Frankfurt, 2022: Ein Laserpointer öffnet die Tür zum Serverraum
Das Red Team scheitert. Zwei Tage lang. Der Haupteingang ist durch Mantrap und biometrischen Doppelcheck gesichert. Die Tiefgarage hat Kennzeichenerkennung und ein dediziertes Wachpersonal. Der Liefereingang wird mit Begleitpflicht kontrolliert. Jeder klassische Angriffsvektor ist abgedeckt. Dann entdeckt jemand im Team einen verspiegelten Windfang auf der Rückseite des Gebäudes – und einen kleinen Bewegungsmelder, der von außen durch die Glasscheibe sichtbar ist.
Ein modifizierter Laserpointer. Durch die Glasscheibe auf den PIR-Sensor gerichtet. Vier Sekunden. Die Tür öffnet sich.
Das Gebäude hatte einen schlecht kalibrierten REX-Sensor (Request-to-Exit) im verglasten Windfang – ein Bewegungsmelder, der eigentlich dafür sorgt, dass Personen das Gebäude verlassen können, ohne eine Karte zu benutzen. Er war für Infrarot-Wärmestrahlung ausgelegt. Der Laserpointer lieferte genau das Richtige – durch die Glasscheibe, ohne Körperkontakt, ohne Alarm.
Der Gesamtaufwand für den Eintritt: 4 Sekunden und ein Gerät für unter 15 Euro. Die Investition in die restliche Sicherheitsarchitektur: sechsstellig. Das schwächste Glied war weder die Karte noch der Controller – es war ein Bauteil, das aus Fluchtwegvorschriften resultierte und nie als Sicherheitskomponente betrachtet wurde.
Was ein REX-Sensor ist – und warum er in deiner Sicherheitsplanung fehlt
Ein Request-to-Exit-Sensor (REX) ist eine Komponente, die fast jede gesteuerte Tür besitzt – und die in fast keiner Sicherheitsbewertung auftaucht. Die Logik dahinter ist regulatorisch: Fluchtwegvorschriften verlangen, dass Personen ein Gebäude oder einen Sicherheitsbereich jederzeit verlassen können, ohne einen Badge zu benötigen. Der REX-Sensor ist die technische Umsetzung dieses Gebots.
Er sitzt auf der Innenseite einer gesicherten Tür, erkennt eine sich nähernde Person und gibt dem Türcontroller das Signal, die Verriegelung kurzzeitig freizugeben. Kein Badge erforderlich. Keine PIN. Kein Biometrie-Check. Annähern genügt.
Das Design-Problem ist fundamental: Der REX-Sensor muss aus Sicherheitsgründen (Fluchtweg) funktionieren, bevor irgendeine Verifikation stattgefunden hat. Er ist bauartbedingt eine ungesicherte Öffnungsmöglichkeit – die Frage ist nur, ob ein Angreifer sie von außen erreichen kann.
Das Zuständigkeitsproblem: Zwischen IT-Security und Facility Management
REX-Sensoren entstehen aus einer Kooperation zweier Welten, die selten miteinander sprechen: dem Brandschutz- und Fluchtwegregelwerk (Domäne Facility Management / Baurechtsbehörde) und dem Zutrittskontrollsystem (Domäne IT-Security / Physical Security). Das Ergebnis ist eine Grauzone, in der niemand die Gesamtverantwortung trägt.
In der Praxis bedeutet das: Der Facility Manager stellt sicher, dass der REX-Sensor funktioniert. Das Security-Team stellt sicher, dass der Kartenleser sicher ist. Wer stellt sicher, dass der REX-Sensor nicht von außen durch eine Glasscheibe getriggert werden kann? In den meisten Unternehmen: niemand.
Technik, Typen und Angriffsvektoren: Wie REX-Sensoren wirklich funktionieren
Um die Schwachstellen zu verstehen, muss man die drei gängigen REX-Sensor-Typen und ihre physikalischen Funktionsprinzipien kennen. Jeder Typ hat einen anderen Angriffsvektor – und jeder ist in der Praxis ausnutzbar.
Der vollständige Angriffsablauf: Von der OSINT-Phase bis zur offenen Tür
Ein gezielter REX-Angriff ist kein Zufallsfund. Er ist das Ergebnis einer strukturierten Recon-Phase, in der der Angreifer die Gebäudehülle systematisch nach exponierten Sensoren absucht – oft noch bevor er das Gelände betritt.
