diesen Moment abzupassen. Ich positioniere mich so, dass ich gleichzeitig mit dem Mitarbeitenden an der Tür bin, und halte meinen gefälschten Mitarbeiterausweis in Richtung des Authentisierungsgeräts. Kurz bevor ich meinen Ausweis scanne, ziehe ich ihn zurück, da der Mitarbeitende dasselbe vorhatte, und lasse ihm somit den Vortritt. Der Mitarbeitende sieht natürlich, was ich vorhatte, und dass ich ebenfalls einen Ausweis besitze und mich gerade authentifizieren wollte, was meine Glaubwürdigkeit erhöht. Dadurch ist die Wahrscheinlichkeit wesentlich höher, dass der Mitarbeitende mich in den Bereich hineinlässt, ohne dass ich mich nochmals authentifizieren muss. Ein gut vorbereiteter Pretext, also die Rolle, die ich spiele, ist natürlich immer ausschlaggebend, falls das nicht funktioniert und der Mitarbeitende nachfragt, was zu 95% nicht passiert. Auch das Tragen eines Kartons oder das Simulieren eines Telefongesprächs über das letzte Meeting, während ich in Richtung der Tür gehe, erhöht die Wahrscheinlichkeit, dass der Mitarbeitende mir die Tür öffnet oder aufhält.
In einem Test für einen Rechenzentrumsbetreiber, nachdem ich es bereits auf sehr spannende Weise auf das Gelände geschafft hatte (mehr dazu in einem anderen Blog), konnte ich mich via Piggybacking durch mehrere Schleusen bis hin zum White Space (Bereich, wo die Server stehen) bewegen. Durch ein passendes Auftreten, die richtige Kleidung und das klare Ziel vor Augen war dieses eigentlich unmögliche Ziel doch erreichbar.
Lehren und Erkenntnisse
Piggybacking verdeutlicht, wie wichtig es ist, nicht nur technische Sicherheitsmaßnahmen, sondern auch die menschliche Komponente zu stärken. Selbst die beste physische Sicherheit kann umgangen werden, wenn Mitarbeitende nicht ausreichend geschult und sensibilisiert sind. Regelmäßige Schulungen, Tests und die Förderung des Sicherheitsbewusstseins sind essenziell, um die Gefahr durch Piggybacking zu minimieren.
Ein weiterer wichtiger Aspekt ist die Schaffung einer Unternehmenskultur, in der es als akzeptabel gilt, höflich, aber bestimmt Personen nach ihrem Ausweis oder ihrer Berechtigung zu fragen. Darüber hinaus können technische Maßnahmen wie Vereinzelungsschleusen, die nur eine Person durchlassen, ebenfalls dazu beitragen, Piggybacking zu verhindern.
Fazit
Piggybacking ist eine effektive Technik des Social Engineerings, die menschliches Verhalten ausnutzt. Durch gezielte Schulungen und Sensibilisierungsmaßnahmen können Unternehmen ihre Mitarbeitenden besser darauf vorbereiten, solche Angriffe zu erkennen. Es ist entscheidend, dass Sicherheitsrichtlinien klar kommuniziert und konsequent eingehalten werden.
Im nächsten Artikel werde ich auf eine weitere Technik eingehen: Pretexting.
