50.000 Euro für den CTO. 500 Euro für die Reinigungskraft. Wer sagt Nein?
Stellt euch zwei Szenarien vor. Erstes Szenario: Ein Angreifer versucht, euren CTO zu bestechen. Er bietet 50.000 Euro dafür, dass er einmal einen USB-Stick in einen Rechner einsteckt – einen handelsüblichen, unscheinbar aussehenden Stick. Was passiert? Der CTO lacht. Er ruft die Sicherheitsabteilung an. Er hat eine gute Anekdote für die nächste Konferenz. Der Angriff ist gescheitert, noch bevor er begonnen hat.
Zweites Szenario: Derselbe Angreifer, derselbe USB-Stick. Dieselbe Frage – dieselbe Bitte. Aber diesmal richtet er sie an die Reinigungskraft eines Subunternehmers, die seit drei Jahren jeden Donnerstagabend dieselben Büros putzt. 500 Euro cash. Sie soll diesen Stick in irgendeinen PC stecken, der gerade angeschaltet ist. Sie muss nicht wissen, was der Stick tut. Sie muss nur einstecken.
Was passiert? Die ehrliche Antwort: Niemand weiß es. Denn niemand hat es je getestet. Die Reinigungskraft hat kein Security-Briefing absolviert. Sie weiß nicht, was ein USB-Stick im Kontext ihrer Arbeit bedeuten kann. Sie unterliegt keiner internen Richtlinie, die sie einschließt. Sie kennt keine Eskalationskette. Und sie arbeitet für ein Subunternehmen, das seinerseits möglicherweise noch einen Subunternehmer zwischengeschaltet hat – mit einem Reinigungsvertrag, der kein einziges Wort über Informationssicherheit enthält.
Das schwächste Glied in eurer Sicherheitsarchitektur ist nicht der Mitarbeiter, der sein Passwort auf einen Zettel schreibt. Es ist die Person, die jeden Abend in eure Büros kommt, Zugang zu allem hat – und in keinem eurer Sicherheitskonzepte vorkommt.
Das ist kein hypothetisches Szenario. Es ist ein etabliertes Angriffsmuster.
Der Gedanke, Reinigungspersonal oder Servicekräfte für einen Angriff zu nutzen, klingt nach einem schlecht geschriebenen Thriller. Er ist in der Realität dokumentiert – auf höchstem Niveau.
Zwei Fälle, 25 Jahre auseinander. Dasselbe Grundprinzip: Wer Zugang kaufen kann, muss ihn nicht hacken. Und wer kauft, kauft dort, wo der Preis am niedrigsten und der Schutz am schwächsten ist.
Wikipedia beschreibt das Muster seit Jahren unter dem Begriff „Industrial Espionage": „Information is commonly stolen by individuals posing as workers, such as cleaners or repairmen, gaining access to unattended computers and copying information from them." Es ist kein Zufall, dass Reinigungspersonal und Wartungstechniker explizit genannt werden – sie sind strukturell die am wenigsten kontrollierten Personen mit dem weitreichendsten physischen Zugang.
Warum ein rationaler Angreifer niemals den CTO besticht
Sicherheitsverantwortliche denken Bedrohungen oft durch die Brille des technisch versierten, gut ausgestatteten Angreifers. Zero-Days, APT-Gruppen, monatelange Infiltration. Was dabei übersehen wird: Angreifer sind auch wirtschaftlich rational. Sie optimieren ihren Return on Investment genauso wie ein Unternehmen – und ein Angriff auf das stärkste Glied in einer Kette ist immer schlechte Ökonomie.
Die Asymmetrie ist brutal. Ein Angreifer mit einem Budget von 5.000 Euro, einem handelsüblichen BadUSB-Gerät und einem Umschlag mit Bargeld kann denselben initialen Zugang erreichen wie ein staatlicher Bedrohungsakteur mit Monaten Vorbereitungszeit – wenn das Unternehmen seine Lieferkette nicht in den Sicherheitsperimeter einschließt.
Der entscheidende Punkt ist nicht die Bestechungssumme. Es ist die Tatsache, dass die Reinigungskraft keine Entscheidung gegen euer Unternehmen trifft – sie trifft eine Entscheidung für sich selbst. 500 Euro für etwas, das sie nicht versteht und das für sie keine erkennbaren Konsequenzen hat. Wer diese Entscheidungslogik nicht adressiert, hat kein Sicherheitskonzept für diesen Bereich.
Einstecken. Fertig. Der Rest läuft von selbst.
Das Erschreckende an einem BadUSB-Angriff: Die Person, die das Gerät einsteckt, muss absolut nichts tun außer einstecken. Kein Klick. Kein Passwort. Kein weiteres Zutun. Das Gerät übernimmt.
