Wir werden oft nach Praxisbeispielen aus unserem Social Engineering (SE) Alltag gefragt – genau darauf möchte ich heute eingehen. Bei diesem Pentest handelt es sich um einen der ersten SE-Pentests, die wir als größeres Team durchgeführt haben. Gleich vorweg: Diese Angriffssimulation ist für uns beinahe gescheitert. Ich werde über die Herausforderungen schreiben, was falsch lief – und wie wir dennoch unser Ziel erreicht haben.

Einführung

Als SE-Pentester haben wir den Anspruch, unsere Angriffsemulationen so realistisch wie möglich zu gestalten – um nicht „verbrannt“, also aufgeklärt zu werden. In der Regel beauftragen Kunden uns, um ihre Sicherheitsmaßnahmen einem Härtetest zu unterziehen und echte Erkenntnisse über die eigene Resilienz zu gewinnen. Dass es auch anders laufen kann, zeigt dieses Praxisbeispiel.

SE-Pentest: Unser Vorgehen

Wir wählen den leichtesten Weg – wie es echte Angreifer auch tun würden: hohe Erfolgswahrscheinlichkeit, geringes Risiko, aufgedeckt zu werden.

Wie gehen wir vor?
Nach der Auftragsbestätigung beginnt die Informationsgewinnung. Dazu nutzen wir Open Source Intelligence (OSINT) sowie eine mehrtägige Observation der Zielobjekte.

Unsere Aufklärungsergebnisse umfassen u. a. organisatorische Abläufe (z. B. Besuchermanagement), Erkenntnisse über Mitarbeitende, Kunden, Partner und die umgesetzten Sicherheitsmaßnahmen.

Dann folgt die Angriffsplanung. Wir entwickeln mehrere Angriffsszenarien (COA – Course of Action), die entweder aufeinander aufbauen oder unabhängig voneinander funktionieren. So können wir bei einem abgewehrten, aber unaufgedeckten Angriff weiterarbeiten.

Ziel der Durchführung: unbemerkt hinein, vordefinierte Ziele erreichen (z. B. Anbringen von Keyloggern), unbemerkt wieder hinaus. Unsere Szenarien sollen idealerweise zwar scheitern dürfen – aber nicht als Angriff erkannt werden.

Unsere Erfolgsquote

Ein erfolgreicher Pentest bedeutet für uns: unentdeckt ins Unternehmen, unabhängig davon, ob einzelne Szenarien abgewehrt wurden.

Lange Zeit hatten wir eine Erfolgsquote von 100 %. Ja, das schreibe ich mit einem gewissen Stolz. Natürlich war klar, dass das nicht ewig so bleiben würde.

Wir sind an starken Unternehmen gescheitert, hatten schlechte Tage – und in einem Fall wurden wir Opfer unserer kurzfristigen Überheblichkeit. Unsere Quote liegt heute bei 93 %. Immer noch beachtlich.

Der Auftrag

Fünf Objekte sollten an einem Tag getestet werden. Die Sicherheitsstandards und das Bewusstsein der Mitarbeitenden waren hoch – wie es bei einem KRITIS-Unternehmen zu erwarten ist. Wir investierten viel Zeit in Aufklärung und Vorbereitung und stellten ein größeres Team zusammen.

Die Vorbereitung

Schnell war klar: Wir müssen tief in die Trickkiste greifen. Wir mieteten einen Rettungswagen und Filmrequisiten, um Schwachstellen in organisatorischen Prozessen auslösen und nutzen zu können. Zwei Wochen vor dem Pentest begannen wir mit gezielter Annäherung an Zielpersonen.

Kurz vor Weihnachten, als bereits Bäume hinter der Sicherheitskontrolle aufgestellt wurden, nutzte ich diesen Umstand in der Aufklärung.

Mit der Cover-Story, als unternehmenseigener Fotograf weihnachtliche Bilder für Website und Social Media zu machen, kam ich an mehreren Standorten ins Gespräch mit dem Sicherheitspersonal.

An einem Standort konnte ich sogar Rapport zu einem Sicherheitsmitarbeiter aufbauen. Dieser erwartete somit mein Kommen – um den Weihnachtsbaum zu dekorieren und zu fotografieren.

