Ein führender Energiekonzern ließ einen physischen Pentest durch die Sicherheitsexperten der 3-core durchführen, um die Maßnahmen an einem Campus-Standort zu prüfen. Im Fokus standen das technische Zutrittsmanagement, das eingesetzte Sicherheitspersonal und die Security Awareness von Mitarbeitenden. Der Test wurde sowohl tagsüber als auch nachts durchgeführt.
Der Kunde wollte belastbar bewerten, wie wirksam die vorhandenen Schutzmaßnahmen im Alltag tatsächlich sind und wo sich in der Praxis Angriffs- und Zutrittsmöglichkeiten ergeben. Der Pentest sollte deshalb nicht nur Technik prüfen, sondern auch Abläufe, Rollen und Verhalten im Betrieb abbilden.
Im Kern ging es um:
Wirksamkeit des Zutrittsmanagements an relevanten Zugangspunkten
Zusammenspiel von Technik, Sicherheitsdienst und internen Prozessen
Security Awareness im Tagesgeschäft und außerhalb der Kernzeiten
Unterschiede zwischen Normalbetrieb und Nachtbetrieb
Ein Pentest ist ein kontrollierter Sicherheitstest, bei dem realistische Angriffsszenarien simuliert werden, um Schwachstellen in Schutzmaßnahmen, Prozessen und Verhalten aufzudecken. Ziel ist es, Risiken nachvollziehbar zu belegen und daraus konkrete, priorisierte Verbesserungen abzuleiten.
Ein physischer Pentest zeigt unter realistischen Bedingungen, wie belastbar Zutrittsmanagement, Sicherheitsdienst, technische Schutzmaßnahmen und die Security Awareness am Standort tatsächlich sind. Für den Energiekonzern war besonders wichtig, Unterschiede zwischen Tagesbetrieb und Nachtbetrieb sichtbar zu machen, typische Angriffspfade nachvollziehbar zu prüfen und daraus konkrete Maßnahmen abzuleiten, um Sicherheitslücken gezielt zu schließen.
1. Analyse
2. Durchführung
3. Auswertung & Bericht
In der Analysephase wurde der Pentest vorbereitet. Zunächst wurden Ziel, Scope, Regeln und Sicherheitsgrenzen mit unserem Kunden abgestimmt, damit klar ist, welche Bereiche geprüft werden dürfen und wie die Durchführung kontrolliert bleibt. Anschließend wurde ein Lagebild erstellt, das technische, organisatorische und personelle Faktoren zusammenführt.
Dazu gehörten insbesondere:
Abstimmung der Testziele, Testgrenzen und „Rules of Engagement“
Erhebung der vorhandenen Zutrittslogik, Zonenstruktur und Schutzbedarfe
OSINT (Open Source Intelligence) als Auswertung öffentlich verfügbarer Informationen, um realistische Angriffspfade abzuleiten
Vor-Ort-Observation zur Bewertung von Routinen, Kontrollverhalten, Lieferwegen, Besucherströmen und Schichtwechseln
Aus diesen Erkenntnissen wurden realistische Szenarien und Testpfade entwickelt, die typische Angriffswege abbilden.
Die Durchführung des physischen Pentests erfolgte kontrolliert nach den abgestimmten Szenarien und bewusst zu unterschiedlichen Zeiten. Im Tagesbetrieb standen die alltäglichen Prozesse und Schnittstellen im Fokus, während im Nachtbetrieb vor allem die Wirksamkeit bei reduzierter Präsenz, andere Routinen und mögliche Reaktionslücken betrachtet wurden.
Getestet wurden dabei unter anderem:
technisches Zutrittsmanagement (z. B. Berechtigungen, Zonenwechsel, Türen/Schleusen)
Sicherheitsdienst und Kontrollprozesse (Ansprache, Prüfung, Durchsetzung von Regeln)
Security Awareness von Mitarbeitenden im Alltag (Erkennen, Hinterfragen, Melden)
organisatorische Reaktion im Ereignisfall (Meldewege, Eskalation, Entscheidungsfähigkeit)
Besonders wichtig war: Der Pentest prüfte nicht nur, ob ein Zutritt möglich ist, sondern auch ob das Zusammenspiel aus Technik, Personal und Organisation im Betrieb funktioniert.
In der Auswertung wurden alle Beobachtungen strukturiert dokumentiert und zu einem klaren Gesamtbild verdichtet. Der Bericht fasst die identifizierten Schwachstellen im Zutrittsmanagement, Auffälligkeiten im Kontroll- und Reaktionsverhalten sowie relevante OSINT-Funde zusammen und bewertet sie nach Risiko, Eintrittswahrscheinlichkeit und möglicher Auswirkung. Wichtig ist dabei die Umsetzbarkeit: Sie erhalten konkrete, priorisierte Empfehlungen, die sowohl Quick Wins (z. B. Prozessanpassungen, Regelklarheit, Sensibilisierung) als auch mittelfristige Maßnahmen (z. B. technische Nachrüstung, Zonenlogik, organisatorische Schnittstellen) abdecken. So kann der Test als Entscheidungsgrundlage genutzt werden, um Schutzmaßnahmen zu stärken.
„Der Pentest hat uns sehr klar aufgezeigt, an welchen Stellen sich Lücken ergeben. Besonders wertvoll für uns waren die konkreten, priorisierten Empfehlungen, mit denen wir Zutrittsmanagement, Abläufe und Sicherheitsbewusstsein nachschärfen können.“
Zu Beginn haben wir gemeinsam mit dem Kunden den Rahmen für den Pentest festgelegt. Dazu gehörten Zielsetzung, Scope, zulässige Methoden, Schutzbereiche, Zeitfenster sowie klare Sicherheits- und Eskalationsregeln. So war sichergestellt, dass der Test realistisch, kontrolliert und nachvollziehbar durchgeführt werden konnte.
Für eine realitätsnahe Vorbereitung wurden öffentlich verfügbare Informationen (OSINT) strukturiert ausgewertet und mit gezielter Vor-Ort-Observation kombiniert. Dadurch konnten typische Angriffspfade abgeleitet werden, etwa über Besucher- und Lieferprozesse, Routinen im Tagesablauf oder Auffälligkeiten an Zugangspunkten. Diese Vorarbeit sorgt dafür, dass der Pentest die tatsächliche Exposition des Standorts abbildet.
Der Pentest wurde in zwei Szenarien umgesetzt, um Unterschiede in Sicherheitsabdeckung und Reaktionsfähigkeit sichtbar zu machen. Im Tagesbetrieb standen Zutrittsprozesse, Kontrolllogik und Security Awareness im Normalbetrieb im Fokus. Der Nachtbetrieb diente dazu, Präsenz, Detektion, Kontrollgänge und Reaktionswege außerhalb der Kernzeiten zu prüfen. So wurde belastbar erkennbar, wo Schutzmaßnahmen greifen und wo Lücken entstehen.
Alle Beobachtungen wurden dokumentiert, bewertet und priorisiert. Der Ergebnisbericht fasst die Findings verständlich zusammen und ordnet sie nach Kritikalität und Umsetzbarkeit ein. Empfehlungen wurden abgeleitet, die sowohl kurzfristige Verbesserungen als auch nachhaltige Maßnahmen zur Stärkung der physischen Sicherheit abdecken.
Abschließend wurden die Erkenntnisse mit den Sicherheitsverantwortlichen besprochen und die Maßnahmenplanung begann. Dabei lag der Fokus auf Verantwortlichkeiten, pragmatischen Schritten und einer Priorisierung. So liefert der Pentest nicht nur Ergebnisse, sondern einen klaren Fahrplan.
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
