Er stand um 9:47 Uhr im Serverraum. Er war um 9:30 Uhr als Besucher angemeldet.
Ein Logistikkonzern mit Sitz im Ruhrgebiet. Sechzehn Standorte, dreitausend Mitarbeiter, ein Rechenzentrum im Erdgeschoss des Hauptgebäudes. Die physische Sicherheit ist auf dem Papier solide: Zutrittskarten für alle Mitarbeiter, ein Badge-Lesegerät am Serverraum, ein Empfang mit Wachpersonal.
Was auf dem Papier nicht steht: Der Empfang druckt Besucherbadges ohne Foto. Die Escort-Pflicht gilt offiziell – wird aber im Alltag nicht durchgesetzt. Das Besucherlogbuch ist ein Excel-Sheet, das niemand auswertet. Und wer einmal drin ist, kann sich frei im Gebäude bewegen, solange er so tut, als ob er wüsste wohin.
Im Rahmen eines beauftragten Physical Pentests meldete sich unser Tester telefonisch an – als Vertreter eines fiktiven IT-Dienstleisters, dessen Name er zuvor auf LinkedIn als tatsächlichen Partner des Unternehmens identifiziert hatte. Termin: 9:30 Uhr, angeblich zur Wartung der USV-Anlage.
// Rekonstruierter Ablauf · autorisierter Pentest · anonymisiert
9:28 Uhr. Empfang. Name wird im Excel-Sheet gesucht – und gefunden, weil der Tester sich selbst zwei Tage zuvor per E-Mail „angemeldet" hatte, über eine Adresse die aussah wie der Dienstleister. Die Empfangsmitarbeiterin druckt ein Badge: Vorname, Nachname, Datum. Kein Foto. Kein Ausweis verlangt.
9:31 Uhr. „Wissen Sie wo die USV-Anlage ist?" – „Irgendwo im Keller, glaube ich. Ich ruf mal kurz an." Niemand hebt ab. „Dann schauen Sie mal im Erdgeschoss, da hinten links." Kein Escort. Kein zweiter Check.
9:47 Uhr. Der Tester steht vor dem Serverraum. Das Badge-Lesegerät zeigt grün – weil ein Mitarbeiter kurz zuvor hinausgekommen war und die Tür nicht vollständig ins Schloss gefallen war. Tailgating, ohne dass jemand es bemerkt hatte.
9:52 Uhr. Foto vom Rack. Foto vom Patchfeld. Seriennummern der Server. Ende des Tests. Gesamtdauer vom Betreten des Gebäudes bis zur kritischen Infrastruktur: 24 Minuten.
Das Besucherregistrierungssystem war nicht das einzige Problem. Aber es war das Einfallstor. Ohne es wäre kein Termin zustande gekommen, keine Badge gedruckt worden, keine Tür geöffnet worden.
Besuchermanagement ist in den meisten Unternehmen als Serviceprozess konzipiert – freundlich, reibungslos, gastfreundlich. Genau darin liegt das Problem. Was als Komfort gedacht ist, ist als Angriffspfad nutzbar.
Warum Besucherregistrierung systematisch versagt
Besuchermanagement-Prozesse wurden für einen spezifischen Zweck entwickelt: Gäste empfangen, registrieren, weiterleiten. Sie wurden nicht für den Zweck entwickelt, Angreifer zu erkennen. Das ist kein Vorwurf an die Menschen am Empfang – es ist eine strukturelle Fehlkonstruktion.
Die Realität in den meisten mittelständischen und großen Unternehmen sieht so aus: Die Empfangsmitarbeiterin ist darauf trainiert, höflich zu sein. Der Prozess ist darauf ausgelegt, Reibung zu minimieren. Und der Angreifer weiß genau, wie er diese Höflichkeit und diese Reibungslosigkeit als Werkzeug einsetzt.
Das Besuchermanagement ist in den meisten Unternehmen der einzige Zugangspunkt, an dem ein Angreifer legitim erscheinen kann, ohne legitim zu sein. An jedem anderen Punkt braucht er technische Mittel. Hier reicht ein Name, ein Vorwand und ein freundliches Lächeln.
Die sieben strukturellen Schwachstellen
In unseren Physical Pentests begegnen uns regelmäßig dieselben Muster – unabhängig von Unternehmensgröße oder Branche:
- Keine Ausweispflicht: Besucher werden anhand ihres selbst angegebenen Namens registriert. Eine Verifikation findet nicht statt.
- Voranmeldung ohne Verifikation: Wer sich selbst anmeldet – per E-Mail, Telefon oder über ein Webformular – gilt als legitimer Gast.