Ein Rubber Ducky, ein O.MG Cable oder ein handelsübliches BadUSB-Gerät registriert sich beim Einstecken nicht als Speichermedium – sondern als Tastatur. Tastaturen werden von Windows, macOS und Linux ohne Rückfrage akzeptiert, weil sie als vertrauenswürdige Eingabegeräte gelten. Was folgt, sind automatisch ausgeführte Tastendrücke: PowerShell öffnen, Payload aus dem Netz laden, ausführen. Das dauert Sekunden. Der Payload kann eine Reverse Shell sein, ein Keylogger, ein Ransomware-Dropper oder ein stilles Reconnaissance-Tool, das sich im Netz ausbreitet.
Die FBI-Warnung von 2022 zu FIN7 beschreibt exakt dieses Szenario: Die Gruppe verschickte per Post präparierte USB-Sticks an US-Unternehmen in Verteidigung, Transport und Versicherung – verpackt in Schachteln, die Pakete von Amazon oder dem Department of Health and Human Services imitierten. Ziel: dass irgendein Mitarbeiter den Stick aus Neugier einsteckt. Die Erfolgsquote war hoch genug, um es als primären Angriffskanal einzusetzen.
Für eine Reinigungskraft, die einen Stick einsteckt, gibt es keinen sichtbaren Unterschied zu einem normalen USB-Stick. Das Gerät tut nichts Sichtbares. Kein Fenster öffnet sich. Kein Alarm ertönt. Nichts passiert – außer dass im Hintergrund in Sekunden ein Netzwerkzugang hergestellt wurde. Detaillierte technische Hintergründe zu BadUSB, Rubber Ducky und O.MG Cable erklärt der Post zu Rogue Devices.
Warum euer Sicherheitskonzept an der Rezeption endet
Die meisten Unternehmen haben ein Sicherheitskonzept für ihre Mitarbeiter. Security Awareness Trainings. Acceptable-Use-Policies. Badge-Richtlinien. Offboarding-Prozesse. Was diese Konzepte eint: Sie enden an der Mitarbeitergrenze. Externe Dienstleister sind eine andere Kategorie – und in dieser Kategorie herrscht strukturelle Blindheit.
| Personengruppe | Physischer Zugang | Security-Onboarding | In Sicherheitskonzept | Vertraglich geregelt |
|---|---|---|---|---|
| Festangestellte Mitarbeiter | Badge, rollenbasiert | ✓ Standard | ✓ Vollständig | ✓ Arbeitsvertrag, AUP |
| Zeitarbeitskräfte | Badge, oft weitreichend | Teilweise | Teilweise | Lückenhaft |
| IT-Dienstleister / MSP | Privilegiert, oft remote + physisch | Selten | Selten | Lückenhaft |
| Reinigungspersonal (direkt) | Vollständig, unkontrolliert, abends | Fast nie | Fast nie | Fast nie |
| Reinigungspersonal (Sub-Sub) | Vollständig, unkontrolliert | Nie | Nie | Nie |
| Wartungstechniker (extern) | Vollständig inkl. Technikräume | Nie | Selten | Selten |
Das Subunternehmer-Problem
Die Lücke wird tiefer, wenn man die Subunternehmer-Kette betrachtet. Euer Unternehmen hat einen Vertrag mit einem Reinigungsunternehmen. Das Reinigungsunternehmen beschäftigt Personal – teils direkt, teils über Subunternehmer. Wer von den fünf Personen, die montags euer Gebäude reinigen, ist direkt angestellt? Wer ist über eine Subunternehmerkette beschäftigt? Wer hat diese Subunternehmer überprüft? Wer haftet, wenn einer dieser Personen ein Gerät einsteckt?
NIS2 und das KRITIS-Dachgesetz beantworten diese Frage eindeutig: Ihr. Als Betreiber der Infrastruktur tragt ihr die Verantwortung für die Sicherheit eurer Lieferkette – inklusive Facility-Dienstleister, Reinigungsunternehmen und deren Subunternehmer. Ein Reinigungsvertrag ohne Sicherheitsklauseln ist keine Bagatelle. Er ist eine dokumentierte Compliance-Lücke.
Die unbequeme Frage für jedes Unternehmen: Wie viele Menschen haben heute Nacht Zugang zu euren Büros – und wie viele davon kennt ihr namentlich? Reinigung, Sicherheitsdienst, Haustechnik, Nachtportier, Wartungsdienstleister. Die Zahl ist regelmäßig höher als erwartet. Und für die meisten gibt es kein Verfahren, das eine Bestechung verhindern oder auch nur erkennen würde.
