Tailgating ist eine leicht umzusetzende Technik des Social Engineerings und sollte nicht unterschätzt werden. Diese Technik zeigt, wie einfach es für Angreifer sein kann, physische Sicherheitsmaßnahmen zu umgehen, indem sie menschliches Verhalten ausnutzen.
Erklärung der Technik
Tailgating ist eine Technik, bei der ein Angreifer einer autorisierten Person folgt, um Zugang zu einem gesicherten Bereich zu erhalten. Der Angreifer geht einfach hinter der Person her, die eine Zugangskarte oder einen Schlüssel benutzt, um eine Tür zu öffnen, und gelangt so in den gesicherten Bereich, ohne dabei selbst ordnungsgemäß überprüft zu werden.
Beispiele aus der Praxis
In vielen meiner Projekte umging ich auf einfache Weise kostspielige Sicherheitsmaßnahmen wie chipkarten-geschützte Türen oder Vereinzelungsschleusen und gelangte so auf das Firmengelände und in geschützte Bereiche innerhalb der Gebäude. Eine gute Vorbereitung ist dabei unerlässlich, da der Kunde nicht für Glück oder Zufall bezahlt, sondern für einen professionellen, realistischen Test. Da ich vorher nicht wissen kann, ob die Person oder Gruppe bemerkt, dass ich ihr folge, muss ich einen überzeugenden Vorwand haben. Das bedeutet, eine passende Rolle zu spielen, das Unternehmen nicht nur zu kennen, sondern sich als Teil davon zu präsentieren und gefälschte Ausweise oder Berechtigungen vorzubereiten.
Ein Test für eine Bank, die die Sicherheit ihres Gebäudekomplexes überprüfen wollte, verlief besonders spannend. Die Bank war stolz auf ihre Vereinzelungsschleuse, die nur eine Person auf einmal passieren lässt. Zusätzlich gab es einen druckempfindlichen Boden, der erkannte, wenn mehrere Personen gleichzeitig den Raum betraten. Zunächst standen wir vor dem Problem, wie man dieses System umgehen könnte.
Es musste doch eine einfachere Möglichkeit geben. Da sich Mitarbeiter oft das Leben leichter machen wollen und in diesem Fall nicht den zeitaufwändigeren Weg durch die Vereinzelungsschleuse nehmen wollten, beobachteten wir, dass einige Mitarbeiter den Nebeneingang nutzten, der direkt zur Bürofläche führte. Also entschieden wir uns, einer Personengruppe unauffällig zu folgen. Niemand bemerkte uns, und so umgingen wir die teure Personenschleuse. Überraschenderweise wusste die Bank anscheinend von dieser Schwachstelle und hatte einen Wachmann vor die Tür gestellt. Der Wachmann sah uns, dachte jedoch, wir gehörten zur Gruppe, und sagte nichts.
Das war nur einer von vielen Tests, bei denen es auf einfache Weise möglich war, eigentlich sinnvolle und wirksame Sicherheitsmaßnahmen zu umgehen.
Lehren und Erkenntnisse
Dieses Beispiel zeigt, wie leicht physische Sicherheitsbarrieren überwunden werden können, wenn die menschliche Komponente nicht ausreichend geschult ist. Sicherheitstests wie dieser sowie Schulungen und Sensibilisierungen sind entscheidend, um bekannte Schwachstellen zu prüfen und unbekannte Schwachstellen zu erkennen und solche Angriffe zu verhindern.
Dieser Test war kein Einzelfall. Auch bei anderen Firmen fanden wir Schwachstellen, an die keiner gedacht hatte. Deshalb ist es so wichtig, die eigene Sicherheit aus einer anderen Perspektive zu betrachten.
Fazit
Tailgating ist eine effektive, aber oft eine unterschätze Technik des Social Engineering. Indem wir uns dieser Technik bewusst sind und darauf achten, Sicherheitsvorkehrungen konsequent einzuhalten, können wir besser darauf vorbereitet sein, solche Angriffe zu erkennen und zu verhindern.
Im nächsten Artikel werde ich auf eine weitere effektive und ähnliche Technik eingehen: Piggybacking.