- Badges ohne Foto: Ein Badge mit Namen und Datum ist leicht zu fälschen und identifiziert den Träger nicht eindeutig.
- Escort-Pflicht ohne Durchsetzung: Die Policy existiert, aber niemand prüft, ob der Besucher tatsächlich begleitet wird.
- Logbücher ohne Auswertung: Besucherlisten werden geführt, aber nie auf Anomalien untersucht – mehrfache Besuche derselben Person, ungewöhnliche Zeiten, verdächtige Zwecke.
- Zeitliche Überschreitungen unbemerkt: Ein Besucher, der für eine Stunde angemeldet ist und drei bleibt, wird nicht bemerkt.
- Zonenzugang ohne Kontrolle: Das Badge berechtigt offiziell zu bestimmten Bereichen – aber niemand prüft, ob der Besucher dort auch wirklich bleibt.
Die Anatomie eines Visitor-Management-Angriffs
Ein Angriff über das Besuchermanagement ist kein Zufall und kein Glück. Er folgt einer strukturierten Vorbereitung – und nutzt exakt die Lücken, die der Prozess selbst offenlässt. Die Kill Chain beginnt Tage vor dem eigentlichen Besuch.
Phase 1 – OSINT: Der Angriff beginnt vor dem Besuch
Bevor ein Angreifer überhaupt anruft, verbringt er Stunden mit Recherche. LinkedIn liefert die Namen der Facility-Manager und IT-Dienstleister. Die Unternehmenswebsite nennt oft die Partnerunternehmen. Glassdoor verrät, welche Empfangsmitarbeiterin gerade im Dienst ist. Und ein simpler Google-Dork auf den cloudbasierten Visitor-Management-Anbieter des Unternehmens zeigt mitunter bereits registrierte Besucher:
site:envoy.com "[Unternehmensname]" oder site:lobbytrack.com "[Standort]"
Das Ergebnis dieser Recherche ist ein Pretext: eine Legende, die in das Umfeld des Zielunternehmens passt. Kein generischer „IT-Techniker" – sondern ein Mitarbeiter des tatsächlichen Wartungsdienstleisters, der tatsächlich existiert und dessen Namen auf LinkedIn zu finden ist.
Mehr zur OSINT-Phase und wie Angreifer digitale Spuren zu einem vollständigen Angriffsprofil zusammensetzen, erklärt unser Post zu Remote Recon to Physical Breach.
Phase 2 – Die Voranmeldung als Vertrauensanker
Eine Voranmeldung per E-Mail erfüllt eine psychologische Funktion: Sie legitimiert. Wer einen Termin hat, der steht auf der Liste – und wer auf der Liste steht, wird ohne große Prüfung durchgewunken. Der Angreifer nutzt diese Dynamik bewusst.
Die Voranmeldung kommt von einer E-Mail-Adresse, die dem echten Dienstleister täuschend ähnlich sieht: wartung@acme-service.de statt wartung@acme-services.de. Oder sie kommt von einer frisch registrierten Domain, die in keiner Blacklist auftaucht. Oft reicht auch ein schlichter Telefonanruf beim Empfang – der Termin wird handschriftlich notiert, und niemand überprüft, wer angerufen hat.
Eine Voranmeldung ist kein Sicherheitsmerkmal. Sie ist ein Komfortmerkmal, das von Angreifern gezielt als Vertrauensanker eingesetzt wird. Wer einen Termin hat, muss keinen Ausweis zeigen – das ist die implizite Logik, die die meisten Empfangsprozesse prägt.
Phase 3 – Am Empfang: Höflichkeit als Waffe
Der Empfang ist der kritischste Punkt – und gleichzeitig der am schlechtesten gesicherte. Die Menschen dort sind darauf trainiert, Gäste willkommen zu heißen, nicht, sie zu verhören. Ein Angreifer, der Selbstsicherheit ausstrahlt, einen plausiblen Namen nennt und eine nachvollziehbare Geschichte erzählt, wird in den allermeisten Fällen durchgelassen.
Was dabei hilft:
- Uniform oder Arbeitskleidung mit dem Logo des angeblichen Dienstleisters – günstig zu beschaffen, hohe Wirkung.
- Werkzeugkoffer oder Laptop-Tasche als visueller Kontext: „Ich bin zum Arbeiten hier, nicht zum Stehlen."
- Namendropping: „Ich bin wegen Herrn Müller aus der IT" – der Name ist auf LinkedIn zu finden, und niemand am Empfang prüft, ob Herr Müller tatsächlich einen Termin vereinbart hat.