Was dagegen hilft – und warum die meisten Unternehmen es nicht tun
Die Gegenmaßnahmen sind nicht komplex. Sie erfordern keinen neuen Technologie-Stack. Sie erfordern eine bewusste Entscheidung, den Sicherheitsperimeter auf externe Dienstleister auszudehnen – und die konsequente Umsetzung dieser Entscheidung im Alltag.
- Sicherheitsklauseln in Dienstleisterverträgen: Jeder Reinigungsvertrag, jeder Facility-Vertrag, jeder Wartungsvertrag enthält explizite Anforderungen: Verbot privater Geräte, keine Manipulation von IT-Komponenten, Meldepflicht für ungewöhnliche Vorfälle, Weitergabe dieser Anforderungen an Subunternehmer. Kein Vertrag ohne diese Klauseln.
- USB-Port-Blocking als technische Auffanglösung: Kein Betriebssystem sollte unbekannte USB-Geräte automatisch als Tastatur akzeptieren. Endpoint-Policies die nur autorisierte USB-Geräte zulassen, sind die technische Ebene – sie ersetzen nicht die organisatorischen Maßnahmen, aber sie begrenzen den Schaden wenn alles andere versagt.
- Physische Port-Sperren an exponierten Workstations: Geräte, die abends unbeaufsichtigt stehen – insbesondere in Gemeinschaftsbereichen, Empfangsbereichen oder Großraumbüros – sollten physisch gesperrte USB-Ports haben. Günstig, wirkungsvoll, oft ignoriert.
- Supervision in sensiblen Bereichen: Serverräume, Rechenzentren, Netzwerk-Technikräume werden während der Reinigung nicht unbeaufsichtigt zugänglich gemacht. Das klingt trivial – in der Praxis wird es selten umgesetzt.
- Vollständige Inventarisierung externer Zugangsberechtigter: Wer kommt wann ins Gebäude, von welchem Unternehmen, über welche Vertragskette? Diese Liste existiert in den meisten Unternehmen nicht vollständig. Sie ist die Grundlage für alles andere.
- Physical Pentest mit Supply-Chain-Komponente: Der einzige Weg zu wissen, ob das alles hält, ist es zu testen – mit echten Szenarien, die den Dienstleister-Kanal einschließen. Ein Test der prüft, ob ein Bestechungsversuch gegen einen Servicemitarbeiter erfolgreich wäre, deckt auf, was Audits und Checklisten nie aufdecken: ob die Prozesse im realen Moment halten.
Die meisten dieser Maßnahmen kosten wenig. Was sie kostet, ist die bewusste Entscheidung, Reinigungspersonal, Facility-Dienstleister und Wartungstechniker als Teil der eigenen Sicherheitsarchitektur zu begreifen – und nicht als jemanden, der abends nach Hause geht und damit aus dem Sicherheitsperimeter herausfällt.
Fazit: Euer Perimeter endet nicht am Haupteingang.
Sicherheitsarchitekturen werden gegen Angreifer konzipiert, die so vorgehen wie erwartet. Starke Passwörter, Phishing-resistente MFA, EDR auf allen Endpoints, Penetrationstests für die Webapplikation. All das schützt gegen einen Angreifer, der euer stärkstes Schloss angreift. Es schützt nicht gegen einen Angreifer, der die Hintertür nimmt.
Und die Hintertür steht offen. Jeden Abend. Für die Personen, die euer Unternehmen am besten kennt und am wenigsten kontrolliert: diejenigen, die die Büros sauber halten, die Klimaanlage warten, den Aufzug prüfen. Ihr physischer Zugang ist vollständig. Ihr Sicherheitsbewusstsein ist ungeschult. Ihre Verträge enthalten keine Sicherheitsanforderungen. Und ihre Bereitschaft, einem Angreifer zu helfen – ohne zu verstehen, dass sie das tun – ist eine offene Frage, die die meisten Unternehmen nie gestellt haben.
Die Frage „Würde unsere Reinigungskraft einen USB-Stick einstecken, wenn jemand sie darum bittet?" ist keine rhetorische. Sie ist ein Sicherheitstest. Wer sie nicht durchführt, kennt die Antwort nicht.
Weiterführend: Was BadUSB-Geräte technisch tun erklärt der Post zu Rogue Devices. Wie Angreifer physische Zugänge durch Pretexting gewinnen zeigt der Post zur Legende. Und was NIS2 zur Lieferkettensicherheit konkret fordert erklärt der Post zur physischen Compliance.
Wissen Sie, wer heute Nacht in Ihren Büros ist?
Wir testen, ob euer Sicherheitsperimeter auch externe Dienstleister einschließt – mit Physical Pentests, die den Supply-Chain-Kanal und Social-Engineering-Szenarien gegen Servicemitarbeiter einschließen.
Physical Pentest anfragen →