Tailgating

Sucht man in Wörterbüchern nach dem Begriff „tailgating“, so wird man häufig das aus dem Amerikanischen entlehnte „zu dichtes Auffahren“ finden. Zwar kann auch das sicherheitstechnisch gesehen gefährlich in Form von Auffahrunfällen werden, dies ist aber an dieser Stelle nicht mit dem Begriff des Tailgating gemeint. Die hier gemeinte Version bezieht sich eher auf das Tailgating, das zu Deutsch auch als „Huckepack“ bezeichnet wird.

In diesem Zusammenhang geht es darum, sich illegal Zutritt zu sicherheitsrelevanten Bereichen zu verschaffen. So ganz verkehrt ist das Thema „zu dichtes Auffahren“ hierbei nicht, denn der Zutritt wird sich häufig dadurch verschafft, dass jemandem dicht gefolgt wird. So kann sich eine Person bspw. als schwer bepackter Paketbote ausgeben, der keine Hand frei hat, um die Tür zu einer Firma zu öffnen. Da er dadurch hilflos wirkt, macht ihm ein Mitarbeiter die Tür von sich aus auf, sodass der vermeintliche Paketbote dicht folgt und sich Zutritt verschafft hat. 

Was hier zu betonen ist: Beim Tailgating selbst geht es zunächst einmal nur um den Zutritt selbst, also das so genannte „Access Tailgating“. Es ist sozusagen ein physischer Angriff, da sich der Angreifer hierbei zu einem geschützten Bereich Zutritt verschafft, der für gewöhnlich nur für autorisierte Personen zugänglich ist. Allerdings ist das Tailgating nicht isoliert zu betrachten, sondern gehört zu einem größeren System. Am genannten Beispiel erklärt: Wenn der als Paketbote getarnte Eindringling im geschützten Bereich ist, kann er sich auch Zugriff auf die dortigen Computer verschaffen, um bspw. Passwörter auszuspähen oder ähnliches.

Nicht nur das Sich-Ausgeben als schwer bepackter Paketbote wird genutzt, um sich Zutritt zu verschaffen, auch andere Techniken werden eingesetzt, um den geschützten Bereich zu betreten. Auch ein nicht „überladener“ Bote kann versuchen, in ein Gebäude zu kommen, wenn er bspw. behauptet, er müsse eine Sendung persönlich übergeben. 

Gerade in größeren Firmen und Unternehmen, wo nicht jeder Mitarbeiter jeden Kollegen kennt, wird auch gerne vorgegeben, seinen Mitarbeiterausweis vergessen zu haben. Hierbei wird Vertrautheit vorgespielt und gleichermaßen die Hilfsbereitschaft anderer ausgenutzt. Obgleich eigentlich bekannt ist, dass man niemand Unbekannten in die Firma lassen darf, wird die Zugehörigkeit oft überzeugend genug vorgespielt. 

Ebenfalls „beliebt“ ist die Vorgabe, einen Termin zu haben. So kann der „Angreifer“ vorgeben, er habe einen Termin mit einer beliebigen Person, die er vorher auf der Unternehmenshomepage recherchiert hat. So schafft er ebenfalls Glaubwürdigkeit und stellt sich als vertrauenswürdige Person dar.

Das „Access Tailgating“ ist ein effektives Mittel des Angriffs auf sensible Daten, aber es ist auch ein Teil eines größeren Bereichs. Der Oberbegriff hierzu ist das Social Engineering, zu dem neben dem Tailgating auch noch andere Arten des Angriffs auf sensible Daten und des Erhaltens von Zugriff gehören.

Diese haben gemeinsam, dass beim Versuch der Zugrifferlangung stets der Mensch im Mittelpunkt steht. Genauer gesagt: der Mensch als Schwachstelle. Die Psychologie des Menschen spielt hierbei eine große Rolle, denn durch das geschickte Ausnutzen menschlicher Eigenschaften gerät der Angreifer an die Daten.

Aber welche Schwachstellen sind es im Einzelnen, die beim Social Engineering ausgenutzt werden? Da ist zum einen die Angst zu nennen. Evtl. kennt man es auch aus Spam-Mails, dass angedroht wird, dass einem sämtliche Daten gelöscht werden, wenn man einer in der betreffenden E-Mail geäußerten Aufforderung nicht nachkommt. Selbst, wenn man die Möglichkeit, dass etwas Wahres dran ist, selbst als sehr gering einschätzt, geht manch einer doch lieber auf „Nummer Sicher“. Dies kann auch kombiniert mit Zeitdruck geschehen: Wird eine Aktion nicht bis zu einem bestimmten Stichtag ausgeführt, so werden die Daten gelöscht, Zugangsdaten weitergegeben o.ä.

Auch die Hilfsbereitschaft wird häufig ausgenutzt, wie es auch das oben genannte Beispiel mit dem schwer bepackten Paketmann zeigt. Generell wird häufig eine Rolle eingenommen, in der sich der Angreifer darstellt, als könnte er gerade gut Hilfe benötigen. Schon durch das hilfsbereite Aufhalten einer Tür ist somit einer potenziellen Bedrohung im wahrsten Sinne des Wortes „Tür und Tor geöffnet“.

Weitere gern genutzte Faktoren sind Vertrauen und Autorität. Das kann, wie oben geschildert, vor Ort geschehen, wenn man sich als Mitarbeiter des Unternehmens ausgibt und somit andere Mitarbeiter davon überzeugt, einem die Tür zu öffnen, aber auch bei E-Mails oder am Telefon. So wird sich am Telefon oder per E-Mail als einer ausgegeben, der eine wichtige Funktion im Unternehmen einnimmt und auf diese Art und Weise nach Passwörtern oder anderen sensiblen Informationen gefragt. Gerade wenn die E-Mail von einem vermeintlichen Vorgesetzten kommt, kann das dazu führen, dass weniger hinterfragt wird, ob es sich wirklich um die Person handelt, die vorgegeben wird, zu sein. Gerade in größeren Unternehmen, in denen man (auch in der Führungsebene) nicht jeden kennt, sollte man hier sehr vorsichtig sein.

