Profi-Einbrecherin verrät: Mit diesen Tricks schleicht man sich sogar in Hochsicherheitsanlagen

Meine Job-Beschreibung ist simpel: Ich bin professionelle Einbrecherin. Ich werde dafür bezahlt, wie eine Kriminelle zu denken. Meine Kunden sind große Unternehmen. Ihr Auftrag: Die Stärken und Schwächen ihrer Sicherheitssysteme zu evaluieren – und das tue ich, indem ich versuche, sie zu umgehen. Während meiner Tests darf ich Schlösser knacken, über Mauern und Stacheldrahtzäune klettern. Außerdem wühle ich mich durch Mülltonnen und darf mit coolen Gadgets spielen, auf die auch Q aus den James Bond-Filmen neidisch wäre.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Doch mein effektivstes Tool ist die soziale Manipulation, das sogenannte Social Engineering: Indem ich Mitarbeitern vor Ort eine falsche Identität vorgaukele, überzeuge ich sie, mich ins Gebäude zu lassen. Manchmal gebe ich mich dafür in E-Mails oder Telefongesprächen als jemand anderes aus. Meistens trete ich den Leuten jedoch direkt gegenüber und gewinne so ihr Vertrauen. Am häufigsten werde ich zwei Dinge über meinen Job gefragt: Auf welchen Einbruch bist du besonders stolz? Und: Für welche Aktion während eines Sicherheitstests schämst du dich am meisten? Beide Fragen möchte ich anhand folgender wahrer Geschichte und mit einem Haufen schöner Gifs beantworten.

Vor ein paar Monaten hatte ein Kunde mich damit beauftragt, seine beiden Einrichtungen zu testen: eine Produktionsanlage und ein Bürogebäude inklusive Datenzentrum in der Nähe.

Bei jedem Auftrag versuche ich als Erstes, so viel wie möglich über die Firma aus frei zugänglichen Quellen herauszufinden. Derartige Quellen werden auch als Open Source Intelligence oder kurz OSINT bezeichnet. Dazu schaue ich mir Straßenkarten und Satellitenbilder an und versuche, Informationen aus Lieferzeiten des Unternehmens und ähnlichem zu ziehen.

Die Produktionsanlage sah wie ein Gefängnis aus. Es gab keine Fenster und keine Grünflächen, dafür aber schwere Eisentore. Ein wahres Monster von einem Gebäude. Die Einrichtung war an jedem Eingang mit bewaffneten Sicherheitsleuten, Ausweislesegeräten, biometrischen Kontrollpunkten und Drehkreuzen ausgestattet. Ich weiß noch, dass ich damals dachte: "Es muss die Hölle sein, hier zu arbeiten. Vielleicht kann ich das ausnutzen…"

Eines stand fest: Meine Chancen, einfach einem Angestellten mit gültigem Dienstausweis ins Gebäude zu folgen, lagen quasi bei Null. Daher würde ich alle meine sozialen Manipulationskünste brauchen.

Mein erster Anlaufpunkt war daher LinkedIn. Denn dein LinkedIn oder Xing-Profil sind mein bester Freund. Je mehr Informationen du auf den Profilen über dich preisgibst, desto mehr Optionen habe ich.

Ich habe selbst mehrere gefakte LinkedIn Profile angelegt. Vielleicht bist du sogar mit einem davon vernetzt.

Als erstes durchsuchte ich die Profile von Angestellten der Einrichtungen, die ich testen sollte. Ich glich sie mit anderen Social-Media-Seiten ab. Bei meiner Suche stieß ich auf eine reizende junge Frau; ich nenne sie mal Mary.

Mary hatte gerade erst als Assistentin in der Produktionsanlage angefangen. Schnell fand ich heraus, dass Mary auch ein öffentlich sichtbares Facebook-Profil hatte.

Auf Facebook hielt Mary alle Erlebnisse aus ihrem Familienleben fest. Im Handumdrehen kannte ich den Namen von Marys Grundschule, den Mädchennamen ihrer Mutter und die Namen ihrer Haustiere. All das sind übrigens beliebte Antworten auf sogenannte "Sicherheitsfragen", die man zum Zurücksetzen von Passwörtern verwendet. Wenn man nicht sehr vorsichtig mit seinen Daten umgeht, sind diese vermeintlich privaten Informationen auf öffentlichen Profilen leicht zu finden.

Außerdem weiß ich nun, wo Mary arbeitet, auf welche Schule ihre Kinder gehen, wo die Familie Urlaub macht… die Liste ist endlos. Ganz schön gruselig, wenn man darüber nachdenkt.