Eine »besondere« Herausforderung

Zwei Wochen später, am Pentest-Tag, wurde uns schnell klar: Etwas stimmt nicht. Waren unsere Fähigkeiten über Nacht verschwunden? Oder hatten wir unseren „Meister“ gefunden? Wo wir auch ansetzten – kein Erfolg. Wir trafen auf hohe Skepsis, unnatürliches Verhalten.

Ein Telefonat mit unserem Ansprechpartner brachte Klarheit: Der Pentest wurde im Vorfeld angekündigt – und am Testtag zusätzlich über das interne Schwarze Brett publik gemacht. Die Mitarbeitenden wurden zur besonderen Aufmerksamkeit aufgefordert – ärgerlich.

Wenn Kunden auf realistische Erkenntnisse verzichten wollen, ist das ihre Entscheidung. Schön wäre nur gewesen, wir hätten es vorher gewusst – dann hätten wir uns anders vorbereitet.

Jetzt hieß es: Leben in der Lage. Ein letztes Angriffsszenario hatten wir noch – weiter geht’s.

Das finale Angriffsszenario

„Der Fotograf“ war eigentlich unser schwächstes Szenario. Mit gefälschtem Ausweis und Kamera machte ich mich auf den Weg zum letzten Objekt – in der Hoffnung, dass mein Rapport noch tragen würde.

Im Eingangsbereich:

• Geradeaus: die hüfthohe Vereinzelungsanlage mit Übersteigschutz
• Rechts dahinter: ein kaum geschmückter Weihnachtsbaum – perfekt!
• Links: das Büro des Sicherheitsdienstes mit Sicht auf den Eingang

Darin: zwei Sicherheitskräfte – einer davon meine Zielperson. Jackpot?

Als ich den Empfang betrat, war sofort klar:

1. Die Zielperson erkennt mich nicht – schlecht.
2. Misstrauen schlägt mir entgegen – ein Indiz dafür, dass auch hier das Personal vom Pentest wusste.

Ein realistischer Pentest ist das nicht mehr. Echte Angreifer hätten bei so vielen Warnzeichen abgebrochen. Aber: Manipulation kann selbst dann funktionieren, wenn das Ziel damit rechnet.

Ich nehme dich jetzt mit in die Gegenwartsform – so wirkt es direkter:

Ansprache

Die Stimmung ist angespannt. Ich entscheide mich, die Situation zu eskalieren – und den Wissensvorsprung der Sicherheitskräfte gegen sie zu nutzen.

Ich (gespielt aufgebracht):

„Was ist denn heute los? Egal, wohin ich gehe – ich werde angeschaut wie ein Außerirdischer. Wie soll ich so arbeiten?“

Verwirrung bei beiden. Sicherheitsmitarbeiter 1 beginnt:

„... das ist nicht persönlich, hier läuft gerade eine Aktion, und wir dachten, Sie wären vielleicht...“

Perfekt. Meine Vorlage.

Ich:

„Ja, ich weiß. War gerade am Standort X – da kam einer als Personenschützer verkleidet...“

Sicherheitsmitarbeiter 1:

„Ja, genau! Von X kam eben ein Anruf. Wir sind wohl die Letzten, wo noch keiner war...“

Ich (lachend):

„Aber ich sehe doch nicht aus wie ein Personenschützer, oder? Den Ausweis habe ich ja nicht zum Spaß.“ (Ich zeige kurz meinen Fake-Ausweis.)
„Ich muss heute die Weihnachtsfotos fertigbekommen – und der Baum hier ist ja noch nicht mal dekoriert.“

Der Groschen fällt. Sicherheitsmitarbeiter 1 erinnert sich an meine Ankündigung. Die Spannung lässt nach. Er erklärt dem Kollegen mein Vorhaben. Ich gewinne an Boden.

Letzte Hürde: Vereinzelungsanlage

Der Ausweis funktioniert nicht. Die beiden öffnen die Anlage nicht manuell. Ich verlasse das Objekt mit dem Vorwand, Dekoration aus dem Auto zu holen – und verfeinere den Plan.

Der finale Plan

Ein Kollege positioniert sich gut sichtbar vor dem Eingang. Sobald ich ihm per SMS das „Go“ gebe, nähert er sich dem Objekt. Währenddessen betrete ich es mit der Dekoration – der Moment für die Manipulation.

