· Rexoma Team · IT-Sicherheit · 6 min read
Physical Security für KMU: Wenn Angreifer ins Büro kommen
Angreifer geben sich als IT-Techniker aus, betreten Büros und entwenden Daten per USB-Stick. Was KMU jetzt tun müssen – konkret und ohne Fachkauderwelsch.
Die meisten KMU investieren in Firewalls, Antivirussoftware und sichere Passwörter – doch ein gezielter Angreifer braucht manchmal gar keine Schadsoftware. Google warnte Mitte 2025 öffentlich vor der Gruppe UNC3753, die sich als IT-Servicetechniker verkleidete, unbemerkt in Büros eindrang und Daten per USB-Stick entwendete. Was nach einem Agententhriller klingt, ist reale Bedrohung – auch für Unternehmen in Dresden und ganz Sachsen.
Was ist Physical Social Engineering?
Physical Social Engineering beschreibt den Versuch, durch persönliches Erscheinen und Täuschung unbefugten Zugang zu Gebäuden, Räumen oder IT-Systemen zu erlangen. Dabei werden menschliche Hilfsbereitschaft und fehlende Kontrollprozesse ausgenutzt – nicht technische Schwachstellen.
Die häufigsten Methoden im KMU-Alltag:
- Pretexting als IT-Techniker: Ein Angreifer in Arbeitskleidung erscheint unangekündigt und behauptet, er solle “kurz den Server checken” oder das WLAN tauschen.
- Tailgating / Piggybacking: Unbefugte schlüpfen direkt hinter einem Mitarbeiter durch eine gesicherte Tür, ohne selbst einen Schlüssel oder Ausweis zu besitzen.
- USB-Drops: Präparierte USB-Sticks werden sichtbar im Büro, auf dem Parkplatz oder im Konferenzraum platziert – in der Hoffnung, dass Neugier siegt.
- Shoulder Surfing: Passwörter oder Bildschirminhalte werden schlicht abgelesen – im Großraumbüro, im Zug oder im Café.
Warum KMU besonders anfällig sind
Große Konzerne leisten sich Security-Personal, Besuchermanagementsysteme und strikte Zutrittsprotokolle. KMU in Dresden und Sachsen haben das selten. Die Unternehmenskultur ist oft offen und kollegial – genau das nutzen Angreifer aus. Mitarbeiter halten für einen “Techniker” gerne die Tür auf, ohne nach einem Auftrag zu fragen. Und warum auch nicht? Im normalen Arbeitsalltag macht das Sinn. Zum Problem wird es, wenn der Besucher keiner ist.
Laut Verizon Data Breach Investigations Report (2024) spielt der Faktor Mensch bei über 68 Prozent aller Sicherheitsvorfälle eine entscheidende Rolle – das schließt physische Täuschung ausdrücklich ein.
Die drei gefährlichsten Angriffsvektoren in der Praxis
1. Der falsche IT-Techniker
Ein Mann im Polo-Shirt mit Werkzeugkoffer und einem Klemmbrett erscheint morgens im Büro. Er nennt einen Firmennamen, den niemand überprüft. “Ich soll kurz den Switch im Serverraum checken” – und schon ist er drin. In wenigen Minuten kann ein präparierter USB-Stick Schadsoftware installieren oder Zugangsdaten auslesen. Genau das beschreibt das Vorgehen von UNC3753.
Was fehlt in den meisten KMU: kein Besucherprotokoll, kein zentrales Ticketsystem für IT-Aufträge, kein Vier-Augen-Prinzip beim Serverraumzugang.
2. USB-Angriffe – BadUSB und Rubber Ducky
Bestimmte USB-Geräte können sich gegenüber dem Computer als Tastatur ausgeben und innerhalb von Sekunden automatisierte Befehle ausführen – lange bevor Antivirussoftware reagieren kann. Ein liegen gelassener USB-Stick im Konferenzraum, und die Neugier eines einzigen Mitarbeiters reicht für eine vollständige Kompromittierung.
