Tailgating (auch als „Piggybacking“ bekannt) ist ein physischer Social-Engineering-Angriff, bei dem eine Person versucht, in einen beschränkten Bereich einzudringen, in dem sie sich nicht aufhalten darf.
In diesem Leitfaden behandeln wir:
- was Tailgating ist
- einige Beispiele für reale Fälle von Tailgating
- was Sie tun können, um Tailgating-Angriffe zu verhindern
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Was ist Tailgating?
Beim Tailgating betritt jemand einen Bereich mit Zugangsbeschränkung (Gebäude, bestimmte Büroräume etc.), in dem er sich nicht aufhalten darf.
In der Praxis kann das so aussehen, dass die Person jemandem dicht auf den Fersen folgt, ihn bittet, die Tür aufzuhalten, oder vorgibt, jemand von einem Liefer- oder Reparaturdienst zu sein.
Der wesentliche Unterschied zu anderen Formen des Social Engineering ist, dass Tailgating ein physisches Eindringen ist. In diesem Sinne kommt es dem Baiting nahe.
Ursprünglich bezieht sich der englische Begriff „tailgating“ auf „zu dichtes Auffahren auf ein anderes Fahrzeug“. So wurde er schließlich in seine Social-Engineering-Definition zweckentfremdet.
Reale Beispiele für Tailgating
Wie sieht ein Tailgating-Angriff in der Praxis aus? Dies sind einige gängige Szenarien.
- „Zusteller*innen“-Tailgating: Angreifende geben sich als Service-Mitarbeiter*innen aus, zum Beispiel als Kurier*innen, Wartungspersonal oder Lebensmittel-Lieferant*innen, um sich Zugang zu geschützten Bereichen zu verschaffen.
- Diebstahl von Zugangsdaten: Angreifende können sich durch Social-Engineering-Taktiken Zugangspässe verschaffen, indem sie beispielsweise so tun, als wären sie ein*e neue*r Mitarbeiter*in, der*die seine*ihre Zugangsdaten vergessen hat.
- Technologie-gestütztes Tailgating: Angreifende können Technologie, wie zum Beispiel versteckte RFID-Scanner, nutzen, um Zugangsausweise zu kopieren und sich später unbefugt Zutritt zu verschaffen.
Werfen wir einen Blick auf einige reale Fälle von Tailgating-Angriffen.
Fall 1: Der Sicherheitsverstoß am Münchner Flughafen
Im August 2024 gelang es einem 39-jährigen Norweger, an zwei aufeinanderfolgenden Tagen zwei Flüge ohne Ticket zu besteigen.
Irgendwie ist es ihm gelungen, die Sicherheitskontrollen am Münchner Flughafen zu umgehen, indem er dicht hinter Passagier*innen mit legitimen Bordkarten folgte.
Am ersten Tag wurde er entdeckt und an Bord des Flugzeugs festgenommen, da er keinen Sitzplatz gebucht hatte. Bemerkenswerterweise wiederholte er die Tat am nächsten Tag und bestieg unentdeckt einen Lufthansa-Flug nach Stockholm.
Dieser Vorfall führte zu Untersuchungen der Sicherheitsprotokolle am Flughafen München und zeigte Schwachstellen in den Zugangskontrollmaßnahmen auf.
Fall 2: Russische Diplomaten erhalten Zugang zu gesperrten Bereichen des britischen Parlaments
Im Dezember 2024 verschafften sich russische Diplomaten Zugang zu gesperrten Bereichen der britischen Houses of Parliament. Dies stellte eine erhebliche Sicherheitsverletzung dar.
Seit 2022 gilt ein Besuchsverbot für russische Bedienstete.
Die Gruppe von Diplomaten hatte offenbar an einer öffentlichen Führung durch die Houses of Parliament teilgenommen. Sie trennten sich dann von der Gruppe und schafften es, in einen gesperrten Bereich einzudringen, bevor sie von den Sicherheitskräften entdeckt wurden.
Glücklicherweise wurden sie geschnappt, bevor ein Schaden entstanden ist. Der Vorfall hat jedoch gezeigt, wie gefährlich Tailgating in Regierungsgebäuden ist.
Fall 3: Catch me if you can (Frank Abagnale)
Frank Abagnale war ein berüchtigter Scheckbetrüger und Hochstapler, der in den 1960er Jahren erfolgreich zahlreiche Betrügereien durchführte, indem er Social-Engineering-Taktiken, wie zum Beispiel Tailgating, ausnutzte.
Er wurde bekannt, weil er sich als Pan-Am-Pilot ausgab und sich so unbefugten Zugang zu Flughafeneinrichtungen verschaffte. Er reiste sogar umsonst, indem er selbstbewusst dem Personal der Fluggesellschaft folgte.
Abagnale gab sich außerdem als Arzt und Anwalt aus und nutzte seinen Charme und seine Manipulationsfähigkeiten, um Vertrauen zu gewinnen und sich ohne entsprechende Ausweise Zugang zu gesperrten Bereichen zu verschaffen. Seine Fähigkeit, sich einzufügen und das Vertrauen der Menschen auszunutzen, ermöglichte es ihm, betrügerische Schecks in Höhe von Millionen von Dollar einzulösen, bevor er erwischt wurde.
Nachdem er seine Haftstrafe abgesessen hatte, arbeitete er später als Sicherheitsberater für das FBI und half Unternehmen, Betrug und Social-Engineering-Angriffe zu verhindern. Seine Geschichte wurde durch den Film Catch Me If You Can mit Leonardo di Caprio bekannt.
Wie können Sie Tailgating in Ihrem Unternehmen verhindern?
