Sicherheitsberater Uwe Hoffmeister sieht in dem Youtuber Marvin Wildhage keinen Nestbeschmutzer, sondern einen durchaus nützlichen „Pen-Tester“ – was die UEFA wiederum ganz anders sieht.
Sicherheitslücken bei der Fußball-EM schonungslos vorgeführt.
Marvin Wildhage ist Youtuber und Journalist, bekannt geworden unter anderem durch die Fähigkeit, sich unbefugt Einlass zur Fußball-Nationalelf zu verschaffen. Und er beschäftigt sich indirekt mit Fragen der Sicherheit. Zumindest wäre er also mehr als prädestiniert, einen Artikel im Sicherheitsberater zu schreiben. Ein Kollege von der SIMEDIA Akademie hat jedenfalls schon versucht, den Kontakt mit ihm herzustellen …
Einstweilen: In Heft 11 des Sicherheitsberater, Ausgabe vom 1.6.2024, berichteten unser geschätzter Kollege Fabian Hecker und weitere Redakteure des Sicherheits-Berater über die Sicherheitslage bzw. die Herausforderungen, die ein Megaevent wie eine Fußall-EM 2024 mit sich bringt. In seinem Fazit resümiert er über die Notwendigkeit einer umfassenden Sicherheitsplanung, insbesondere im Hinblick auf Zutrittskontrollen und Einlasskontrollen am Stadion, aber auch auf den Fanmeilen und bei dem beliebten Public Viewing.
Schon weit vor Beginn des Turniers wappnete sich das Bundesministerium des Innern und für Heimat (BMI) mit „maximalem Einsatz aller Sicherheitsbehörden gegenüber allen denkbaren Gefahren.” Dabei reiche der Fokus von der Bedrohung durch islamistischen Terror, über Hooligans und andere Gewalttäter bis hin zu Cyberangriffen. Vor dem Hintergrund dieser pikanten Sicherheitslage müsste man eigentlich annehmen, dass nicht nur die Behörden, sondern auch der Veranstalter selbst (die EURO 2024 GmbH) die daraus resultierenden Maßnahmen und Prozesse zur Sicherheit sensibilisiert betrachtet.
Und wenn die Veranstalter die Ausgabe Nr. 1/2 des Sicherheitsberater vom 15.1.2022 gelesen hätten, dann wäre ihnen klar gewesen, dass es Mittel und Wege gibt, die Sicherheitsbereiche der Veranstaltungsorte zu kompromittieren. Damals hatte es der Moderator der Comedy Sendung TV total, Sebastian Pufpaff, geschafft, sich nicht nur als Double des damaligen Cheftrainers Marco Rose in die „Signal Iduna Arena“ zu schleusen, sondern gleich einen ganzen Mannschaftsbus samt „Amateurmannschaft“.
Zurück zu Marvin Wildhage: Als erfolgreicher Youtuber mit fast 900.000 Abonnenten hat er es in der Vergangenheit immer wieder geschafft, auf die Trainingsplätze von Profimannschaften der Fußball-Bundesliga (z. B. Werder Bremen und Hertha BSC Berlin) zu gelangen, und darüber hinaus aktiv am Training teilzunehmen. Die entsprechenden Videos dazu sind auf YouTube zu finden. Schon im Vorfeld der Fußball-EM gelang ihm sein nächster Coup, unberechtigt in die Sicherheitsbereiche der „ad hoc Arena“ (Stadion des Regionalligisten Carl-Zeiss Jena) einzudringen, wo die deutsche Nationalmannschaft am 27. Mai ein öffentliches Training abhielt. Sein Video „Undercover im DFB Trainingslager“ wurde bereits über 1.800.000-fach aufgerufen (Stand: 20.6.2024).
Gekrönt und medial viral ging dann seine nächste Aktion, bei der er nicht weniger als das Eröffnungsspiel der Fußball-EM am 14.6.2024 „crashte“. Als Maskottchen „Albärt“ verkleidet tanzte er munter auf dem Spielfeld, während die Eröffnungsfeier lief. Alles nachzusehen im folgenden Video „Undercover als Fake-Maskottchen beim EM-Eröffnungsspiel“.