Was hilft: USB-Ports per Gruppenrichtlinie (GPO) oder Endpoint-Management deaktivieren. Nur vorab genehmigte Geräte per Whitelist zulassen.
3. Tailgating durch gesicherte Bereiche
Chipkarten- und PIN-Zugangssysteme sind wirkungslos, wenn Mitarbeiter aus Höflichkeit die Tür aufhalten. Angreifer rechnen fest damit. Sie kommen mit Händen voll Paketen oder Kaffeebecher – und jemand hält automatisch auf.
Schutzmaßnahmen für KMU – konkret und umsetzbar
Schritt 1: Besuchermanagement einführen
Kein Besucher betritt das Büro ohne Protokolleintrag. Praktisch heißt das:
- Name, Uhrzeit und Zweck des Besuchs werden notiert
- Externe Techniker dürfen nur nach vorheriger Ankündigung per Ticket oder E-Mail eingelassen werden
- Jeder Besucher trägt einen sichtbaren Besucherausweis
- Kein Besucher bewegt sich allein durch das Büro – immer begleitet
Das klingt bürokratisch, ist aber mit einem einfachen Notizbuch am Empfang oder einem kostenlosen Formular in der Cloud umzusetzen.
Schritt 2: Mitarbeiter schulen – konkret, nicht theoretisch
Awareness-Training ist nur dann wirksam, wenn es praxisnah ist. Empfehlenswert:
- Rollenspiele: “Was tust du, wenn jemand ohne Auftrag erscheint?”
- Klare Regel: Jeden Unbekannten freundlich, aber bestimmt nach Ausweis und Auftragsnummer fragen
- Meldeweg festlegen: Wer wird sofort informiert, wenn etwas verdächtig wirkt?
- USB-Sticks unbekannter Herkunft: Niemals einstecken – nicht mal “um zu schauen, wem er gehört”
Schritt 3: Technische Kontrollen nachrüsten
Auch ohne großes Budget lassen sich wirksame Kontrollen einrichten:
- USB-Ports deaktivieren: Per GPO in Active Directory oder über Microsoft Intune – kostenlos in bestehenden Windows-Umgebungen
- Blickschutzfolien: Monitore in Großraumbüros oder an Empfangsplätzen mit Privacy Screens versehen (ab ca. 20 Euro pro Bildschirm)
- Bildschirm sperren: Automatisches Sperren nach 2–3 Minuten Inaktivität einrichten; Mitarbeiter schulen: Win+L beim Verlassen des Platzes
- Clean Desk Policy: Keine Dokumente offen auf dem Tisch bei Abwesenheit, kein Passwort auf Post-it, keine Kundendaten auf dem Drucker liegenlassen
Schritt 4: Physische Zugangskontrolle überdenken
Nicht jeder Bereich braucht die gleiche Sicherheitsstufe – aber manche Bereiche brauchen mehr:
- Serverraum: Immer abschließen, Schlüssel/Chipkarten dokumentieren, Zugang protokollieren
- Buchhaltung und HR: Eigener Bereich oder Schranksystem für sensitive Dokumente
- Netzwerkschränke: Auch in Fluren oder Technikräumen abschließen – ein offener Switch ist ein Einstiegspunkt ins Netzwerk
- Inventarliste: Wer hat welchen Schlüssel? Wird bei Mitarbeiterwechsel konsequent eingezogen?
Schritt 5: Incident Response für physische Vorfälle vorbereiten
Was passiert, wenn trotzdem jemand unbefugt ins Gebäude oder den Serverraum gelangt ist? Ohne Plan verliert man wertvolle Zeit:
- Wer wird als erstes benachrichtigt (IT-Verantwortlicher, Geschäftsführung)?
- Welche Systeme werden sofort isoliert?
- Wird die Polizei gerufen – und wann?