Ein Tailgating-Angriff kann für mittelgroße und größere Unternehmen besonders gefährlich sein, da viel auf dem Spiel steht. Beispiele hierfür sind:
- Diebstahl von Firmengeheimnissen, Geld und/oder Geräten
- die Installation einer Hintertür auf dem Server, um die Kommunikation im Netzwerk des Unternehmens abzuhören
Wenn Sie für ein mittelgroßes Unternehmen arbeiten, sollten Sie damit beginnen, jeden in Frage zu stellen, der sich Zugang zu den Räumlichkeiten verschaffen will.
Das mag zunächst unhöflich und unangenehm erscheinen. Es ist jedoch im besten Interesse Ihres Unternehmens. Bitten Sie die Geschäftsleitung, biometrische Scanner und Drehkreuze zu installieren, um zu verhindern, dass ein*e Tailgater*in einfach so das Gebäude betritt.
Biometrische Scanner und Drehkreuze verhindern, dass Tailgater*innen mit Ihnen das Gebäude betreten, da sie nur eine Person auf einmal zulassen. Außerdem sollten Sie die Person ansprechen und ihr Fragen stellen, deren Antwort nur Mitarbeiter*innen kennen.
Auch wenn es einfach aussieht, können Tailgating oder Piggybacking eine effektive Möglichkeit für Ihre Konkurrent*innen sein, Ihr Unternehmen auszuspionieren. Erfahren Sie mehr darüber, wie Ihr Unternehmen sich nicht nur vor Datenspionage schützen, sondern auch für den Schutz seiner Computer sorgen kann.
Was ist, wenn es Angreifenden trotzdem gelingt, einzudringen?
Möglicherweise haben Sie nicht immer die Kontrolle darüber, wie Menschen ein Gebäude betreten. Zum Beispiel, wenn Sie Büroräume innerhalb eines größeren Gebäudes mieten. In einem solchen Szenario liegt die Zugangsregelung höchstwahrscheinlich nicht in Ihrer Hand.
In diesem Fall können Sie einige Schritte unternehmen, um sich dennoch zu schützen:
- Automatische Bildschirmsperre und manuelle Abmeldung: Schulen Sie Ihre Mitarbeiter*innen, dass sie sich abmelden oder ihren Computer sperren (unter Windows: Windows-Taste + L, unter macOS: Command + Control + Q), sobald sie sich von ihrem Schreibtisch entfernen. Implementieren Sie eine automatische Bildschirmsperre nach einer kurzen Zeit der Inaktivität (zum Beispiel 1–2 Minuten), um unbefugten Zugriff zu verhindern.
- Richtlinien für einen aufgeräumten Schreibtisch und Dokumentensicherheit: Mitarbeiter*innen sollten niemals sensible Dokumente, Notizen oder Speichermedien (USB-Sticks, Festplatten) unbeaufsichtigt auf dem Schreibtisch liegen lassen. Verwenden Sie abschließbare Schubladen für vertrauliche Papiere und verlangen Sie, dass sensible Dokumente vor der Entsorgung geschreddert werden.
- Schränken Sie unbefugten Zugang zu Besprechungsräumen und Whiteboards ein: Regen Sie Ihre Teams dazu an, vertrauliche Informationen nach einer Besprechung vom Whiteboard zu wischen und sicherzustellen, dass vertrauliche Diskussionen nicht in offenen Bereichen stattfinden, wo Unbefugte mithören könnten.
- Behalten Sie Besucher*innen im Auge und sprechen Sie verdächtige Personen an: Schulen Sie Ihre Mitarbeiter*innen darin, jede*n, den*die sie nicht kennen, höflich anzusprechen und unbegleitete Besucher*innen sofort zu melden. Führen Sie Ausweise für Besucher*innen ein und verlangen Sie, dass Gäste immer begleitet werden.
- Verwenden Sie eine sichere Druck- und Zugriffskontrolle für Bürogeräte: Führen Sie das „Pull Printing“ ein, das vor dem Drucken von Dokumenten eine Authentifizierung erfordert und verhindert, dass Unbefugte auf sensible Ausdrucke zugreifen können.
Abschließende Worte zum Thema Tailgating
Tailgating-Angriffe finden oft über unaufmerksame Mitarbeiter*innen statt. Wissen ist daher das A und O. Es ist absolut wichtig, dass Ihre Mitarbeiter*innen geschult sind und über entsprechendes Wissen verfügen.
Sie können ihnen einen kostenlosen Kurs zur Sensibilisierung für Sicherheit und Datenschutz zur Verfügung stellen, um sicherzustellen, dass sie nie wieder auf einen Tailgating-Angriff hereinfallen. Und immer, wenn Ihr Unternehmen eine*n neue*n Praktikant*in einstellt, sollten Sie dafür sorgen, dass er*sie ein grundlegendes Cybersicherheitstraining bekommt, denn 99 Prozent der Praktikant*innen wissen gar nicht, dass es solche Angriffe gibt.
Keiner dieser Tipps wird Ihnen etwas nützen, wenn Sie nicht wachsam bleiben und jedem*jeder gegenüber misstrauisch sind, den*die Sie nicht kennen. Einer Person, die „zu spät kommt“, die Tür aufzuhalten, scheint harmlos zu sein, aber diese Entscheidung wiegt schwer. Als Angestellte*r sind Sie dafür verantwortlich, dass außer autorisiertem Personal niemand das Gebäude betritt.
Möchten Sie mehr über Social-Engineering-Betrugsversuche erfahren und wie Sie sie umschiffen können? Lesen Sie hier unseren ausführlichen Leitfaden.
