Der Angriff, der im Homeoffice begann
Sommer 2023. Irgendwo in Las Vegas. Ein Sicherheitsforscher sitzt vor seinem Laptop – kein Werkzeug in der Hand, keine Badge, kein Klemmbrett. Nur ein Browser, ein paar spezialisierte Suchoperatoren und ein LinkedIn-Konto. Ziel: Ein Fortune-500-Unternehmen. Zeitlimit: 72 Stunden bis zum geplanten On-Site-Engagement.
Was er findet, ist erschreckend. Vollständige Organigramme über LinkedIn-Verbindungen. Die Namen der Wachleute, namentlich erwähnt in einer Glassdoor-Rezension. Fotos der Empfangstheke – gepostet vom Marketing-Team auf Instagram. Zwei exponierte Building-Management-Systeme auf Shodan, erreichbar ohne jede Authentifizierung. Und ein Stelleninserat für einen Sicherheitsingenieur, das das eingesetzte Zutrittskontrollsystem inklusive Versionsnummer nennt.
Bevor er auch nur einen Fuß vor die Tür setzt, hat er eine vollständige Attack Surface Map erstellt. Das On-Site-Engagement dauert anschließend weniger als vier Stunden.
Dieser Ablauf ist kein Einzelfall. Er ist Standardvorgehen in modernen Red-Team-Engagements – und er beginnt immer dort, wo du es am wenigsten erwartest: im öffentlich zugänglichen Internet.
Ein vergleichbarer Ansatz ist seit dem Cloudflare-Sicherheitsvorfall von 2022 auch breiteren Kreisen bekannt: Angreifer nutzten gezielt OSINT über Mitarbeiterstrukturen und Standortdaten, um SIM-Swapping-Angriffe zu initiieren – als Vorstufe zu weitergehenden Kompromittierungen. Hier kann mehr zum Vorfall in Erfahrung gebracht werden.
Warum klassische Zutrittskontrolle hier versagt
Das Paradigma der physischen Sicherheit beruht auf einem einfachen Axiom: Kontrolliere die Zugangspunkte. Drehtür, Kartenleser, Wachpersonal. Wer diese Barrieren überwindet, ist drin. Wer nicht – nicht.
Dieses Modell hat einen blinden Fleck: Es beginnt erst an der Tür. Ein Angreifer beginnt Wochen früher.
Die digitale Reconnaissance ist keine neue Technik – aber sie hat sich in den letzten fünf Jahren dramatisch verändert. Social Media, berufliche Netzwerke, Review-Plattformen und IoT-Suchmaschinen haben eine öffentliche Datenlage geschaffen, die früher nur staatlichen Akteuren zur Verfügung stand. Heute nutzt sie jeder, der es ernst meint.
Das Problem ist nicht, dass Angreifer cleverer geworden sind. Das Problem ist, dass Unternehmen selbst ihre Angriffsfläche im Netz veröffentlichen – durch Stelleninserate, Social Media, Mitarbeiterprofile und vergessene IoT-Devices.
Die Anatomie eines Remote-Recon-Angriffs
Professionelle Red Teams folgen einer strukturierten Kill Chain. Jede Phase liefert Daten, die die nächste Phase präzisieren – bis das Bild vollständig ist.
Phase 1 – LinkedIn als Organigramm-Ersatz
LinkedIn ist für Angreifer eines der wertvollsten OSINT-Tools überhaupt. Nicht weil es Schwachstellen enthält – sondern weil Mitarbeiter freiwillig Informationen teilen, die in jedem anderen Kontext als vertraulich gelten würden.
- Vollständige Abteilungsstruktur: Wer ist CISO? Wer ist Facility Manager? Wer ist neu im Unternehmen – und damit leichter zu manipulieren?
- Technologie-Stack: Skills-Felder nennen oft konkrete Systeme: „Lenel S2", „Genetec", „Honeywell Pro-Watch".
- Pendler-Patterns: Check-ins, Kommentare zu Verspätungen, Standortdaten in Posts verraten, wann welche Mitarbeiter wo sind.
- Direkte Kontaktpunkte: Wer arbeitet an der Rezeption? Wer ist für Besucherregistrierung zuständig?