Die Manipulation

Ich laufe voll beladen in den Empfangsbereich und stelle mit Freuden fest, dass Sicherheitsmitarbeiter 2 nicht mehr zu sehen ist (ich gehe davon aus, dass dieser wieder seinen Arbeitsplatz am Lieferanteneingang besetzt hat). Ich stelle die Dekoration nah an der Vereinzelungsanlage ab und spreche ohne Umschweife den Sicherheitsmitarbeiter 1 an.

Ich:

Siehst du den Typen da draußen? War der schon hier drin?

Sicherheitsmitarbeiter 1:

Bis jetzt nicht! Der ist aber schon seit 5 min. da und telefoniert.

Ich:

Ich bin mir absolut sicher, dass es der Typ ist, der vorher bei Objekt x war, der sich als Personenschützer ausgegeben hat und schau mal, wie der angezogen ist, der glaubt doch nicht wirklich, dass das funktioniert?

Sicherheitsmitarbeiter 1 greift sichtlich euphorisch zum Telefon:

Sicherheitsmitarbeiter 1:

Der soll nur kommen, wie dumm stellt der sich an? Noch auffälliger geht es doch nicht!

Ich möchte nicht, dass er telefoniert und damit evtl. mein Vorhaben untergräbt, daher unterbreche ich ihn und setze alles auf eine Karte.

Ich:

Wie lustig wäre es, wenn du rausgehst und ihn direkt ansprichst und ich mache davon Fotos? Dem wird alles aus dem Gesicht fallen, das wären einzigartige Fotos!

Sicherheitsmitarbeiter 1:

Ich mache das! Denn schicke ich direkt wieder nach Hause (...)

Infiltration – „Der kommt hier sicher nicht rein.“

Der Sicherheitsmitarbeiter verlässt eilig den Empfang – mich beachtet er nicht. Ich schiebe die Deko unter der Vereinzelungsanlage durch, steige hinterher, mache Fotos vom Geschehen – und beginne, den Baum zu dekorieren.

Unwissend, aber zufrieden und stolz

Nach etwa acht Minuten kehrt der Sicherheitsmitarbeiter zurück. Er ist zufrieden – denkt, alles unter Kontrolle zu haben. Ich zeige ihm Fotos, lobe ihn, er erzählt vom Gespräch. Danach nimmt er wieder seinen Platz ein und telefoniert.

Jetzt bewege ich mich frei im Objekt. Ich fotografiere Bereiche, platziere Dummy-USB-Sticks, dokumentiere sensible Zonen mit roten Aufklebern.

Exfiltration – komme ich hier wieder raus?

Ich bin fertig, aber der Rückweg ist unklar. Mein Plan deckte das nicht ab. Der Mitarbeiter telefoniert noch.

Ich hebe die Dekoration auf – beide Hände voll. Ich laufe zur Vereinzelungsanlage, suche Blickkontakt und forme lautlos:
„Ich komme gleich wieder.“
Er nickt – die Anlage öffnet sich.

Danke.

Warum hat es funktioniert?

Manipulation ist keine exakte Wissenschaft. Social Engineering funktioniert oft intuitiv.

Hier nutzten wir den vermeintlichen Wissensvorsprung und die daraus resultierenden Wahrnehmungsfilter. Die Sicherheitskräfte wussten, dass Pentester unterwegs waren – aber nicht wie. Die Mischung aus Geltungsdrang, Angst zu „versagen“ und Neugier erzeugte Stress. Und Stress trübt die Wahrnehmung.

Warum fiel die Skepsis?

Weil Menschen das Gute sehen wollen. Wir suchen oft eine positive Erklärung für irritierendes Verhalten – besonders, wenn die Reize stimmen. Vertrauen gewinnt. Konflikte vermeiden wir lieber.

Fazit

Auch wenn dieser Pentest nicht realistisch im engeren Sinne war, zeigt er, wie einfach Manipulation ist – selbst bei geschärfter Aufmerksamkeit. Emotionale Ausnahmesituationen erzeugen Stress. Und der macht blind.

Wir stellen in unseren Reportings keine Einzelpersonen bloß. Manipulation kann jeden treffen. Ein SE-Pentest zeigt nicht nur Schwächen – er schafft die Basis für nachhaltiges Training.