Physical Security Test
Wir erachten physische Sicherheit als elementaren Bestandteil der Unternehmenssicherheit. Auch hier hält die Informationstechnologie parallel zu traditionellen physischen Themen Einzug. Damit ist eine Modernisierung der physischen Sicherheit unaufhaltsam.
Wir sind begeisterte, legale Einbrecher und freuen uns Ihre Systeme bis aufs Äußerste auf die Probe zu stellen oder mit Ihnen schrittweise und strukturiert Ihre Gebäudepläne und installierten baulichen Maßnahmen auf mögliche physische Zugriffe zu analysieren.
Physical Security Walkthrough
Bei diesem Assessment begehen wir gemeinsam mit Ihnen die Unternehmens-Räumlichkeiten und ermitteln sowohl theoretische als auch praktische Einbruchsrisiken. Auf Wunsch werden, im Speziellen zerstörungsfreie Techniken, bei der Begehung gemeinsam praktisch getestet, um auch direktes praktisches Feedback zur Wahrscheinlichkeit der Durchführung zu erhalten. Welche Punkte gemeinsam analysiert werden, bestimmen entweder Sie auf Basis Ihrer eigenen Risikobewertung oder sie ergeben sich aus vorhergehenden Analysen der Gebäudepläne und theoretischen, physischen Angriffsszenarien, die wir im Projekt ermitteln.
Physical Security Penetration Test
In diesem Assessment wird die Möglichkeit des physischen Zugriffs praktisch getestet. Der Scope wird vorab festgelegt. Anschließend lassen die Testenden ihrer Kreativität freien Lauf. Im traditionellen Penetration Testing liegt der Fokus auf technischen Schwachstellen der gesamten physischen Struktur des Unternehmens bis hin zu sehr speziellen Assessments von Einzelgeräten, wie beispielsweise Vereinzelungsschleusen.
Test der Videoüberwachung, Alarmierung und Zutrittskontrolle
Wenn Sie ein neues System einführen oder bestehende Systeme der Unternehmenssicherheit in Ihr Risikomanagement eingliedern möchten, benötigen Sie jeweils eine Risikoeinschätzung. Mit diesen Assessments unterstützen wir Sie bei der Ermittlung der theoretischen als auch praktischen Risiken, beginnend mit Prozessabläufen bis hin zum Hacken von Geräten und Netzwerken, wie beispielsweise Zutrittskartensysteme und Alarmanlagen.
Physical Red Teaming
Beim physischen Zutritt zu Unternehmen ist ein balanciertes Zusammenspiel von Maßnahmen der physischen Sicherheit mit jener des Sicherheitsbewusstseins von Mitarbeitenden und Erkennungs- und Reaktionsmöglichkeiten des Security Teams essenziell. Beim Physical Red Teaming stimmen wir den Scope und die Einschränkungen mit Ihnen ab, erstellen gezielte Angriffspläne und führen Angriffssimulationen durch, bei denen wir aktiv in Ihr Unternehmen eindringen und nicht nur die physische Sicherheit, sondern auch die Erkennung und Reaktion auf unsere Eindringungsversuche mit testen.
Zukunftssichere Talente: Unterricht an der FH Hagenberg
Die Förderung junger Talente ist uns ein Anliegen, denn die Cyber-Security-Branche bleibt nur stark, wenn es engagierten Nachwuchs gibt. Deshalb sind unser Teammitglieder regelmäßig als Vortragen...
BCM Planspiel 2025
Ein leistungsfähiges Notfall- und Krisenmanagement hilft bei der Vorbereitung auf den Ernstfall. Deswegen führen wir unter anderem auch regelmäßig Planspiele im Zuge unseres Business Continuity Manage...
Eventbericht: INSPIRE::CSO 2025
Die erste INSPIRE::CSO ist vorbei und wir freuen uns sehr über das positive und offene Feedback, das wir von den vierzig Teilnehmenden erhalten haben, die sich am 7. März 2025 im Andaz Vienna, Wien, z...
References & Case Studies
Energy 
Sicherheit der Schnittstellen
Energy
Für ein großes Energieunternehmen führten wir einen Grey-Box-Check durch, der sich auf die kritische Infrastruktur des Unternehmens konzentrierte. Ziel war die Identifikation von Eintrittspunkten in das OT-Netzwerk aus dem Internet beziehungsweise aus dem internen Office-Netzwerk. Zudem wurden auch physikalischen Eintrittspunkte betrachtet.
Durch die Auswertung der Firewall-Regeln wurden mehrere Systeme identifiziert, welche Zugriff auf das OT-Netzwerk hatten. Es war zwar dadurch kein direkter Zugriff möglich, über beispielsweise Code-Execution-Schwachstellen, jedoch wurden mehrere Schwächen in den Systemen und der Netzwerktrennung festgestellt. Zudem gab es im OT-Netzwerk keine weitere Segmentierung der Systeme. Dadurch genügt der Zugriff auf ein System im OT-Netzwerk, um die gesamten Systeme in der OT-Landschaft erreichen zu können.
Bei der physikalischen Begehung des Standortes wurden mehrere Schwächen identifiziert, wodurch es möglich war, mehrere Sicherheitszonen zu überwinden und in kritische Zonen zu gelangen. Angreifende könnten dadurch unbemerkt vom öffentlichen Raum bis in kritische Zonen des Unternehmens vordringen.
Deshalb wurde von uns empfohlen, die Firewall-Regeln weiter einzuschränken, die Systeme nur über zusätzlich abgesicherte Verbindungen erreichbar zu machen und das flache OT-Netzwerk zu segmentieren. Für die physikalische Sicherheit des Standortes sollten die Barrieren besser angebracht werden und die Awareness der Mitarbeitenden durch Schulungen gestärkt werden.
Commerce 
Umgehung durch alternative Zugänge
Commerce
Aufgabe war es Zugang zu einem großen Bürogebäude mit Portier zu erlangen. Im Internet konnte im Vorfeld ein Gebäudeplan des Architekten mit den genauen Räumen für die ersten beiden Stockwerke aufgefunden werden.
Aus dem Plan konnten fünf Eingänge und Wege identifiziert werden, wodurch die Portierloge umgangen werden konnte. Die meisten dieser Zugänge waren geschlossen, aber nicht versperrt, und konnten mit einfachen Mitteln geöffnet werden.
Education 
Vorbereitung durch öffentliche Raumpläne
Education
Die Raumpläne einer Bildungseinrichtung waren öffentlich einsehbar, wodurch kritische Räume, wie Server-, Heiz- oder Archiv-Räume für den Auftrag zum Physical Security Penetration Test („legalen Einbruch“) ausfindig gemacht werden konnten.
Vor Ort waren die beschriebenen Räume meist nicht versperrt und konnten mit einfachen Mitteln in kurzer Zeit geöffnet werden. Zugriff auf den Serverraum war nicht möglich, dafür aber auf die Heizsteuerung und Räume mit wichtigen Dokumenten.
Unsere Empfehlung war es ähnliche Sicherheitsmaßnahmen wie für die Serverstruktur anzuwenden und die öffentlichen Raumpläne nach einem Need-to-Know-Prinzip zu gestalten.