- Zeitdruck vortäuschen: „Ich muss bis 11 Uhr zurück sein, die andere Baustelle wartet." Zeitdruck reduziert Kontrolle.
Diese Techniken fallen alle unter den Begriff Social Engineering – und sie funktionieren nicht wegen technischer Schwachstellen, sondern wegen menschlicher Grundreflexe: Hilfsbereitschaft, Höflichkeit, Vertrauensbereitschaft.
Phase 4 – Im Gebäude: Wie weit kommt man wirklich?
Wer einmal ein Badge in der Hand hält, hat das schwierigste Hindernis überwunden. Im Gebäude selbst gibt es für einen entschlossenen Angreifer selten effektive Barrieren. Die Escort-Pflicht wird nicht durchgesetzt. Mitarbeiter halten Türen auf – aus Höflichkeit. Und ein Besucher-Badge unterscheidet sich optisch kaum von einem Mitarbeiter-Badge, besonders wenn er in der gleichen Farbe gedruckt ist.
Interessant ist, was in dieser Phase passiert, wenn der Angreifer auf ein gesichertes Zutrittssystem trifft. Nicht selten hilft ein freundliches „Könnten Sie kurz aufmachen? Ich warte schon eine Weile, mein Ansprechpartner ist gerade nicht erreichbar." Oder er wartet schlicht, bis jemand die Tür öffnet – und folgt durch: klassisches Tailgating, das kein technisches System erkennt.
Phase 5 – Der Abgang: Das unterschätzte Risiko
Der Abgang ist mindestens genauso wichtig wie der Eintritt. Ein Angreifer, der das Gebäude mit einem USB-Stick voller Daten verlässt, muss dabei genauso unauffällig sein wie beim Betreten. In den meisten Fällen ist das trivial: Das Badge wird am Empfang abgegeben – oder auch nicht, denn in vielen Unternehmen prüft niemand, ob alle Besucher das Gebäude wieder verlassen haben.
Keine Abgangs-Kontrolle bedeutet auch: Ein Angreifer könnte theoretisch im Gebäude verbleiben, außerhalb der Geschäftszeiten agieren und am nächsten Morgen als „früher Besucher" wieder auftauchen – wenn das Logbuch nicht täglich ausgewertet wird.
Angriffsszenarien: Was mit einem Visitor-Badge möglich ist
Schwachstellen-Matrix: Was wo versagt
| Schwachstelle | Ausnutzung durch Angreifer | Risiko | Behebbar? |
|---|---|---|---|
| Keine Ausweispflicht | Beliebige Identität annehmbar, kein Verifizierungsaufwand | HOCH | Ja |
| Voranmeldung ohne Verifikation | Fake-Termin per E-Mail oder Telefon, kein Rückruf beim Kontakt | HOCH | Ja |
| Badge ohne Foto | Einfach zu fälschen, keine Identifikation des Trägers | HOCH | Ja |
| Escort-Pflicht ohne Durchsetzung | Freie Bewegung nach der ersten Tür, keine laufende Kontrolle | HOCH | Teilweise |
| Logbuch ohne Auswertung | Mehrfachbesuche, Anomalien und Zeitüberschreitungen bleiben unbemerkt | MITTEL | Ja |
| Keine Abgangskontrolle | Verbleib im Gebäude möglich, Badge bleibt in Angreifershand | MITTEL | Ja |
| Cloud-VMS öffentlich indexiert | Besucherlisten und Mitarbeiternamen per Google-Dork abrufbar | MITTEL | Ja |
| Keine Schulung des Empfangspersonals | Social Engineering trifft auf unvorbereitete erste Verteidigungslinie | MITTEL | Ja |
Wie ein sicherer Besucherprozess aussieht
Die gute Nachricht: Die meisten dieser Schwachstellen sind mit organisatorischen Maßnahmen behebbar – ohne großen technischen Aufwand. Der Besucherprozess muss nicht feindlich sein. Er muss strukturiert sein.
Sofortmaßnahmen (Quick Wins)
- Ausweispflicht einführen: Jeder Besucher zeigt beim Einchecken einen Lichtbildausweis. Der Name wird abgeglichen. Kein Ausweis – kein Badge. Das ist kein Misstrauen, sondern Standard.
- Foto-Badges: Jeder Besucherbadge enthält ein Foto, das beim Check-in aufgenommen wird. Damit ist der Badge personengebunden und nicht übertragbar.
- Rückruf bei Voranmeldungen: Bei unbekannten Dienstleistern oder erstmaligen Besuchern: Rückruf über die öffentlich bekannte Nummer des Unternehmens – nicht über die angegebene Nummer. Verifiziert den Termin in 30 Sekunden.