# Voraussetzung: PIR-Sensor durch Glasscheibe sichtbar
Werkzeug: Fokussierter IR-Laser (850–940nm) oder modif. Pointer
Distanz: 1–8m je nach Glastyp und Sensor-Empfindlichkeit
Dauer: 1–4 Sekunden kontinuierlicher Bestrahlung
Signal: Sensor gibt REX-Signal an Controller → Türfreigabe
→ Kein Alarm, kein Badge-Log, keine Videoanalyse-Trigger
Der Zweit-Vektor: Druckluftdosen und der Kälte-Trick
IR-Laser setzen Sichtkontakt zum Sensor voraus. Was aber, wenn der Sensor zwar hinter Glas sitzt, aber kein direkter Blickwinkel möglich ist – etwa weil er seitlich montiert oder durch eine Blende teilweise verdeckt ist? Hier kommt ein Angriffsvektor ins Spiel, der in Security-Kreisen wenig bekannt ist und in Audits regelmäßig funktioniert: handelsübliche Druckluftdosen (Canned Air).
Das Funktionsprinzip ist direkt aus der Physik abgeleitet: Wird eine Druckluftdose umgedreht und betätigt, tritt anstelle von komprimierter Luft das flüssige Treibgas aus – typischerweise Difluorethan oder Tetrafluorethan. Dieses verdampft beim Austreten schlagartig und erzeugt dabei extreme Kälte, oft unter −40°C. Ein PIR-Sensor misst keine Wärme direkt – er misst Temperaturdifferenzen. Ein plötzlicher, starker Kältestoß erzeugt genau das gleiche elektrische Signal wie ein sich nähernder warmer Körper: eine signifikante Abweichung vom Umgebungswert. Der Sensor interpretiert dies als Bewegung und löst aus.
Eine Druckluftdose kostet unter 10 Euro, ist in jedem Bürobedarf erhältlich und löst beim Transport keinen einzigen Verdacht aus. Sie sieht aus wie Reinigungsmittel – und öffnet gesicherte Türen. Besonders wirksam durch Türspalten, Lüftungsschlitze oder niedrig montierte Sensoren, die nicht im direkten IR-Sichtfeld eines Laserpointers liegen.
# Voraussetzung: PIR-Sensor über Türspalt, Lüftungsschlitz oder seitlich erreichbar
Werkzeug: Handelsübliche Druckluftdose, umgedreht betätigt
Physik: Treibgas verdampft bei Austritt → Temperatur unter −40°C
Effekt: PIR-Sensor registriert starke Temperaturdifferenz = Bewegungserkennung
Signal: REX-Auslösung → Türfreigabe
→ Kein Sichtkontakt nötig. Kein Alarm. Unter 10 Euro. Unauffällig transportierbar.
REX-Auslösungen werden häufig nicht geloggt – weil sie als normaler Ausgangsvorgang gelten. Ein Angreifer, der durch einen getriggerten REX-Sensor eintritt, ist im Zutrittskontrollsystem unsichtbar. Das gilt für IR-Laser und Druckluftdosen gleichermaßen.
REX-Schwachstellen im Audit: Was wir in der Praxis finden
| Schwachstelle | Häufigkeit in Audits | Angriffsvektor | Risiko |
|---|---|---|---|
| PIR-Sensor in verglasten Windfängen | Sehr häufig | IR-Laser durch Glasscheibe von außen | KRITISCH |
| PIR-Sensor über Türspalt / Lüftungsschlitz erreichbar | Häufig | Druckluftdose (Canned Air) umgedreht – Kälteschock triggert Temperaturdifferenz | KRITISCH |
| Mikrowellen-Sensor mit Überschuss-Reichweite | Häufig | Schnelle Bewegung vor dünnem Fensterglas oder Trennwand | HOCH |
| REX ohne Alarmintegration | Standard | Jeder Angriff bleibt unentdeckt – kein Log, kein Alert | HOCH |
| Kein Türkontaktsensor kombiniert | Häufig | Tür wird geöffnet ohne dass der Öffnungsvorgang einem Badge zugeordnet wird | MITTEL |
| Touch-Taster mit Türspalt-Exposition | Gelegentlich | Dünner Draht oder biegsames Werkzeug durch Türspalt | MITTEL |
| Korrekt gekapselter Touch-Taster, opake Wand | Selten | Kein bekannter Remote-Angriffsvektor | GERING |
Wie du REX-Schwachstellen systematisch schließt
Das Gute an REX-Angriffen: Sie sind vollständig vermeidbar. Anders als bei kryptografischen Schwachstellen oder Zero-Days handelt es sich hier um physische Montagefehler und Planungslücken, die sich durch konkrete bauliche und konfiguratorische Maßnahmen beheben lassen.
