Liebe Leserinnen und Leser,
CriseConsult – geschätzter Kooperationspartner der SIMEDIA Akademie – informierte dieser Tage: „Ausgehend von einem TikTok-Trend in den USA verbreiten sich aktuell sogenannte „Deep Runs“, in denen versucht wird, möglichst tief in Gebäude einzudringen. Die Aktionen sind als Challenge konzipiert und verbreiten sich viral.
Zuletzt standen Einrichtungen der Scientology Church im Vordergrund. In Deutschland sind derartigen Aktivitäten bislang nicht bekannt. Zudem verfolgen Deep Runs in der aktuellen Form lediglich das Ziel viraler Aufmerksamkeit. Ob der Trend in Deutschland Nachahmer finden wird, bleibt abzuwarten. Es wäre davon auszugehen, dass entsprechende Aktionen in Objekten oder im Rahmen von Veranstaltungen durchgeführt würden, die einerseits interessant und relevant sind, andererseits kein Risiko für die Akteure darstellen. Sicherheitsverantwortliche sollten das Thema kennen, auch wenn eine (neue) Bedrohungslage daraus aktuell nicht abzuleiten ist.“
Von Deep Runs hat Sicherheitsberater Stephan Leukert in unserer Titelgeschichte folglich nichts zu berichten – weder von der gleichnamigen Fußballtaktik noch von der besagten TikTok-Mode. Umso mehr aber von dem Dilemma, mit dem der Sicherheitsdienst/Werkschutz täglich umgehen muss. Er lässt uns auch an den Erkenntnisgewinnen teilhaben, die so nur durch Penetrationstests erzielt werden können, und erzählt ein paar Anekdoten aus seinen Jahren als Pentester. Erfahrungen, wie jene, über die auch Franziska Telser unter der ganz oben stehenden Überschrift im Handelsblatt berichtet hatte.
Weitere Aspekte des Themas, die es im Blick zu behalten lohnt, sind: Pentests können sich der physischen Seite widmen, beispielsweise der Funktion der Zutrittskontrolle. Stets wichtiger aber werden auch Tests, die faktisch überprüfen, inwieweit Unbefugte in die IT- und TK-Systeme von Unternehmen eindringen können. Solche Angriffe können durch menschliche „Angreifer“ oder durch KI-Agenten simuliert werden.
Sicherheitsforscher der Universitäten Stanford und Carnegie Mellon und des KI-Sicherheitsunternehmens Gray Swan AI wollten herausfinden, wer bei solchen Attacken „die Nase vorn“ hat. Den menschlichen Part übernahmen zertifizierte Experten für IT-Sicherheit. Den KI-Part übernahmen diverse Agentic-AI-Lösungen, darunter ein Multi-Agenten-Framework. Das Ergebnis kurz zusammengefasst: Die KI schlug neun von zehn menschlichen Pentestern, indem sie erheblich mehr kritische Schwachstellen fand, die sie hätte ausnutzen können.
Doch auch wenn die Waffen sowohl bei Verteidigung wie Angriff immer schärfer werden: Ein zentrales Problem bleibt bestehen – für sowohl physische wie IT-Pentests. Eine Erhebung der Anbieter von IT Security, Synack und Omdia, hat ermittelt: 95 Prozent der befragten Unternehmen finden Pentests als „sehr wichtig“, „doch nur 32 Prozent der Angriffsflächen werden wirklich getestet“.