Thought Leadership
Unbefugtes Eintreten durch einfaches Nachlaufen: Tailgating hebelt physische Zugangskontrollen aus und gefährdet die gesamte IT-Sicherheit im Unternehmen.
Der Schutz digitaler Vermögenswerte beginnt nicht erst an der Firewall oder beim Verschlüsseln von Datenbanken. Die physische Sicherheit von Gebäuden, Büroräumen und Rechenzentren bildet die allererste Verteidigungslinie einer geordneten Informationssicherheit. In modernen Liegenschaften kontrollieren elektronische Schließsysteme, Chipkarten oder biometrische Scanner den Zutritt zu sensiblen Bereichen. Doch diese technischen Schutzwälle weisen eine fundamentale Schwachstelle auf, die sich nicht durch Software-Updates beheben lässt: den Faktor Mensch.
Unter dem Begriff Tailgating wird eine Methode des physischen Eindringens verstanden, bei der eine unberechtigte Person einer berechtigten Person schlicht durch eine bereits geöffnete Tür in ein Gebäude oder einen geschützten Raum folgt. Diese Form des unbemerften Zutritts hebelt die teuersten Sicherheitsinfrastrukturen aus und öffnet Spionage und Sabotage im Unternehmen Tür und Tor.
Was genau versteht man unter Tailgating?
Tailgating, im deutschen Sprachraum oft als Anhängen oder Nachlaufen bezeichnet, ist eine physische Social-Engineering-Taktik. Das Szenario läuft in der Praxis standardisiert ab: Ein Mitarbeiter authentifiziert sich ordnungsgemäß an einer Sicherheitstür, beispielsweise mittels einer RFID-Karte. Die Tür öffnet sich, und der Mitarbeiter tritt ein. Ein Angreifer, der sich in unmittelbarer Nähe aufhält, nutzt den Moment des Offenstehens aus und schlüpft hinterher, bevor der Schließmechanismus die Tür wieder verriegelt.
In der Sicherheitsfachwelt wird Tailgating oft vom verwandten Begriff Piggybacking abgegrenzt, obwohl beide Begriffe in der Praxis häufig synonym verwendet werden. Beim Piggybacking ist sich der autorisierte Mitarbeiter der Präsenz des Nachfolgenden bewusst und gewährt den Zutritt aktiv, indem er beispielsweise die Tür aus Höflichkeit offen hält. Beim echten Tailgating hingegen agiert der Eindringling meist unbemerkt oder nutzt die Unaufmerksamkeit des Mitarbeiters gezielt aus. Die Identifikation des Eindringlings unterbleibt in beiden Fällen, wodurch das System keine digitale Spur des Zutritts aufzeichnet.
Die soziale Dynamik des unbefugten Zutritts
Dass Tailgating eine derart hohe Erfolgsquote aufweist, liegt an der Ausnutzung menschlicher Verhaltensmuster und gesellschaftlicher Konventionen. Die europäische Agentur für Cybersicherheit ENISA beleuchtet in ihren Berichten zur menschlichen Komponente der IT-Sicherheit regelmäßig, wie Angreifer psychologische Barrieren überwinden. Höflichkeit und Hilfsbereitschaft sind tief verankerte soziale Normen. Einem nachfolgenden Menschen die Tür vor der Nase zuzuschlagen, empfinden die meisten Personen als unhöflich und unangenehm.
Angreifer bereiten sich auf diese Situationen akribisch vor. Sie verkleiden sich als Lieferanten, Handwerker oder Reinigungskräfte, tragen schwere Kartons oder hantieren scheinbar abgelenkt mit einem Smartphone. Eine Person, die mit vollen Händen auf eine Schließanlage zukommt, triggert bei Mitarbeitern fast automatisch den Impuls, die Tür aufzuhalten. Auch das Vortäuschen von Zeitdruck oder emotionalem Stress wird genutzt, um eine kritische Nachfrage des Personals zu verhindern. Die Angst vor Konfrontation führt dazu, dass Mitarbeiter unbekannte Personen im Gebäude selten ansprechen oder nach ihrem Dienstausweis fragen.
Die fatalen Konsequenzen für die IT-Infrastruktur
Für IT-Leiter und Sicherheitsverantwortliche stellt das erfolgreiche Eindringen einer Person durch Tailgating den Super-GAU der physischen Sicherheit dar. Einmal im Inneren des Gebäudes angekommen, bewegt sich der Angreifer in einer vermeintlichen Vertrauenszone. Viele Sicherheitsmechanismen, die im Außenbereich streng greifen, sind im Innenbereich gelockert. Die Gefahren für die IT-Infrastruktur sind vielfältig:
Direkter Zugriff auf Hardware: Ein unüberwachter Angreifer kann in schlecht gesicherte Etagenverteiler oder Serverräume eindringen. Dort ist es möglich, Netzwerkkabel anzuzapfen, physische Keylogger an Workstations anzubringen oder manipulierte USB-Geräte direkt in Server einzustecken, um Schadsoftware in das interne Netzwerk einzuschleusen.
Verstoß gegen Clean-Desk-Richtlinien: Auf verlassenen Schreibtischen finden sich oft vertrauliche Dokumente, Passwörter auf Notizzetteln oder entsperrte Bildschirme von Mitarbeitern, die kurz ihren Platz verlassen haben. Der Angreifer kann sensible Daten einfach fotografieren oder direkt vom Bildschirm ablesen.