- Wie wird dokumentiert, was passiert ist (für DSGVO-Meldepflicht)?
Clean Desk Policy – unterschätzter Datenschutz
Ein kurzer Blick auf den Schreibtisch kann sensible Informationen preisgeben: Passwörter auf Post-its, Ausdrucke mit Kundendaten, Buchhaltungsunterlagen offen auf dem Tisch. Für KMU in Sachsen ist das nicht nur ein Sicherheitsproblem – es ist ein DSGVO-Risiko. Die Datenschutz-Grundverordnung verlangt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Eine unliegende Kundenliste ist eine solche Maßnahme nicht.
Die Clean Desk Policy kostet nichts und wird durch eine kurze Einweisung etabliert:
- Schreibtisch aufgeräumt vor dem Verlassen
- Vertrauliche Dokumente in abschließbaren Schubladen oder Schränken
- Papier mit sensiblen Daten shreddern statt wegwerfen
- Bildschirm immer sperren, auch bei kurzer Abwesenheit
Unterstützung für KMU in Dresden
Sie suchen Unterstützung in Dresden? Rexoma IT hilft KMU beim Aufbau wirksamer Physical Security Maßnahmen – von der praxisnahen Mitarbeiterschulung über die technische Absicherung von USB-Ports und Endgeräten bis zur Überprüfung Ihrer Zugangskontrolle. Als IT-Dienstleister für KMU in Dresden und Sachsen kennen wir die Anforderungen mittelständischer Betriebe – und wissen, welche Maßnahmen wirklich etwas bringen und welche nur Papier sind. Sprechen Sie uns an.
Häufige Fragen zur Physical Security
Was ist der Unterschied zwischen Physical Security und IT-Security?
IT-Security schützt Netzwerke, Systeme und Daten auf technischer Ebene. Physical Security schützt Gebäude, Geräte und Informationen vor direktem physischen Zugriff. Beide Bereiche bedingen einander: Wer Zugang zum Serverraum hat, kann technische Schutzmaßnahmen vollständig umgehen.
Muss ich meinen Serverraum wirklich abschließen?
Ja, unbedingt. Ein offener Serverraum erlaubt es Angreifern, in wenigen Minuten Schadsoftware einzuspielen, Konfigurationen zu ändern oder Datensicherungen zu entwenden – ohne Netzwerkzugang, ohne Passwort. Türschlösser mit Schlüsselprotokoll sind Pflicht, elektronische Zugangskontrolle empfehlenswert.
Was kostet Physical Security für ein KMU?
Grundlegende Maßnahmen – Clean Desk Policy, Besucherprotokoll, USB-Deaktivierung per GPO, Mitarbeiterschulung – kosten kaum Geld, nur etwas Zeit. Privacy Screens für Monitore beginnen bei 20 Euro. Türzugangskontrolle für Serverräume ab etwa 300–500 Euro. Der Schaden durch einen erfolgreichen physischen Angriff übersteigt diese Kosten um ein Vielfaches.
Wie schule ich Mitarbeiter wirksam für Physical Security?
Kurze, konkrete Trainings alle 6–12 Monate sind wirksamer als lange Präsentationen. Rollenspiele und Praxisbeispiele – “Was würdest du tun, wenn…” – prägen sich besser ein als abstrakte Regeln. Wichtig ist ein klarer Meldeweg, sodass Mitarbeiter ohne Angst vor Blamage verdächtige Situationen melden können.
Bin ich als KMU wirklich ein Angriffsziel?
Ja. Angreifer wählen ihre Ziele nach Aufwand-Nutzen-Abwägung. KMU ohne Sicherheitskonzepte sind leichtere Ziele als gesicherte Großunternehmen. Kundendaten, Bankzugänge, Buchhaltungssysteme und Zugangsdaten zu Cloud-Diensten haben auch in kleinen Betrieben erheblichen Wert – für Kriminelle und für Konkurrenten.
Rexoma IT