# Vom Unternehmensnamen zu vollständigem Personalbaum
Target: ACME Corp Frankfurt
Transforms: LinkedIn → Employees → Roles → Departments
Output: 18 Mitarbeiter, 4 Security-relevante Rollen,
2 Schichtleiter identifiziert (Posts mit Zeitstempel)
Phase 2 – Shodan und die vergessenen Geräte
Shodan ist eine Suchmaschine für das Internet der Dinge – und für physische Sicherheits-Teams eines der gefährlichsten Tools, die es gibt. Jetzt Shodan.io ausprobieren...
Building Management Systeme (BMS/BAS) steuern Zutrittskontrollen, HVAC, Aufzüge und Alarmanlagen. Sie sind in vielen Unternehmen direkt oder indirekt mit dem Internet verbunden – oft als vergessene Altlast nach Netzwerk-Umstrukturierungen.
# Typische Suchanfragen für exponierte BMS
Query: "BACnet" city:"Frankfurt" port:47808
Query: "Niagara" http.title:"Tridium" org:"[TARGET]"
Query: product:"Honeywell" "Access Control" country:DE
→ Ergibt: IP-Adressen, Firmware-Versionen, bekannte CVEs
Was ein Angreifer in dieser Phase gewinnt, ist nicht zwingend direkter Zugang – aber präzises Wissen: Welche Technologie ist verbaut? Welche Firmware-Version läuft? Gibt es bekannte CVEs? Dieses Wissen definiert die Angriffsstrategie für das On-Site-Engagement.
Phase 3 – Google Dorks und Besucherregistrierung
Viele Unternehmen nutzen cloudbasierte Besucherregistrierungssysteme. Einige sind durch falsche Konfiguration über Google indexiert. Was das bedeutet: Ein Angreifer kann Besucherlisten einsehen, Mitarbeiternamen aus Begrüßungs-E-Mails extrahieren oder gültige Termine finden, unter denen er sich auf dem Klemmbrett einträgt.
site:envoy.com OR site:greetly.com "[Unternehmensname]"
intitle:"Visitor Sign-In" "Frankfurt"
filetype:pdf "Besucherprotokoll" "[Zielunternehmen]"
→ Potenzielle Ergebnisse: Namen, Abteilungen, Terminzwecke
Phase 4 – Google Street View als Reconnaissance-Tool
Street View ermöglicht eine vollständige Außenaufnahme des Ziels ohne physische Präsenz. Kombiniert mit Satellitendaten (Google Earth, Bing Maps) kartiert ein Angreifer das gesamte Perimeter:
- Kamerawinkel und tote Winkel: Wo sind Außenkameras angebracht? Welche Bereiche sind nicht erfasst?
- Eingänge und Notausgänge: Haupteingang, Liefereingang, Raucherzone – ein klassischer Social-Engineering-Einstiegspunkt.
- Perimeter-Schwachstellen: Wo verlaufen Zäune? Gibt es Lücken? Wo parken Mitarbeiter?
- Beschilderung: Hinweise auf verbaute Systeme, etwa „Gesichert durch [Hersteller]".
Der Raucherbereich ist kein Sicherheitsproblem – er ist ein physischer Social-Engineering-Vektor. Mitarbeiter öffnen die Tür für jemanden, der „gerade kurz rauchen geht". Kein Badge-Check, keine Verifizierung. Genau dieser Bereich ist auf Street View erkennbar – und wird in jedem ernsthaften Engagement eingeplant.
Phase 5 – Data Broker, Geofencing und Pendler-Patterns
Fortgeschrittene Angreifer nutzen kommerziell verfügbare Geofencing-Daten, um Bewegungsmuster zu rekonstruieren. Welche Mobilgeräte erscheinen regelmäßig um 07:45 Uhr am Standort? Diese Daten sind legal käuflich – und erlauben es, Schichtpläne zu kartieren.
Darüber hinaus liefern Glassdoor- und Kununu-Reviews einen oft unterschätzten Intelligence-Kanal: Mitarbeiter beschreiben dort Sicherheitskultur, Frustrationspunkte mit internen Prozessen und den Führungsstil des Wachpersonals. Informationen, die direkt in den Pretext-Entwurf einfließen.
