Sicherheitskultur - überall und doch fehlt sie

Was die physische Sicherheit von uns lernen kann und wir für unsere Sicherheitskultur

Am 27. Dezember 2025 gelingt es bisher unbekannten Tätern, in die Sparkasse Gelsenkirchen einzubrechen. Die Bilanz nach knapp zwei Tagen unentdeckter Arbeit: Ein geschätzter Schaden von 500 Millionen Euro.

Können wir im Bereich Cybersecurity aus diesem Vorfall lernen?

Never let a breach go bad.

Dieses Prinzip gilt auch hier. Anhand des Zeitstrahls zeigen wir auf, an welchen Stellen Kontrollen fehlten, die wir in der Informationssicherheit standardmässig fordern. Der folgende Artikel wirft kritische Fragen für die physische wie für die digitale Sicherheit auf und verdeutlicht, wie eine starke Sicherheitskultur diesen Einbruch vermutlich frühzeitig erkannt und vereitelt hätte.

1. Der Zugang

Am Freitag nach Weihnachten 2025 ist das Rolltor, das im angrenzenden Parkhaus die Dauerparker von den Kurzparkern trennt, defekt. Normalerweise ist ein Schlüssel für den Zugang erforderlich. Aufgrund des Defekts müssen sich Besucher nun per Klingel beim Parkhausmanagement anmelden. Inwieweit hier eine tatsächliche Identitätsprüfung stattfindet, bleibt ungeklärt. Die Täter passieren diese erste Barriere mühelos.

Analogie 1: Einbrecher und Angreifer priorisieren Wege mit dem geringsten Widerstand, um unentdeckt zu bleiben.

Analogie 2: Aufklärung (Reconnaissance) ist der Schlüssel zu jedem erfolgreichen Einbruch, egal ob physisch oder logisch.

Analogie 3: Zugangskontrollen sind sicherheitskritisch; ihre Überbrückung (fail-open) im Fehlerfall stellt ein massives Risiko dar.

2. Die Annäherung

Die Täter gelangen so in einen Bereich des Parkhauses, der als Notausgang für Räumlichkeiten der Sparkasse dient.

Aus ungeklärten Gründen ist die Fluchttür, entgegen ihrer Funktion nur den Weg von innen nach aussen zu ermöglichen, von aussen offen. Kameras gibt es in diesem Bereich nicht. Aus dem geschützten, aber noch unkritischen Parkbereich dringen sie nun in Zonen mit deutlich höheren Sicherheitsanforderungen vor: den Keller der Sparkasse und das dortige Archiv.

Analogie 4: Kenne deinen Perimeter und überwache ihn lückenlos.

Analogie 5: Überprüfe, ob unerwünschte Zustände – wie eine unberechtigt geöffnete Fluchttür – automatisch und zeitnah erkannt werden.

Analogie 6: Identifiziere Schnittstellen, an denen Sicherheitszonen an öffentliche Zonen angrenzen, und sichere diese priorisiert ab.

3. Einbruch in das Innerste

Das für die Täter uninteressante Archiv grenzt direkt an die Zone mit den höchsten Sicherheitsanforderungen: den Tresorraum. Dieser ist frontseitig durch ein massives Stahltor geschützt.

Statt frontal anzugreifen, verschaffen sich die Täter Zugang über das Archiv. Wie genau der Zutritt zu Archiv gelang, ist noch unklar; vermutlich wurden im Vorfeld Schlösser manipuliert oder ausgetauscht.

Am Samstagmorgen lösen Rauchmelder im Archiv Brandalarm aus. Die Feuerwehr rückt gemeinsam mit dem Wachschutz an, kann jedoch nicht in den verschlossenen Archivraum vordringen. Da von aussen keine Spuren eines Brandes oder Einbruchs sichtbar sind, rücken die Einsatzkräfte wieder ab.

Analogie 7: Unterschätze niemals öffentlich zugängliche Informationen über deine Architektur oder Infrastruktur.

