Hatton Garden 2015: Als Kriminelle einfach durch die Wand gingen
Stell dir ein Hochsicherheitsdepot in London vor. Meterdicke Wände, Alarmanlagen auf dem neuesten Stand, ein Tresorraum, der als unbezwingbar gilt. Keine Laserstrahlen wie in Mission Impossible, keine Insider. Nur ein Aufzugsschacht, ein langer Bohrer – und ein langes Osterwochenende.
Beim berüchtigten Hatton Garden Safe Deposit Burglary kletterte die Tätergruppe durch den Aufzugsschacht und bohrte sich mit schwerem Gerät durch 50 Zentimeter Stahlbeton. Sie gingen nicht durch die Tür. Sie gingen durch die Struktur – entlang des Weges des geringsten Widerstands.
Der erbeutete Wert: geschätzte 14 Millionen Pfund. Die tatsächliche Schwachstelle: nicht das Schloss, nicht die Kamera, nicht der Alarm – sondern die kollektive Annahme, dass der Aufzugsschacht kein Angriffsvektor sei.
In meinen Audits sehe ich genau dieses Muster immer wieder: Unternehmen bauen Festungen an der Vorderseite und lassen die sprichwörtliche Hintertür – am Dach, im Keller, im Zwischendeckenraum – sperrangelweit offen.
Security Theater: Warum sichtbare Sicherheit oft keine ist
Zäune, Drehkreuze und Überwachungskameras haben häufig einen rein psychologischen Effekt. In der Sicherheitsforschung nennt man das „Security Theater" – Maßnahmen, die das Gefühl von Sicherheit erhöhen, ohne die tatsächliche Angriffsfläche signifikant zu reduzieren. Der Begriff wurde geprägt durch Kryptograph und Sicherheitsforscher Bruce Schneier.
Die Realität in der Praxis:
- Zäune halten Gelegenheitstäter ab – einen motivierten Angreifer mit Leiter und 15 Minuten Zeit nicht.
- Kameras dokumentieren den Einbruch meist forensisch, anstatt ihn zu verhindern. Kein Alarm stoppt einen Angreifer, der bereits innen ist.
- Wachpersonal patrouilliert dort, wo es bequem und hell ist. Die tatsächlichen Schwachstellen liegen im toten Winkel – auf dem Dach, im Technikschacht, im Kellergang.
Ein Angreifer denkt nicht in „gesicherten Eingängen". Er denkt in Vektoren: Wo ist die Lücke zwischen dem, was bewacht wird, und dem, was bewacht werden müsste?
Die echten Angriffsvektoren: Wo wir in Physical Pentests wirklich einbrechen
In einem Physical Pentest suchen wir nicht nach dem spektakulärsten Weg – wir suchen nach dem effizientesten. Fast immer ist es eine Kombination aus technischem Versagen, Hardware-Mängeln und menschlicher Psychologie. Hier sind die vier häufigsten Vektoren, die wir in der Praxis ausnutzen:
Tailgating: Die Waffe der Höflichkeit
Der einfachste Weg durch eine gesicherte Tür ist, dass jemand anderes sie aufmacht. Kein Werkzeug, keine Technik, keine Vorbereitung – nur ein freundliches Auftreten und das Ausnutzen einer tief verwurzelten sozialen Norm: Wir halten anderen die Tür auf. In Gebäuden mit hohem Mitarbeiterdurchlauf, Lieferverkehr oder schlecht sichtbaren Badge-Lesern ist Tailgating der mit Abstand häufigste erfolgreiche Angriffsvektor.
Türfallen-Shimming: Die 5-Sekunden-Lücke
Viele Türen sind zwar geschlossen, aber nicht aktiv verriegelt. Eine schlecht eingestellte Türfalle oder ein zu großer Spalt zwischen Türblatt und Rahmen reicht aus, um mit einem dünnen Shim-Tool den Riegel zurückzudrücken. Für einen geübten Pentester dauert das unter fünf Sekunden. Die häufigsten Fundstellen in Audits: Nebenausgänge, Technikräume und Verbindungstüren zwischen Mieteinheiten.
Die vertikale Ebene: Dächer, Schächte, Klima
Während der Haupteingang mit Dreifachkontrolle gesichert wird, ist das Dach oft der blinde Fleck schlechthin. Wartungsluken für Klimatechniker, Belüftungsschächte und Kabeldurchführungen sind häufig nur mit einem einfachen Vorhängeschloss gesichert – oder gar nicht. Wer einmal auf dem Dach ist, hat oft direkten Zugang zu Technikräumen, in denen Netzwerk-Infrastruktur und Zutrittssystem-Controller sitzen.
Abgehängte Decken: Die Hacker-Autobahn
In fast jedem modernen Bürogebäude enden die Trennwände an der Sichtdecke – nicht an der Rohdecke. Wer eine Deckenplatte hochhebt, stellt fest, dass er horizontal über die gesamte Etage kriechen kann: über jede biometrisch gesicherte Tür, über jeden Badge-Reader, über jeden Bewegungsmelder im Flur. Das ist der klassische Hohlraum-Bypass – und er funktioniert in der überwiegenden Mehrheit der Gebäude, die wir auditieren.
Ein Physical Pentest prüft nicht nur die Hardware. Er prüft das dreidimensionale Puzzle deines Gebäudes: Was liegt hinter der Wand? Was ist über der Decke? Was ist unter dem Fußboden? Und wo hat die letzte Wartungsfirma aufgehört aufzuräumen?