OSINT-Vektoren: Risikomatrix für Sicherheitsverantwortliche
| Quelle | Gewonnene Information | Risiko | Mitigierbar? |
|---|---|---|---|
| Organigramm, Technologien, Schichtpläne | HOCH | Teilweise | |
| Shodan / Censys | Exponierte BMS, CVEs, Firmware-Versionen | HOCH | Ja |
| Stelleninserate | Eingesetzte Systeme, Versionsnummern | HOCH | Ja |
| Google Street View | Kamerawinkel, Eingänge, Perimeter | MITTEL | Nein |
| Glassdoor / Kununu | Sicherheitskultur, Prozessschwächen | MITTEL | Teilweise |
| Social Media | Innenaufnahmen, Badge-Fotos, Layouts | MITTEL | Ja |
| Data Broker | Bewegungsmuster, Schichtpläne | MITTEL | Eingeschränkt |
| Visitor Management (öffentl.) | Mitarbeiternamen, Terminstrukturen | NIEDRIG | Ja |
Wie du deine digitale Angriffsfläche reduzierst
Die gute Nachricht: Der Großteil der OSINT-Exposition ist vermeidbar. Sie entsteht nicht durch Angriffe – sondern durch interne Prozesse, die Security nicht als Kriterium hatten. Das bedeutet, sie lässt sich durch Policy-Änderungen adressieren, ohne große Investitionen.
Sofortmaßnahmen (Quick Wins)
- Shodan-Self-Scan: Scanne deine eigene IP-Range auf Shodan und Censys. Jedes exponierte BMS oder OT-Gerät muss sofort hinter eine Firewall oder abgetrennt werden.
- Stelleninserate bereinigen: Entferne alle Hinweise auf konkrete Produktnamen, Versionsnummern oder Hersteller. „Erfahrung mit Zutrittskontrollsystemen" reicht.
- Social Media Policy: Innenaufnahmen des Büros, Badge-Nahaufnahmen und Fotos von Technik-Racks haben auf Instagram nichts verloren. Schriftliche Policy + Awareness-Training.
- Besucherregistrierung prüfen: Stelle sicher, dass keine cloudbasierten Visitor-Management-Daten öffentlich indexiert sind. Google-Dork-Test:
site:[anbieter.com] "[dein Unternehmensname]" - LinkedIn Sichtbarkeitseinstellungen: Definiere, welche Unternehmensinfos in Mitarbeiterprofilen sichtbar sein dürfen – besonders kritisch bei Rollen mit physischem Sicherheitszugang.
Mittelfristige Maßnahmen (30–90 Tage)
- OSINT-Selbstaudit durchführen: Beauftrage ein Red Team oder führe intern eine strukturierte Reconnaissance durch. Was findet ein Angreifer in 48 Stunden über dich?
- BMS-Segmentierung: Building Management Systeme gehören in ein isoliertes OT-Netzwerk ohne direkte Internetverbindung. BACnet/IP und Niagara-Installationen sind häufige Schwachstellen.
- Awareness-Training mit OSINT-Fokus: Schulungen sollten explizit zeigen, welche Informationen Mitarbeiter unbewusst preisgeben – mit realen Screenshots aus dem eigenen Unternehmen.
- Physical Security Review: Kombiniere den OSINT-Befund mit einer physischen Begehung. Decken sich die identifizierten Schwachstellen mit dem, was ein Auditor on-site bestätigt?
Physische Sicherheit beginnt nicht an der Eingangstür – sie beginnt mit der Frage: Was weiß ein Angreifer bereits über uns, bevor er ankommt? OSINT-Hygiene ist keine IT-Aufgabe. Sie ist eine unternehmensweite Sicherheitsdisziplin.
Fazit: Der Angriff beginnt im Internet, nicht vor deiner Tür
Die klassische Unterscheidung zwischen „digitalem" und „physischem" Angriff ist überholt. Moderne Red Teams denken in Kill Chains, die nahtlos von der Google-Suche zum Badge-Kloner verlaufen. Der OSINT-Schritt ist dabei nicht Vorbereitung – er ist der Angriff.
Unternehmen, die ausschließlich in Schlösser, Kameras und Zutrittssysteme investieren, ohne ihre digitale Reconnaissance-Exposition zu kennen, schaffen eine falsche Sicherheit. Sie bauen eine Festung – und legen den Grundriss ins Internet.
Ein professionelles Physical-Pentesting-Engagement beginnt deshalb immer mit einer strukturierten OSINT-Phase. Nicht weil es so gemacht wird – sondern weil Angreifer es so machen.
Weißt du, was ein Angreifer in 48 Stunden über dein Unternehmen herausfinden kann?
Wir führen strukturierte OSINT-Audits und Physical-Pentesting-Engagements durch – vom Remote-Recon bis zum dokumentierten On-Site-Test.
Kostenloses Erstgespräch anfragen →