- REX-Sensoren in die Sicherheitsbewertung aufnehmen: Startet damit, alle REX-Sensoren im Gebäude zu inventarisieren – Typ, Montageposition, Sichtbarkeit von außen. Diese Liste existiert in den meisten Unternehmen nicht. Das ist der erste Fehler.
- Sensor-Typ nach Exposition wählen: PIR-Sensoren haben in verglasten Bereichen nichts zu suchen. Für Windfänge und Bereiche mit Außensichtbarkeit: opake Trennwand vor dem Sensor, oder Wechsel auf kapselten Touch-Taster mit IR-Filter.
- Türspalten und Lüftungsschlitze als Angriffsvektor bewerten: Nicht nur die Glasscheibe ist ein Risiko – auch jeder Spalt, durch den eine Druckluftdose gerichtet werden kann, ist ein potenzieller Trigger-Punkt. Lüftungsschlitze an Türen in Sicherheitsbereichen sollten mit Deflektoren versehen oder durch Metallblenden gesichert werden, die keinen direkten Freistrahl auf den Sensor zulassen.
- Abschirmung für verglaste Installationen: Wo ein Sensorwechsel nicht möglich ist, hilft eine gezielte IR-Abschirmfolie auf dem Glas oder eine opake Blende, die den Sensor für den Außenbereich unsichtbar macht – bei gleichzeitiger Funktion von innen.
- REX-Auslösungen in das Logging integrieren: Jede REX-Aktivierung sollte mit Zeitstempel, Türidentifikator und – falls vorhanden – Videospur geloggt werden. Ungeplante Auslösungen außerhalb der Betriebszeiten müssen automatisch einen Alert auslösen.
- Türkontaktsensoren mit REX koppeln: Ein Türkontaktsensor erkennt, wenn die Tür geöffnet wird. Wird die Tür ohne vorherige Kartenlesung UND ohne REX-Aktivierung geöffnet, ist das per Definition ein Einbruchsversuch – und sollte entsprechend alarmiert werden.
- Zuständigkeit klären und dokumentieren: REX-Sensoren müssen explizit in den Security-Verantwortungsbereich aufgenommen werden. Die Schere zwischen Facility Management und IT-Security ist der größte strukturelle Risikofaktor – schließt sie durch eine gemeinsame Zuständigkeitsmatrix.
- Physical Pentest mit REX-Fokus beauftragen: Ein Audit, der REX-Sensoren nicht explizit als Angriffsvektor testet, ist unvollständig. Lasst eure gesamte Türinfrastruktur – inklusive Exit-Seite – auditieren.
Die Ironie des REX-Problems: Der Sensor existiert, um Menschen zu schützen – als Fluchtweg. Er wird zur Schwachstelle, weil niemand gefragt hat, ob er auch von der falschen Seite aus erreichbar ist. Sicherheit und Compliance sind kein Widerspruch – aber sie brauchen jemanden, der beide Perspektiven gleichzeitig im Blick behält.
Fazit: Die gefährlichste Tür ist die, die niemand prüft
Ein REX-Sensor ist kein Nischenprodukt und kein exotischer Angriffsvektor. Er steckt in jeder gesteuerten Tür, die du hast. Er ist in fast keiner Sicherheitsbewertung erfasst. Und er kann mit einem 15-Euro-Gerät in vier Sekunden ausgenutzt werden – ohne Alarm, ohne Badge-Log, ohne jede Spur.
Das Frankfurt-Engagement hat gezeigt: Ein sechsstelliges Budget für Biometrie und Mantrap schützt nicht, wenn der verglasten Windfang auf der Rückseite einen unkalibrieren PIR-Sensor zeigt, der von außen mit einem Laserpointer ansprechbar ist. Die Investition in den Haupteingang war nicht falsch – sie war unvollständig.
Physische Sicherheit ist dreidimensional. Sie endet nicht an der Vorderfront. Sie endet nicht an der Grenze zwischen IT-Security und Facility Management. Und sie endet definitiv nicht an der Innenseite der Tür.
Weißt du, welche deiner Türen einen REX-Sensor haben – und wo der sitzt?
Wir testen die Exit-Seite deiner gesamten Türinfrastruktur. Systematisch, dokumentiert, mit konkreten Härtungsempfehlungen pro Standort.
Physical Security Audit anfragen →