Wenn man das Video nicht nur als reine Unterhaltung betrachtet, sondern unter dem Fokus der Sicherheitsplanung und -organisation, kommen gleich mehrere Erkenntnisse zusammen, aus denen man lernen könnte und sollte: Das Vorgehen der UEFA bzw. der EURO 2024 GmbH gegen die Veröffentlichung des Videos lässt dagegen auf ein Verhalten schließen, das eines schlechten Verlierers würdig ist. Denn Probleme werden nicht dadurch gelöst, dass man sie verschweigt.
Es ist eine Binsenweisheit, dass Sicherheit niemals zu 100 Prozent erreicht werden kann. Leider ist oft der Mensch das schwächste Glied in einem noch so ausgeklügelten Sicherheitskonzept, denen man im vorliegenden Fall aber auch die wenigsten Vorwürfe machen sollte.
Welche Erkenntnisse lassen sich aus Sicherheitsperspektive aus den beiden Videos ziehen?
Zutrittsausweise
Dass Zutrittsausweise offen und sichtbar getragen werden müssen, ist Bestandteil zahlreicher Security Policies. Dass dieses „offene Tragen“ auch zum Boomerang werden kann, zeigt Wildhage ab Minute 6:40 seines Videos „Undercover im DFB Trainingslager“. Hier beschreibt er, wie er mithilfe von gekauften hochauflösenden Bildern echter Ausweise der Spieler und Betreuer, die während eines Spiels gegen die Niederlande gemacht wurden, 1:1-Plagiate herstellen konnte.
Somit sollten Zutrittsausweise, insbesondere wenn diese sichtbare Identifikationsmerkmale wie Barcodes enthalten, besser nicht offen getragen, als Parkausweis auf das Armaturenbrett gelegt und erst recht nicht „voller Stolz“ in sozialen Medien, wie geschehen, gepostet werden.
Natürlich verfügen die Ausweise der UEFA über mehr Identifikationsmerkmale als Name, Foto und Barcode. Denn zusätzlich wurde in den Ausweisen ein NFC-Chip, sogenannte Near Field Communication, eine Technologie zur drahtlosen Datenübertragung über kurze Distanzen, wie sich auch bei Kreditkarten zu finden ist, eingebaut. Ein Sicherheitsmerkmal, das Marvin hätte stoppen können und die Überleitung zur zweiten Erkenntnis ist.
Identifikation von Fahrzeug und Insassen
An dem Fahrzeug, mit dem sich Marvin zusammen mit dem Maskottchen „Albärt“ in die „Allianz Arena“ begab, die während der EM den Namen „Munich Football Arena“ trägt, war eigentlich alles täuschend echt. Fahrzeugtyp, Farbe und Folierung. Auch der Ausweis war, wie erwähnt, ein 1:1-Plagiat des Originals. Bei der Einfahrtskontrolle zum Stadion, im Video ab Minute 13, kommen gleich mehrere Punkte zusammen, die man hätte besser lösen können:
- Neben der Kontrolle der Ausweise der Insassen wäre aus sicherheitsorganisatorischer Sicht eine Avisierung (Fahrzeugtyp, Kennzeichen) einfahrender Fahrzeuge notwendig gewesen. Dies hätte anhand einer Liste oder auf Basis einer automatischen Kennzeichenerkennung erfolgen können.
- Es fehlte eine Kontrollspur oder ein separater Bereich, der eine Nachkontrolle einfahrender Personen bzw. Fahrzeuge möglich gemacht hätte. Im Video ist ab Minute 13 schön zu sehen, wie der Einfahrtsbereich zu beiden Seiten abgezäunt ist. Es ist anzunehmen, dass sich hinter dem Fahrzeug von Marvin weitere Fahrzeuge in einer Schlange aufstauen.
Dies lässt sich aus den Reaktionen des Sicherheitspersonals ableiten. Man erkennt schnell, welche Hektik entsteht, in dem Moment, wo das Kontrollgerät den gefälschten Ausweis, wohl auch ohne NFC-Chip, nicht erkennt. Das Sicherheitspersonal versucht mit vereinten Kräften den Fehler in der technischen Ausweiskontrolle zu finden, während sich parallel wohl ein Stau bildet. Als dann der Fahrer ein Parkticket vorzeigen kann, ist dies dem Sicherheitspersonal Legitimation genug. O-Ton: „Ach, Ihr habt ein Parkticket – na dann passt ja alles!“. Freie Fahrt für Marvin und Albärt.
