Schwachstellen erkennen, Informationen ganzheitlich schützen

Zuletzt war ich bei einem Kunden und durfte das Management in Bezug auf Informationssicherheit und Awareness schulen. Ein anderes Mal war unser Thema NIS-2 und die Teilnehmer 6 Gesellschafter eines sehr erfolgreichen Unternehmens.

Beide Termine hatten eines gleich: Die Teilnehmer wussten größtenteils nicht, was ein Pentest (bzw. Red Teaming) ist.

Und dann ist mir dieser Podcast über den Weg gelaufen und ich habe mir gedacht, dass ich diesen kurz zusammenfasse und das Thema „Pentests“ bekannter mache.

Ich möchte erklären, wie TIBER-AT, DORA und der Schutz digitaler Identitäten Unternehmen in Österreich widerstandsfähiger machen können.

DENN: Red Teaming ist ein wesentlicher Schlüssel zur Cybersicherheit.

Denken wie ein Angreifer, schützen wie ein Verteidiger

Vor kurzem habe ich den Podcast The Red Teamer – Hacked gehört – und war tief beeindruckt, wie klar und direkt dort die wichtigsten Themen der modernen Informationssicherheit angesprochen werden.
Schnell wird klar: Sicherheit entsteht nicht durch Technik alleine. Nur wenn Mensch, Technik und Prozesse perfekt zusammenspielen, können wir echten Schutz erreichen.

Gerade für Unternehmen in Österreich wird das Thema zunehmend kritisch: Mit DORA und dem nationalen Framework TIBER-AT wird klar geregelt, dass operative Resilienz kein Zufall sein darf.
Besonders spannend finde ich den Fokus auf den Schutz digitaler Identitäten – ein Thema, das in meinen Augen heute absolut zentral geworden ist.

Gestern: Vom Firewall-Denken zum Angreifer-Mindset

Früher war die Informationssicherheit relativ einfach gestrickt: Man errichtete Firewalls, installierte Antivirenprogramme und hoffte, dass Angreifer draußen blieben.
Doch wie ich auch aus dem Podcast entnehmen konnte, zeigt die Realität etwas anderes:
Selbst perfekt konfigurierte Systeme helfen wenig, wenn Menschen unachtsam sind oder Prozesse zu einfach umgangen werden können.

Meine Meinung dazu:
Ich bin überzeugt, dass Red Teaming genau deshalb so wichtig ist. Und bitte schränken Sie den Pentester, wenn überhaupt nur zeitlich ein. Was meine ich damit? Allzu oft dürfen bei Tests bestimmte Webseiten nur mit Samthandschuhen angefasst werden. Zu bestimmten Zeiten (am Wochenende) sollen Angriffe generell nicht stattfinden. Die Mitarbeitenden sollten bitte nicht angerufen oder einbezogen werden. All das geht an der Realität vorbei!


Nur wer seine Verteidigung realitätsnah testet, versteht, wie leicht ein Angreifer den Weg des geringsten Widerstands findet.
Wir dürfen uns nicht einbilden, dass Technik allein genügt – immer das Zusammenspiel aller Säulen entscheidet.

Heute: Red Teaming als Pflichtübung unter DORA und TIBER-AT

In Österreich und der EU wird der Finanzsektor inzwischen durch DORA und TIBER-AT gezielt dazu verpflichtet, ihre Sicherheitsarchitektur ganzheitlich zu prüfen.
Ein wesentlicher Punkt, der auch im Podcast hervorgehoben wird:

  • Technik kann sicher sein

  • Prozesse können optimiert sein

  • Menschen können sensibilisiert sein
    … aber Identitäten sind heute der größte Schwachpunkt.

Angriffe gegen Cloud-Identitäten sind so barrierefrei und einfach geworden, dass Hacker ihre Strategien stark darauf konzentrieren.
Einmal eine Identität übernommen – und der Zugriff auf interne Systeme läuft ohne große Alarmierung.

Mein persönliches Fazit:
Ich halte den Schutz digitaler Identitäten heute für eine der zentralen Aufgaben jedes Unternehmens.
Wer den Schutz von Identitäten vernachlässigt, läuft Gefahr, seine gesamte Sicherheitsarchitektur zu unterlaufen – und das oft ohne es sofort zu bemerken.

Morgen: Der Shift von A ➔ B ➔ C und neue Prüfmaßstäbe

Im Podcast wird ein besonders interessanter Wandel beschrieben:

  • Früher sicherten wir vor allem Systeme (A) – indem wir sie abschotteten und abschirmten.

  • Danach lag der Fokus verstärkt auf dem Menschen (B) – durch Awareness und Schulungen.

  • Heute konzentrieren sich die Angreifer verstärkt auf Identitäten (C) – besonders Cloud-Identitäten.

Meine Einordnung dazu:
Es ist wichtig, zu verstehen, dass wir nicht die Identitäten selbst schützen.


Unser Ziel bleibt es, Informationen zu schützen – das war früher so, und das bleibt auch künftig unverändert.
Identitäten sind heute lediglich der bevorzugte Angriffsweg, weil sie direkten Zugriff auf kritische Informationen ermöglichen.

Deshalb ist der Schutz digitaler Identitäten heute so entscheidend:
Nicht weil die Identität selbst besonders wertvoll wäre, sondern weil sie der Schlüssel zu sensiblen Daten und Systemen ist.

Blick nach vorn:
Die Anforderungen an Pentests werden weiter steigen:

  • Angriffe auf Identitäten müssen realitätsnah simuliert werden.

  • Prüfungen werden verstärkt auch die Lieferkette und Partnerunternehmen einbeziehen.

  • KI-basierte Tools werden dabei helfen, komplexe Angriffsszenarien effizient abzubilden.

  • Zero Trust Umgebungen werden darauf getestet, wie belastbar sie tatsächlich sind.

Mein Standpunkt:
Wir müssen langfristig denken und akzeptieren, dass Cybersicherheit niemals abgeschlossen ist.
Nur wer kontinuierlich die Wege des geringsten Widerstands erkennt und absichert, wird dauerhaft bestehen können.

Nur das starke System überlebt

Wenn ich eines aus dieser Podcast-Episode mitnehme, dann ist es diese Erkenntnis:
Es scheitert niemals nur Technik, Mensch oder Prozess – sondern immer das Gesamtsystem.

Und das Gesamtsystem ist komplex und schnelllebig!

Deshalb ist Red Teaming für mich nicht einfach ein Test – es ist eine Bewährungsprobe für das gesamte Sicherheitsökosystem eines Unternehmens.

In Österreich haben wir durch die Vorgaben von DORA, TIBER-AT und die klare Erwartungshaltung der Behörden (FMA, OeNB) die Chance, unsere Sicherheitskultur auf ein neues Niveau zu heben.

Mein Appell:
Denkt Sicherheit ganzheitlich.
Testet euer System regelmäßig.
Versteht, wo euer Weg des geringsten Widerstands verläuft – bevor es die Angreifer tun.

Teste dein System, bevor echte Angreifer es tun!

Wie bei einem Uhrwerk müssen in der Informationssicherheit alle Komponenten ineinandergreifen, aufeinander abgestimmt sein. Nur dann erhalten wir das gewünschte Ergebnis!