Diese genannten Schwachstellen werden auch beim Tailgating genutzt, sodass dieses so genannte „Access Tailgating“ ebenfalls mit zum Social Engineering gezählt werden kann.

Klar, die Gefahr an sich, die bereits deutlich herausgestellt wurde, ist der unbefugte Zutritt, den der Angreifer durch sein Access Tailgating erhält. Dies allerdings ist nur der Anfang, denn wichtig ist auch, was dem Zutritt folgt. Hat der Angreifer erst einmal die Firmen-/Unternehmensräume betreten, kann er möglicherweise Daten ausspähen und Firmeninterna in Erfahrung bringen.

Dies sollte man als Mitarbeiter stets im Hinterkopf behalten, schließlich kann es ernsthafte Konsequenzen haben, wenn Daten nach außen dringen. Zum einen entsteht dem Unternehmen selbst ein gewaltiger Schaden, der in die Millionenhöhe gehen kann. Zum anderen bringt man dadurch auch seine eigene Anstellung im Unternehmen in Gefahr, wenn herauskommt, dass eine Sicherheitslücke durch das eigene Handeln entstanden ist.

Das altbekannte Motto „Vertrauen ist gut, Kontrolle ist besser“ ist an dieser Stelle deshalb wörtlich zu nehmen. Am Ende ist es besser, lieber einmal mehr nachzufragen, eh es zu unbefugten Zutritten kommt.

Um gegen Tailgating vorzugehen, gibt es verschiedene Ansätze, die auf unterschiedlichen Ebenen ansetzen.

Wie mehrfach erwähnt, ist die Schwachstelle bei Angriffen dieser Art der Mensch, also der Mitarbeiter. Hier anzusetzen ist daher sinnvoll, indem im Unternehmen Schulungen zum Thema Sicherheit und Cybersicherheit angeboten werden, bei denen erklärt wird, wie man Angriffe erkennt und mit ihnen umgeht. Gerade beim Thema Tailgating ist dies sinnvoll, denn Angriffe dieser Art können in einer Schulung nicht nur thematisiert, sondern auch simuliert werden. So tritt neben die grundlegende Erläuterung auch ein praktischer Aspekt.

Generell ist natürlich auch wichtig, die geltenden und bekannten Sicherheitspraktiken einzuhalten. Sei es das Mitführen eines Firmenausweises, das Ein- und Ausstempeln, all das sollte unbedingt und ausnahmslos eingehalten werden. Genau an dieser Stelle tritt wiederum das zutage, was bereits erwähnt wurde: Das Sicherheitsrisiko ist hier eben der Mensch. So schwer es manchmal sein mag, einem freundlichen Mitmenschen einen Wunsch abzuschlagen, so konsequent muss man sein, wenn es um Sicherheitsbelange geht.

Empfehlenswert ist auch eine Multi-Faktor-Authentifizierung. Soll heißen: Eine Variante allein reicht nicht immer aus, um sich Zutritt zu einem Gebäude zu verschaffen. Dies ist vergleichbar mit den Verfahren, die man z.B. von der Anmeldung zum Online-Banking kennt, wenn man nach Eingabe von Nutzername und Passwort noch eine Mail oder eine SMS mit einem Code bekommt, der zusätzlich einzugeben ist.

Ein weiterer Sicherheitsaspekt, der eingesetzt werden kann, ist die Nutzung digitaler Schließmedien wie Smartcard oder Transponder, die ebenfalls sicherstellen, dass nur befugtes Personal Zutritt zu einem Gebäude erhält. Allerdings gibt es auch hier wieder die Möglichkeit, dass es schwerfällt, die freundliche Bitte eines Lieferanten (oder einer Person, die sich als solcher ausgibt) auszuschlagen, doch bitte schnell mit ins Gebäude zu dürfen.

Sehr effizient kann es auch sein, den Zutritt auf eine Person zur gleichen Zeit zu beschränken. Dies ließe sich mit einer Parkhaus-Schranke vergleichen, die jedes Mal gesenkt wird, bevor das nächste Fahrzeug durchfahren kann. Die Mitnahme einer Person ohne gültiges Identifikationsmedium wäre im Falle einer sogenannten Personenvereinzelungsanlage ausgeschlossen.

Produkte von SimonsVoss können helfen, die entsprechende Sicherheitstechnik bereitzustellen, um Fälle von Tailgating zu unterbinden. Mit einem Zutrittskontrollsystem von SimonsVoss hat nur derjenige Zutritt zu einem Gebäude oder einem Raum, der ein dafür zugelassenes Identifkationsmedium wie einen Transponder oder eine Smartcard besitzt. Im Hinterkopf behalten werden muss aber auch hier, dass ggf. diejenigen, die berechtigt für die jeweiligen Zutritte sind, wirklich ausnahmslos nur selbst die Zutrittskontrolle passieren darf, um die Sicherheit zu gewährleisten.

Wenn man weiß, dass z.B. ein Lieferant kommt, so kann man diesem auch bereits im Vorfeld eine temporäre Zutrittsberechtigung erteilen, bspw. ganz einfach über MobileKey auf das Smartphone. Somit hat der Lieferant bereits die Zutrittsgenehmigung und man kann sichergehen, dass derjenige, der sich als Lieferant ausgibt, auch wirklich einer ist – und senkt somit deutlich die Gefahr von Tailgating-Angriffen.