Ich möchte an dieser Stelle betonen, dass meine Nachforschungen nicht sehr tiefgehend sind. Ich bin kein Privatdetektiv und habe nicht die Mittel der NSA. Doch schon mit einfachen Methoden kann ich viel Schaden anrichten.

An Marys Facebook-Profil interessierten mich vor allem die Fotos, die Mary von ihrer Freiwilligenarbeit für eine Beratungsstelle für Mütter geteilt hatte. Anhandihrer Posts konnte ich klar erkennen, wie sehr ihr Kinder und engagierte junge Mütter am Herzen lagen. Diese Erkenntnis nutzte ich selbstverständlich aus.

Für meinen Sicherheitstest schlüpfte ich in zwei Rollen. Als erstes manipulierte ich meine Telefonnummer so, dass sie wie eine Nummer der Firmenzentrale aussah. Diese Betrugsmasche bezeichnet man auch als Caller ID Spoofing. Ich rief beim Empfang der Produktionsanlage an und ließ mich zu Mary durchstellen. "Hallo Mary!", begrüßte ich die junge Frau. "Ich heiße Barbara."

"Ich bin Projektleiterin für das Gebäude-Management. Wir sind gerade dabei, einige unserer Standorte zu renovieren. Wir schicken euch morgen eine Innenarchitektin vorbei, damit sie ein paar Vorschläge für eure Räume zusammenstellen kann."

Mary antwortete: "Das ist ja toll. Aber warum sagt man uns erst so kurzfristig Bescheid?" Da ich merkte, dass Mary misstrauisch wurde, zog ich mein Ass aus dem Ärmel.

Ich seufzte. "Das ist so, Mary… eigentlich hätte ich mich schon viel früher melden sollen. Aber ich hatte hier auf der Arbeit einfach so viel zu tun… Ich habe das Gefühl, gar nicht mehr hinterher zu kommen und als wäre das nicht genug, soll mein Baby in sechs Wochen zur Welt kommen. Wenn mein Chef mitkriegt, dass ich das verbockt habe, rastet er aus."

Ich steigerte mich richtig in die Rolle herein, meine Stimme zitterte, als ob ich gleich in Tränen ausbrechen würde. (Ja, ich weiß, ich bin ein schlechter Mensch.)

Mary unterbrach mich sofort: "Oh Schätzchen, keine Sorge. Das kriegen wir schon hin! Erzähl mir mehr von deinem Baby! Ist es dein Erstes? Wird es ein Mädchen oder ein Junge?"

Nun hatte ich Mary am Haken. Das liegt nicht daran, dass Mary dumm ist, sondern daran, dass sie eine nette Person ist. Sie wollte mir einfach helfen.

Wir redeten eine Weile über Babies und Geburten. (Ein Tipp: Such dir niemals ein Thema aus, über das du dich nicht auch ausführlich unterhalten kannst.)

Mary notierte sich den Namen der "Designerin", die am nächsten Tag vorbeikommen sollte und wir verabschiedeten uns. Mary hätte ihrer Firma eine Menge Kummer ersparen können, wenn sie einfach kurz meine angebliche Identität überprüft hätte. (Versteht mich nicht falsch: Auf diesen Trick hätte jeder hereinfallen können. Natürlich würde ich Marys tatsächlichen Namen niemals preisgeben, und sie wurde auch nicht gefeuert.)

Ebenfalls auf Motherboard: Zu Besuch im Hochsicherheitslabor für gefährliche Tierseuchen

Am nächsten Tag trat ich also als "Claire" auf. Claire arbeitet für ein fiktionales Architekturbüro, für das ich eigens Visitenkarten und eine Website erstellt hatte. Mein Alter Ego Barbara hatte mir bereits den Weg geebnet. Als ich bei der Firma ankam, empfingen Mary und ihr Chef mich mit offenen Armen. Ich schüttelte viele Hände und verteilte die Visitenkarten, die ich am Abend zuvor gedruckt hatte. Ich erhielt einen Besucherausweis, und dann wurde förmlich der rote Teppich für mich ausgerollt.

Ich baute eine Verbindung zu den Angestellten auf, indem ich sie fragte, was sie sich denn für ihr Büro wünschten. Alle waren furchtbar aufgeregt. Irgendwo im Gespräch ließ ich sogar fallen, dass mein Team auch die Google Büros designt hatte.

"Ihr hättet gerne Stehtische? Da drüben neue Stühle?! Ergonomische Keyboards für alle?"

Schnell wurden wir beste Freunde. Ich durfte mich uneingeschränkt und unbeobachtet im gesamten Gebäude bewegen und hielt mich mehrere Stunden dort auf. Während dieser Zeit loggte ich mich ins Netzwerk ein und stahl Wertsachen im Wert von mehreren tausend Euros, indem ich reihenweise billige Schlösser knackte.