- Cloud-VMS auf Indexierung prüfen: Google-Dork:
site:[euer-anbieter.com] "[euer Unternehmensname]"– wenn Ergebnisse erscheinen, sofort Sichtbarkeitseinstellungen korrigieren. - Besucherlogbuch täglich auswerten: Wer war wann wie lange da? Gibt es Wiederholungen, Anomalien, Zeitüberschreitungen? Fünf Minuten täglich genügen für diesen Check.
Strukturelle Maßnahmen (30–90 Tage)
- Escort-Pflicht mit Accountability: Jeder Besucher hat eine namentlich verantwortliche Begleitperson – und diese Person bestätigt beim Abgang, dass der Besucher das Gebäude verlassen hat. Dokumentiert.
- Zonenzugang explizit definieren: Das Visitor-Management-System sollte Besucher auf spezifische Zonen beschränken – nicht im System, sondern auch physisch durch Zonenschilder und Zugangsprüfung an sensiblen Bereichen.
- Empfangspersonal schulen: Nicht als Verhörtraining – sondern als Awareness. Welche Pretexts gibt es? Wie erkenne ich eine verdächtige Situation? Wie eskaliere ich diskret? Ein halbtägiges Training reicht für signifikante Verbesserung.
- Badge-Zeitlimit technisch durchsetzen: Moderne VMS-Systeme können Badges mit Ablaufzeiten versehen. Nach zwei Stunden öffnet der Badge keine Türen mehr. Klingt simpel – wird selten genutzt.
- Physical Pentest mit Visitor-Szenario: Lass ein Red Team euren Besucherprozess testen – mit einem echten Pretext, einer echten Voranmeldung und einem echten Versuch. Das Ergebnis ist der direkteste Beweis für den Status quo.
NIS2 & CER: Was regulatorisch gefordert ist
Wer unter NIS2 oder das KRITIS-Dachgesetz fällt, muss physische Sicherheitsmaßnahmen nachweisbar umsetzen – inklusive Zutrittskontrolle für Dritte. Ein Besucherprozess ohne Ausweispflicht, ohne Escort-Dokumentation und ohne Logbuchauswertung erfüllt diese Anforderungen nicht. Die CER-Richtlinie fordert zudem explizit, dass Betreiber kritischer Infrastruktur Risiken durch unbefugte Personen systematisch adressieren – Besucher eingeschlossen.
Ein sicherer Besucherprozess ist keine Feindseligkeitserklärung gegenüber Gästen. Er ist ein professionelles Signal: Wir nehmen Sicherheit ernst – für unsere Mitarbeiter, unsere Daten und unsere Partner. Das kann auch als Qualitätsmerkmal kommuniziert werden.
Fazit: Der gefährlichste Badge ist der, den ihr selbst ausgestellt habt
Biometrie am Haupteingang. RFID-Lesegerät am Serverraum. Mantrap im Erdgeschoss. All das verliert seinen Wert, wenn ein Angreifer sich mit einem selbst ausgedruckten Badge durch den Empfang schleust – weil der Prozess es zulässt.
Visitor Management ist kein Randthema der physischen Sicherheit. Es ist einer der meistgenutzten Einstiegsvektoren in Red-Team-Engagements – weil er funktioniert. Nicht wegen technischer Schwachstellen, sondern wegen menschlicher Prozesse, die Komfort über Kontrolle stellen.
Die Lösung ist nicht Misstrauen. Sie ist Struktur. Ein verifizierter Termin, ein Foto-Badge, eine namentliche Escort-Pflicht und ein täglich ausgewertetes Logbuch – das sind keine Hochsicherheitsmaßnahmen. Das ist gelebtes Prozessmanagement.
Weiterführend: Wie Angreifer sich vor dem Besuch digital vorbereiten, zeigt der Post zu Remote Recon to Physical Breach. Was nach dem Betreten des Gebäudes passiert – insbesondere an Notausgängen und REX-Sensoren – beleuchtet der Post zu REX-Sensor-Blind-Spots. Und wie verwaiste Zugänge ehemaliger Mitarbeiter zum dauerhaften Risiko werden, erklärt der Post zu Orphaned Accounts.
Wie sicher ist euer Empfang wirklich?
Wir testen euren Besucherprozess im Rahmen eines Physical Pentests – mit realem Pretext, realer Voranmeldung und dokumentiertem Ergebnis. Kostenloses Erstgespräch, kein Commitment.
Physical Assessment anfragen →