This was a simulated tailgating test. Das war ein simulierter Tailgating-Test.
You just let someone into a Zevvy area without checking their badge. No harm done this time — but in a real attack, that politeness is how attackers walk straight past every digital control we have. Sie haben gerade jemanden in einen Zevvy-Bereich gelassen, ohne den Ausweis zu prüfen. Diesmal ist nichts passiert — bei einem echten Angriff ist diese Höflichkeit der Weg, auf dem Angreifer alle digitalen Schutzmassnahmen einfach umgehen.
What would have happened in a real attack Was bei einem echten Angriff passiert wäre
"Tailgating" or "piggybacking" is when an unauthorised person enters a restricted area by following someone who used their badge. It works because we're trained to be polite — and the attacker is counting on exactly that.
Once inside, an attacker can do things they cannot do from outside: plug a USB into an unattended laptop, drop a small networked device behind a printer, photograph whiteboards with strategy notes, walk out with a laptop, install rogue Wi-Fi access points, or simply sit at a desk and read sensitive screens. Almost no digital defence stops someone who is physically in the office.
Common pretexts in 2026: a "delivery person" with a box that needs to be brought to a specific floor, a "contractor" with high-visibility vest and clipboard, an "interviewee" who is "running late and locked out", a "colleague from the other office" with a believable name. The professional ones research Zevvy first and drop real names.
„Tailgating“ oder „Piggybacking“ bedeutet, dass eine unbefugte Person einen Sicherheitsbereich betritt, indem sie jemandem folgt, der seinen Ausweis benutzt hat. Es funktioniert, weil wir auf Höflichkeit konditioniert sind — und der Angreifer genau das einkalkuliert.
Drinnen kann ein Angreifer Dinge tun, die von aussen unmöglich sind: einen USB-Stick in einen unbeaufsichtigten Laptop stecken, ein kleines Netzwerkgerät hinter einem Drucker platzieren, Whiteboards mit Strategienotizen fotografieren, einen Laptop mitnehmen, falsche WLAN-Access-Points installieren oder sich einfach an einen Schreibtisch setzen und sensible Bildschirme lesen. Fast keine digitale Schutzmassnahme stoppt jemanden, der körperlich im Büro ist.
Übliche Vorwände 2026: eine „Lieferperson“ mit Paket für ein bestimmtes Stockwerk, ein „Handwerker“ mit Warnweste und Klemmbrett, eine „Bewerbungsperson“, die „zu spät ist und ausgesperrt“, ein „Kollege aus der anderen Niederlassung“ mit glaubhaftem Namen. Profis recherchieren vorher Zevvy und nennen echte Namen.
Red flags you could have spotted Warnsignale, die Sie hätten erkennen können
- No visible badge. Or a badge on a different lanyard than Zevvy's standard one. Or a badge held in a way that obscures the photo. Kein sichtbarer Ausweis. Oder Ausweis an einem anderen Band als dem üblichen Zevvy-Lanyard. Oder so getragen, dass das Foto verdeckt ist.
- Hands full, often deliberately. Coffee, a box, two laptop bags — the classic excuse for "could you hold the door?" Hände voll — oft absichtlich. Kaffee, ein Paket, zwei Laptoptaschen — der Klassiker für „Können Sie mir kurz die Tür aufhalten?“
- Doesn't seem to know basic things. Where the reception is, where the toilet is, the name of their own team lead. Kennt grundlegende Dinge nicht. Wo die Rezeption ist, wo die Toiletten sind, den Namen der eigenen Teamleitung.
- Friendly but vague. "I'm here to fix the printer / meet someone in IT / drop something off" — without a specific name they can give. Freundlich aber vage. „Ich komme wegen des Druckers / bin verabredet mit jemandem in der IT / muss kurz etwas abgeben“ — ohne einen konkreten Namen.
- Appears at unusual times. Late evening, weekend, the first ten minutes after lunch when reception is busiest. Erscheint zu ungewöhnlichen Zeiten. Spätabends, am Wochenende, in den ersten zehn Minuten nach der Mittagspause, wenn die Rezeption am vollsten ist.
Next time, do this instead So machen Sie es beim nächsten Mal
- Politely ask everyone to badge in. "I'll wait for you to badge — company policy." Said with a friendly smile, it's not rude; it's professional. Bitten Sie freundlich jede Person, selbst zu badgen. „Ich warte, bis Sie selbst durch sind — Firmenrichtlinie.“ Mit einem Lächeln gesagt, ist das nicht unhöflich, sondern professionell.
- Don't let yourself be pressured by politeness. "I forgot my badge today" is the most common attacker line. Direct them to reception — that's exactly what reception is for. Lassen Sie sich nicht von Höflichkeit drängen. „Ich habe meinen Ausweis heute vergessen“ ist die häufigste Angreifer-Ausrede. Verweisen Sie an die Rezeption — genau dafür ist sie da.
- Walk visitors to where they need to go. If someone is genuinely a visitor, escort them — both for their convenience and so they don't wander. Besucher persönlich begleiten. Wenn jemand wirklich Besuch ist, gehen Sie mit — sowohl als Service als auch, damit sich niemand alleine im Gebäude bewegt.
- Lock your screen every time you leave your desk. ⊞+L on Windows, ⌃+⌘+Q on Mac. Even for a coffee. Especially for a coffee. Bildschirm immer sperren, wenn Sie den Arbeitsplatz verlassen. ⊞+L unter Windows, ⌃+⌘+Q am Mac. Auch für einen Kaffee. Besonders für einen Kaffee.
- Challenge unknown people on the floor. "Hi, are you being helped?" — a friendly, non-accusatory question that lets a genuine visitor explain and stops an attacker cold. Unbekannte Personen freundlich ansprechen. „Hallo, kann ich Ihnen helfen?“ — eine freundliche, nicht anklagende Frage, die echten Gästen Raum lässt und einen Angreifer sofort stoppt.
Report unknown people on site Unbekannte Personen vor Ort melden
You don't need to be sure they're an attacker — that's not your job. You just need to flag it.
- Notify reception or your line manager.
- Email security@zevvy.org with a description, time, and location.
- If you saw someone touch a laptop, plug something in, or take photos, contact IT immediately: it@zevvy.org.
Sie müssen sich nicht sicher sein, dass es ein Angreifer ist — das ist nicht Ihre Aufgabe. Sie müssen es nur melden.
- Rezeption oder Vorgesetzte informieren.
- An security@zevvy.org Beschreibung, Zeit und Ort senden.
- Wenn jemand einen Laptop berührt, etwas eingesteckt oder fotografiert hat: sofort die IT kontaktieren: it@zevvy.org.