Animation von Deviant Ollam

Als der Kunde mir den Auftrag erteilte, war er sehr zuversichtlich, dass ich mich in keine der beiden Einrichtungen einschmuggeln können würde – und schon gar nicht in beide innerhalb kürzester Zeit. Der Zeitplan war völlig mir überlassen, aber man ging fest davon aus, dass ich zweimal anreisen müsste.

Doch ich sah gar keinen Grund, den Kunden mit doppelten Anfahrtskosten zu belasten.

Ich ging also zurück in Marys Büro: "Gut, ich glaube, ich habe hier alles nötige. Wie komme ich denn zum Bürogebäude?"

Mary schaute auf die Uhr und sagte: "Es ist fast Zeit für die Mittagspause. Ich bring' dich hin!" Eine ganze Gruppe ihrer Kollegen schloss sich uns an und sie nahmen mich in einen nahe gelegenen Taco-Laden mit. Ihr habt richtig gelesen. Meine Opfer nahmen mich zum Essen mit… Ich liebe meinen Job.

Nach dem Essen fuhren sie mich zum Bürokomplex, und einige kamen noch mit rein, um mich im Gebäude herumzuführen.

Ich ließ mir bei der Besichtigung absichtlich viel Zeit, so dass sie sich irgendwann verabschiedeten, weil sie zurück zur Arbeit mussten. Eigentlich gibt es in der Firma eine klare Regelung, dass Besucher immer von einem Angestellten begleitet werden müssen. Aber da mich alle in Begleitung vertrauter Personen gesehen hatten, hinterfragte niemand meine Anwesenheit.

Daher konnte ich mir Zeit lassen und mich ganz wie zu Hause fühlen. Mein oberstes Ziel in diesem Gebäude war es, mich in die privaten Büros auf der Chefetage einzuschleusen.

Als ich dieses Ziel erreicht hatte, machte ich das Büro der Person ausfindig, die mich engagiert hatte. Das ist bei jedem Sicherheitstest mein Lieblingsmoment.

Mein Auftraggeber Steve war gerade in seine Arbeit vertieft, als ich an seine Bürotür klopfte. Er schaute hoch: "Hallo, kann ich Ihnen helfen?"

Ich lächelte. "Hallo Steve! Ich bin Sophie von Sincerely Security. Schön, dass wir uns jetzt persönlich treffen."

Seinen Gesichtsausdruck werde ich nie vergessen…. "Wer? Moment, was? Wie? Wie sind Sie hier reingekommen?".

Wir blieben noch eine ganze Weile in Stevens Büro. Ich erklärte ihm detailliert, welche Fehler seiner Firma mir den Erfolg erst ermöglichten. Der erste "Fehler" liegt in der natürlichen Hilfsbereitschaft von Menschen. Die wollen wir natürlich niemandem abgewöhnen.

Zweitens wurde ich am Empfang nicht darum gebeten, mich mit einem offiziellen Dokument auszuweisen – obwohl ich sicher bin, dass es in der Firma eine entsprechende Regel gibt. Am besten sollte neben jedem Computer, Telefon und an jeder Tür ein Schild mit der Aufschrift "Vertrauen ist gut, Kontrolle ist besser" hängen. Hätten sich die Mitarbeiter an diese einfache Regel gehalten, hätten sie mir echt den Tag vermiest.

Drittens: Wenn etwas zu gut klingt, um wahr zu sein, ist es wahrscheinlich nicht wahr.

Ist es realistisch, dass deine Firma die Designer engagiert, die die Google Büros eingerichtet haben? Wahrscheinlich nicht.

Zu guter letzt hätte das Team, das mich zum zweiten Gebäude geführt hat, jemanden finden sollen, der mich dort begleitet.

Ich mache diesen Job schon seit einigen Jahren, und jeder Test verläuft in etwa wie diese Geschichte. Während meiner Sicherheitsüberprüfung komme ich fast nie ohne irgendeine Form der sozialen Manipulation aus.

Es gibt einfache Maßnahmen, mit denen du dich und deine Firma vor solchen Angriffen schützen kannst. Ich denke, es ist ein guter Anfang, Geschichten wie diese zu teilen und sich gegenseitig aufzuklären und zu ständiger Wachsamkeit zu animieren.

Sophie arbeitet als Penetrationstesterin und als Beraterin für Informationssicherheit. In ihren Sicherheitstests hat sie sich auf Social Engineering durch persönlichen, mündlichen (vishing) und schriftlichen (phishing) Kontakt spezialisiert. Sie berät Firmen bei der Umsetzung von Sicherheitsrichtlinien und bietet individuell zugeschnittene Trainings an. Auf Twitter könnt ihr Sophie unter @HydeNs33k schreiben.