Diebstahl von IT-Assets: Laptops, Smartphones oder externe Festplatten, die offen in Büros liegen, lassen sich unbemerkt in einer Tasche verstauen und aus dem Gebäude transportieren. Der Verlust dieser Geräte führt neben den reinen Hardwarekosten oft zu schweren Datenschutzverletzungen.
Technische und organisatorische Abwehrmaßnahmen gegen Tailgating
Die effektive Bekämpfung von Tailgating erfordert eine Kombination aus baulichen Barrieren, intelligenter Überwachungstechnologie und kontinuierlicher Schulung der Belegschaft. Eine reine Anweisung per E-Mail, die Türen geschlossen zu halten, reicht nachweislich nicht aus. Auf technischer und baulicher Ebene bieten sich verschiedene Systeme an:
Vereinzelungsanlagen: Die Installation von Drehkreuzen, Speedgates oder physischen Personenschleusen (Mantraps) im Eingangsbereich macht Tailgating mechanisch unmöglich. Diese Systeme lassen konstruktionsbedingt immer nur exakt eine Person passieren, nachdem eine gültige Autorisierung stattgefunden hat. Versucht eine zweite Person nachzurücken, blockiert die Anlage sofort.
Intelligente Kameraanalyse: Moderne Videoüberwachungssysteme nutzen Algorithmen der computergestützten Bildverarbeitung, um die Anzahl der Personen zu zählen, die eine Tür passieren. Das System gleicht diese Zahl in Echtzeit mit den Buchungsdaten des Schließsystems ab. Registriert die Kamera zwei Personen, während das System nur eine Karteneinzahlung verzeichnet, wird sofort ein stiller Alarm an den Sicherheitsdienst abgesetzt.
Die Cybersecurity and Infrastructure Security Agency CISA stellt in ihren Leitfäden zur Absicherung physischer Infrastrukturen detaillierte Checklisten zur Verfügung, wie solche kombinierten Erkennungssysteme optimal in das gesamte Sicherheitskonzept integriert werden können.
Die Bedeutung von Security Awareness Trainings
Die hochentwickeltste Technik verliert ihre Wirkung, wenn Mitarbeiter die Schutzmechanismen bewusst umgehen, um Arbeitswege abzukürzen oder Kollegen einen Gefallen zu tun. Daher bilden regelmäßige Schulungen das Fundament der Tailgating-Abwehr. Mitarbeiter müssen verstehen, dass das Einfordern einer separaten Anmeldung keine Unhöflichkeit ist, sondern eine grundlegende Sicherheitsanforderung, die dem Schutz aller dient.
Ein praxisnahes Element in diesen Schulungen ist das Durchspielen von Konfrontationsszenarien. Mitarbeiter lernen einfache Sprachmuster, mit denen sie unbekannte Personen im Gebäude höflich aber bestimmt ansprechen können, wie beispielsweise: „Kann ich Ihnen helfen, suchen Sie ein bestimmtes Büro?“ oder „Bitte buchen Sie sich kurz am Leser ein, damit das System Sie registriert“. Erst wenn eine Kultur der Aufmerksamkeit im Unternehmen etabliert ist, verliert die Taktik des Nachlaufens ihre Effektivität.
Regulatorische Vorgaben und Compliance-Anforderungen
Die Durchsetzung strikter physischer Zugangskontrollen und die Verhinderung von Tailgating ist in vielen Branchen eine gesetzliche und regulatorische Pflicht. Der internationale Sicherheitsstandard ISO 27001 fordert im Anhang A explizit die Definition und Umsetzung von physischen Sicherheitsbereichen, um unbefugten Zutritt zu den Informationsverarbeitungseinrichtungen des Unternehmens systematisch zu verhindern. Die Richtlinien des Standards sind über die Internationale Organisation für Normung einsehbar.
Ebenso stellt das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI im Rahmen des IT-Grundschutzes klare Anforderungen an die Gebäudesicherheit. In den Bausteinen INF.1 (Allgemeines Gebäude) und INF.2 (Rechenzentrum) wird die lückenlose Überwachung von Zugängen und die Vermeidung von unberechtigtem Nachdrängen als essenzielle Basismaßnahme definiert. Unternehmen, die diese Vorgaben ignorieren und keine wirksamen Kontrollen gegen Tailgating nachweisen können, riskieren den Verlust von Zertifizierungen und verstoßen unter Regelwerken wie der europäischen NIS2-Richtlinie gegen die gesetzlich geforderten Sorgfaltspflichten des Risikomanagements.
Fazit
Tailgating demonstriert eindringlich, dass IT-Sicherheit eine ganzheitliche Disziplin ist, die weit über den digitalen Raum hinausreicht. Die sicherste Firewall verliert ihren Wert, wenn ein Angreifer durch einfaches Nachlaufen physischen Zugriff auf die Serverstrukturen erlangt. Das IT-Management muss die physischen Zugänge als integrale Endpunkte der Sicherheitsarchitektur begreifen. Nur durch die konsequente Verzahnung von baulicher Vereinzelung, intelligenter Sensorik und einer geschulten, aufmerksamen Belegschaft lässt sich das Risiko des unbemerkten Zutritts minimieren und die Integrität der gesamten Unternehmens-IT dauerhaft schützen.