Was wir in einem Pentest systematisch prüfen
Physische Resilienz ist jetzt Pflicht – die CER-Richtlinie
Physische Sicherheit war lange das Stiefkind der Compliance-Diskussion. NIS2 dominiert die Schlagzeilen, DSGVO die Datenschutz-Abteilungen. Doch mit der CER-Richtlinie (Critical Entities Resilience Directive, EU 2022/2557) hat die EU einen Paradigmenwechsel vollzogen: Physische Resilienz ist für kritische Einrichtungen keine Empfehlung mehr – sie ist rechtlich bindende Pflicht.
NIS2 schützt deine Daten und Systeme. CER schützt dein Gebäude, deine Infrastruktur und deine betriebliche Kontinuität – auch gegen physische Sabotage, Einbruch und technisches Versagen. Beide Richtlinien greifen ineinander.
| CER-Anforderung | Konkrete Implikation | Relevanter Audit-Bereich | Priorität |
|---|---|---|---|
| Risikoanalyse physischer Bedrohungen | Nachweis, dass physische Gefährdungen für alle Standorte systematisch erfasst und bewertet wurden | Perimeter, Zugangskontrolle, Schächte | PFLICHT |
| Schutz kritischer Infrastruktur | Physische Schutzmaßnahmen müssen dokumentiert und regelmäßig getestet werden | Serverräume, Energie, Netzwerk-Infrastruktur | PFLICHT |
| Business Continuity bei physischen Angriffen | Kritische Dienste müssen auch bei physischer Sabotage aufrechterhalten werden können | Redundanz, Segmentierung, Notfallzugang | PFLICHT |
| Verzögerung vor Detektion | Schächte, Decken und Türen müssen Eindringlinge nachweislich verzögern – nicht nur aufhalten | Hohlräume, Vertikale Ebene, Türsicherheit | EMPFOHLEN |
| Incident Reporting | Physische Sicherheitsvorfälle müssen gemeldet und dokumentiert werden | Prozesse, Logging, Kamera-Archivierung | EMPFOHLEN |
Der Physical Pentest ist in diesem Kontext nicht nur ein Sicherheitstool – er ist das schärfste Instrument zur Erfüllung der CER-Nachweispflicht. Ein strukturierter Audit-Bericht dokumentiert identifizierte Schwachstellen, bewertet ihr Risiko und liefert nachvollziehbare Empfehlungen – exakt das Format, das Behörden und Aufsichtsgremien erwarten.
Was jetzt konkret zu tun ist
Physische Sicherheit ist kein einmaliges Projekt. Sie ist ein kontinuierlicher Prozess – weil sich Gebäude verändern, Mitarbeiter wechseln und Angreifer dazulernen. Hier sind die Maßnahmen, die in unseren Audits den größten Unterschied machen:
- Ganzheitliche Gebäudehüllen-Analyse: Beauftragt eine vollständige dreidimensionale Bestandsaufnahme: Boden, Wände, Decke, Schächte, Dach. Jede Öffnung, die größer als 30 cm ist und nicht überwacht wird, ist ein potenzieller Vektor.
- Türsicherheit nachziehen: Prüft bei allen kritischen Türen: Wo liegen die Angeln? Ist die Falle aktiv verriegelt oder nur eingefallen? Gibt es ausreichend Schließbleche? Shimming-resistente Fallen sind eine günstige, hocheffektive Maßnahme.
- Tailgating-Policy institutionalisieren: Es reicht nicht, Mitarbeiter zu schulen. Die Prozesse müssen es ihnen ermöglichen, Unbekannte anzusprechen – ohne soziale Kosten. Klare Beschilderung, Mantraps an kritischen Bereichen und eine Kultur, in der Nachfragen normal ist.
- Hohlräume in die Sicherheitsplanung einbeziehen: Stellt bei der nächsten Renovierung sicher, dass Trennwände bis zur Rohdecke geführt werden – zumindest in Sicherheitsbereichen. Wo das nicht möglich ist: Erschütterungssensoren in der Zwischendecke.
- Dachzugänge und Schächte inventarisieren: Erstellt eine vollständige Liste aller vertikalen Zugangspunkte und deren Sicherungszustand. Wartungsfirmen, Klimatechniker und Reinigungsdienste sind häufig unbewusste Vektoren für schlechten Sicherungszustand.
- Physical Pentest als CER-Nachweis beauftragen: Ein strukturierter Audit deckt nicht nur Schwachstellen auf – er liefert die Dokumentation, die ihr für Behörden und Versicherungen benötigt. Lasst eure blinden Flecken finden, bevor es jemand anderes tut.
Die teuerste Firewall bringt nichts, wenn ich mit einem Laptop direkt in eurem Serverraum sitze – weil ich durch die Klimaanlage gekommen bin oder mir ein netter Kollege die Tür aufgehalten hat. Physische Sicherheit beginnt am Boden und wird durch die Summe kleiner Nachlässigkeiten entschieden.
Fazit: Dein Gebäude ist ein dreidimensionales Angriffsziel
Hatton Garden war kein Geniestreich. Es war die konsequente Ausbeutung einer Lücke, die jeder hätte sehen können, der sein Gebäude mit den Augen eines Angreifers betrachtet hätte. Diese Perspektive ist genau das, was ein Physical Pentest liefert.
Die CER-Richtlinie macht physische Resilienz für kritische Einrichtungen zur rechtlichen Pflicht. Aber selbst wenn du nicht unter CER fällst: Die Frage ist nicht, ob physische Schwachstellen in deinem Gebäude existieren. Die Frage ist, ob du sie kennst – oder ob jemand anderes sie zuerst findet.
Hast du dein Gebäude schon mit den Augen eines Eindringlings betrachtet?
Wir finden deine blinden Flecken – systematisch, dokumentiert und CER-konform.
Physical Pentest anfragen →