Frage dich selbst: Ein Hochsicherheitsraum ist für Berechtigte plötzlich unzugänglich und meldet gleichzeitig Alarm. Sollte das nicht sofort misstrauisch machen? Wie schnell muss in einem solchen Fall eine vertiefte Prüfung erfolgen?

4. Am Ziel

Gegen 10:30 Uhr am Samstag brechen die Täter durch die Wand in den Tresorraum ein und öffnen kurz darauf die ersten Schliessfächer. Dieser Vorgang wird vom System protokolliert.

Gegen 15:00 Uhr bricht das Logging ab und die Überwachungseinrichtung damit fällt aus. Insgesamt werden über 3'000 Schliessfächer geleert.

Frage dich selbst: Sollte das Öffnen tausender Schliessfächer ausserhalb der Geschäftszeiten nicht als kritisches Ereignis (Anomaly Detection) gewertet und sofort untersucht werden?

Analogie 8: Definiere reguläre Arbeitszeiten und alarmiere konsequent bei Abweichungen und privilegierten Aktionen ausserhalb dieser Zeitfenster.

Analogie 9: Überwache den „Health Status“ deiner Sicherheitsmassnahmen (Monitoring der Monitoring-Systeme).

Analogie 10: Professionelle Angreifer nutzen selten den Haupteingang.

Erst am Montagmorgen wird der Einbruch im Rahmen eines erneuten Feueralarms entdeckt. Die Täter sind zu diesem Zeitpunkt längst mit der Beute geflohen.

5. Das Nachspiel

Nach der Tat zeigt sich: Die Standardversicherung deckt den Schaden nicht ab. Nur wenige Kunden hatten eine Zusatzversicherung. Sollten der Sparkasse Versäumnisse nachgewiesen werden, haftet sie für den Verlust – eine Belastung, die das Institut existentiell bedroht.

Übertragen wir diesen Fall auf die Informationssicherheit, müssen wir uns fragen:

• Wurde mit den Mitarbeitenden jemals definiert, was als „verdächtig“ gilt?
• Gab es Meldekanäle (SOC/Incident Response), die 24/7, auch an Feiertagen, besetzt waren?
• Berücksichtigte das Risikoregister auch Innentäter und sah entsprechende Überwachungsmassnahmen vor?
• Wurden Purple-Team-Übungen durchgeführt, um die Reaktion auf reale Angriffsszenarien zu testen?

Es gibt deutliche Anhaltspunkte, dass eine stark ausgeprägte Sicherheitskultur diesen Einbruch an mehreren Stellen hätte verhindern oder zumindest erschweren können:

• Mangelnde Überwachung: Der Parkhausbereich galt offenbar als unkritisch – ein Trugschluss.
• Manipulation: Die offene Fluchttür blieb unbemerkt, da die Awareness für solche physischen Anomalien fehlte.
• Fehlende Eskalation: Der Alarm in Kombination mit dem versperrten Zugang zum Archiv hätte zwingend eine polizeiliche Durchsuchung auslösen müssen.

Key Learnings für Ihre Sicherheitskultur:

• Verdachtsmomente fördern: Ermutigen Sie Mitarbeitende und Externe, nicht nur klare Vorfälle, sondern bereits „Verdächtiges“ zu melden.
• Positive Fehlerkultur: Belohnen Sie Meldungen, auch wenn sie sich als Fehlalarm (False Positive) herausstellen. Das fördert ein angstfreies Meldeverhalten.
• Schnittstellen im Blick: Überwachen Sie Netzwerke und Zugänge besonders streng, wenn diese als Brücke zu hochsensiblen Bereichen dienen.
• Betriebsblindheit schlagen: Führen Sie regelmässig Purple-Team-Übungen mit externen Experten durch, um den Blick für die eigenen Schwachstellen zu schärfen.

Möchten Sie wissen, wie es um Ihre Sicherheitskultur steht? Lassen Sie uns bei einem Kaffee unverbindlich darüber sprechen, physisch oder virtuell. Ich freue mich auf den Austausch!