Schutzzonen und Bereiche innerhalb des Stadions
Mit dem Überwinden der Einfahrtskontrolle muss der Weg zum Spielfeldrand bzw. Spielfeld frei gewesen sein. Eine weitere Kontrollzone wird im Video nicht erwähnt. Daher ist anzunehmen, dass Albärt alias Marvin Wildhage und sein Begleiter nicht nochmal kontrolliert wurden. Auch innerhalb des Stadions hätte das bekannte Zwiebelschalenkonzept, das heißt aufeinander aufbauende und kontrollierte Übergänge in die jeweiligen Schutzzonen, Wirkung gezeigt.
Am Spielfeldrand telefoniert Marvin unter seinem Kostüm anscheinend mit seinen Eltern. O-Ton: „Mama, Papa, ich hab’s geschafft. Ich bin im Stadion – bei der EM. Das ist der schönste Tag in meinem Leben“ – und ein Alptraum für die UEFA.
Fazit
Marvin Wildhage nutzt die Methoden des sogenannten Social Engineerings brillant aus. Er baut eine perfekte Maskerade auf: Ausweis und Schlüsselband, Fahrzeug, Logos – es passt einfach alles. Insofern sollte die UEFA ihm dankbar sein. Ich bin es jedenfalls: Unternehmen, die Krisenkommunikation professionell betreiben, freuen sich tendenziell zunehmend, wenn sie auf Sicherheitslücken aufmerksam gemacht werde. Dort ist man darauf vorbereitet, die zunächst negative Botschaft in deren Sinne zu drehen (analog zu englisch: spin). Hacker, die ihre Erkenntnisse öffentlich machen, werden heute mittlerweile als Sicherheitsforscher hofiert. Und Sicherheitsberater wie ich werden dafür bezahlt, sogenannte „Pentests“ (Abk. für Penetration Test, ein simulierter Angriff, um Schwachstellen aufzudecken) durchzuführen und Sicherheitslücken aufzudecken. Denn die gewonnenen Erkenntnisse eines Penetrationstests führen nahezu ausnahmslos zu einem deutlich verbesserten Sicherheitsniveau und zu einer Awarenessbildung bei den Verantwortlichen und Mitarbeitern. Und diese Erkenntnis dürfte nun eigentlich auch in der Chefetage der UEFA angekommen sein. Umso unverständlicher ist die Tatsache, dass man offenbar versucht, Marvin Wildhage einen Maulkorb zu verpassen. In seinem Video schildert er ab Minute 19:19 die Folgen seines Undercovereinsatzes bzw. seines Auffliegens. So sei er gleich im Beisein von Polizei und Staatsanwalt in eine Zelle gebracht worden und habe dort mehrere Stunden verbracht. Er wurde belehrt, erhielt ein deutschlandweites Stadionverbot, man nahm ihm Fingerabdrücke ab und er wurde fotografiert. Ein hoher Funktionär habe ihm zudem gesagt, gegen die Veröffentlichung eines Videos werde man mit aller Entschlossenheit vorgehen. Auf ZDF-Nachfrage soll sich die Euro 2024 GmbH wie folgt geäußert haben: „Wir haben ihn erwischt, bevor er etwas Schlimmes tun konnte. Unsere Mitarbeiter waren sehr aufmerksam.“ Das hört sich eher nach Schönreden der Blamage an. An den polizeilichen Ermittlungen führt wohl rein juristisch kein Weg vorbei.
Aus eigener Erfahrung als Sicherheitsberater bei der VZM GmbH weiß ich, dass eine Warnweste und ein Werkzeugkoffer kombiniert damit, ein wichtiges Gesicht zu machen, Tür und Tor öffnen kann. Denn wie bereits erwähnt ist der Faktor Mensch oft das schwächste Glied in einer Kette von Sicherheitsmaßnahmen. Und gerade, wenn es um personelle Sicherheit geht, stellt sich die Frage wie qualifiziert und geschult die entsprechenden Mitarbeiter sind. Die eigene Sicherheit regelmäßig zu hinterfragen und zu überprüfen, sollte daher ein „muss“ sein. Viel mehr noch die Schaffung von Awareness. Und hierfür hat Marvin einen schönen Beitrag geleistet.