Es klingt wie eine Heist-Movie-Szene aus den 2000ern: Sicherheitstester Steve Stasiukonis und sein Team verteilten USB-Sticks auf dem Parkplatz einer Kreditgenossenschaft – nicht um Daten zu stehlen, sondern um die physische Sicherheit zu testen. Der Auftraggeber wollte wissen, ob Mitarbeiter fremde Datenträger einfach in ihre Rechner stecken würden. Die Antwort fiel vernichtend aus: 15 von 20 mitgenommenen Sticks wurden aktiviert. Stasiukonis’ Bericht über diese Pentest-Kampagne erschien 2006 in Dark Reading und löste damals einen Viralhit aus – noch vor Reddit-Zeiten über Plattformen wie Slashdot.
Der Test war brillant simpel. Stasiukonis’ Partner Bob Clary versteckte Familie-Fotos von einer Italien-Reise auf den Sticks – Bilder vom Schiefen Turm von Pisa, Gondel-Fahrten. Die Neugier war größer als die Vorsicht. Sicherheit durch Unaufgeklärtheit war damals noch ein Konzept, das Unternehmen nicht ernsthaft verfolgten. Der Auftraggeber war geschockt, erkannte aber die Notwendigkeit von Schulungen und Richtlinien.
Doch die Geschichte endet nicht in den 2000ern. Heute nutzt Stasiukonis KI-Technologie, um Penetrationstests noch raffinierter zu gestalten. Statt USB-Sticks im Parkplatz werden Feldgeräte wie kleine Mac-Minis eingeschleust – versteckt in Lieferpaketen, getarnt als Servicetechniker von Paketdiensten oder sogar Druckgerät-Reparaturteams. Ein besonders dreister Test: Ein Mitarbeiter wurde tatsächlich in einem Container in ein hochgesichertes Gebäude einer Defense-Organization verschifft.
Die KI-Komponente macht diese Angriffe deutlich effektiver. Während Stasiukonis früher zwei Wochen vor Ort recherchieren musste, um Gebäudepläne und Mitarbeiter zu studieren, liefern jetzt Large Language Models (LLMs) in Minuten umfassende Intelligenz über das Zielunternehmen – von Führungspersonal über lokale Baubehörden bis zu Marketing-Agenturen. Mit dieser Information ausgestattet, erscheinen Penetrationstester als glaubwürdige Utility-Company-Mitarbeiter und benutzten sogar simple Bestechung: Ein Beutel Chick-fil-A reichte, um von einer Empfangsdame Zutrittskartenausweise zu erhalten.
Für deutsche Unternehmen und Behörden wirft dies kritische Fragen auf. Während technische Sicherheitsmaßnahmen ständig verbessert werden, bleibt Social Engineering der stärkste Angriffsvektor. Das BSI warnt regelmäßig vor Phishing und Social-Engineering-Kampagnen – und die realen Einsatzszenarien zeigen, dass Schulungen allein nicht ausreichen. Besonders besorgniserregend ist der kombinierte Einsatz von KI-gestützter Aufklärung mit klassischen Manipulation-Techniken. Ein Post-It an einem Monitor mit Passwort ist ein altes Klischee, aber es funktioniert immer noch.
Stasiukonis warnt davor, dass die kommende Generation von Cyber-Angriffen diese menschliche Komponente noch stärker ausnutzen wird. KI macht Social Engineering nicht nur effizienter, sondern auch skalierbar. Was heute als außergewöhnliches Penetrationstesting-Szenario gilt, könnte morgen Standard-Taktik von Cyberkriminellen sein.
Dass fast 20 Jahre nach dem Viral-Hit mit USB-Sticks die Kernproblematik gleich bleibt – menschliche Neugier, mangelnde Sicherheitskultur, physische Kontrolllücken – unterstreicht, wie langsam institutionelle Sicherheitsverbesserungen manchmal voranschreiten.