Pentesting: Schwachstellen erkennen, Informationen ganzheitlich schützen

ein Appell von Alexander Krenn zur ganzheitlichen Betrachtung

Vor kurzem war ich bei einem Kunden und durfte das Management in Bezug auf Informationssicherheit und Awareness schulen. Ein anderes Mal war das Thema NIS-2 und die Teilnehmer sechs Gesellschafter eines sehr erfolgreichen Unternehmens. Beide Termine hatten eines gemeinsam: Die Teilnehmer wussten größtenteils nicht, was ein Pentest (bzw. Red Teaming) ist.

Und dann ist mir ein Podcast über den Weg gelaufen und ich habe mir gedacht, dass ich diesen kurz zusammenfasse und das Thema „Pentests“ bekannter mache. Damit möchte ich erklären, wie TIBER-AT, DORA und der Schutz digitaler Identitäten Unternehmen in Österreich widerstandsfähiger machen können. DENN: Red Teaming ist ein wesentlicher Schlüssel zur Cybersicherheit!

Denken wie ein Angreifer, schützen wie ein Verteidiger

Im zufällig gefundene Podcast „The Red Teamer – Hacked“ hat mich beeindruckt, wie klar und direkt dort die wichtigsten Themen der modernen Informationssicherheit angesprochen werden. Schnell wird klar: Sicherheit entsteht nicht durch Technik alleine. Nur wenn Mensch, Technik und Prozesse perfekt zusammenspielen, können wir echten Schutz erreichen.

Gerade für Unternehmen in Österreich wird das Thema zunehmend kritisch: Mit DORA und dem nationalen Framework TIBER-AT wird klar geregelt, dass operative Resilienz kein Zufall sein darf. Besonders spannend finde ich den Fokus auf den Schutz digitaler Identitäten – ein Thema, das in meinen Augen heute absolut zentral geworden ist.

Gestern: Vom Firewall-Denken zum Angreifer-Mindset

Früher war die Informationssicherheit relativ einfach gestrickt: Man errichtete Firewalls, installierte Antivirenprogramme und hoffte, dass Angreifer draußen blieben. Doch wie ich auch aus dem Podcast entnehmen konnte, zeigt die Realität etwas anderes: Selbst perfekt konfigurierte Systeme helfen wenig, wenn Menschen unachtsam sind oder Prozesse zu einfach umgangen werden können.

Meine Meinung dazu: Ich bin überzeugt, dass Red Teaming genau deshalb so wichtig ist. Und bitte schränken Sie den Pentester, wenn überhaupt nur zeitlich ein. Was meine ich damit? Allzu oft dürfen bei Tests bestimmte Webseiten nur mit Samthandschuhen angefasst werden. Zu bestimmten Zeiten (am Wochenende) sollen Angriffe generell nicht stattfinden. Die Mitarbeitenden sollten bitte nicht angerufen oder einbezogen werden.
Doch all das geht an der Realität vorbei!

Nur wer seine Verteidigung realitätsnah testet, versteht, wie leicht ein Angreifer den Weg des geringsten Widerstands findet.
Wir dürfen uns nicht einbilden, dass Technik allein genügt – es entscheidet immer das Zusammenspiel aller Säulen.

Heute: Red Teaming als Pflichtübung unter DORA und TIBER-AT

In Österreich und der EU wird der Finanzsektor inzwischen durch DORA und TIBER-AT gezielt dazu verpflichtet, ihre Sicherheitsarchitektur ganzheitlich zu prüfen.
Ein wesentlicher Punkt, der auch im Podcast hervorgehoben wird:

Technik kann sicher sein
Prozesse können optimiert sein
Menschen können sensibilisiert sein
… aber Identitäten sind heute der größte Schwachpunkt.

Angriffe gegen Cloud-Identitäten sind so barrierefrei und einfach geworden, dass Hacker ihre Strategien stark darauf konzentrieren.
Einmal eine Identität übernommen – und der Zugriff auf interne Systeme läuft ohne große Alarmierung.

Mein persönliches Fazit:
Ich halte den Schutz digitaler Identitäten heute für eine der zentralen Aufgaben jedes Unternehmens.
Wer den Schutz von Identitäten vernachlässigt, läuft Gefahr, seine gesamte Sicherheitsarchitektur zu unterlaufen – und das oft ohne es sofort zu bemerken.

Morgen: Der Shift von A ➔ B ➔ C und neue Prüfmaßstäbe

Im Podcast wird ein besonders interessanter Wandel beschrieben:

Früher sicherten wir vor allem Systeme (A) – indem wir sie abschotteten und abschirmten.
Danach lag der Fokus verstärkt auf dem Menschen (B) – durch Awareness und Schulungen.
Heute konzentrieren sich die Angreifer verstärkt auf Identitäten (C) – besonders Cloud-Identitäten.

Meine Einordnung dazu:
Es ist wichtig, zu verstehen, dass wir nicht die Identitäten selbst schützen.

Unser Ziel bleibt es, Informationen zu schützen – das war früher so, und das bleibt auch künftig unverändert.
Identitäten sind heute lediglich der bevorzugte Angriffsweg, weil sie direkten Zugriff auf kritische Informationen ermöglichen.

Deshalb ist der Schutz digitaler Identitäten heute so entscheidend:
Nicht weil die Identität selbst besonders wertvoll wäre, sondern weil sie der Schlüssel zu sensiblen Daten und Systemen ist.

Der Blick nach vorne sagt: Die Anforderungen an Pentests werden weiter steigen.

Angriffe auf Identitäten müssen realitätsnah simuliert werden.
Prüfungen werden verstärkt auch die Lieferkette und Partnerunternehmen einbeziehen.
KI-basierte Tools werden dabei helfen, komplexe Angriffsszenarien effizient abzubilden.
Zero Trust Umgebungen werden darauf getestet, wie belastbar sie tatsächlich sind.

Dazu müssen wir langfristig denken und akzeptieren, dass Cybersicherheit niemals abgeschlossen ist.
Nur wer kontinuierlich die Wege des geringsten Widerstands erkennt und absichert, wird dauerhaft bestehen können.

Nur das starke System überlebt

Wenn ich eines aus dieser Podcast-Episode mitnehme, dann ist es diese Erkenntnis:
Es scheitert niemals nur Technik, Mensch oder Prozess – sondern immer das Gesamtsystem.
Und das Gesamtsystem ist komplex und schnelllebig!

Deshalb ist Red Teaming für mich nicht einfach ein Test – es ist eine Bewährungsprobe für das gesamte Sicherheitsökosystem eines Unternehmens. In Österreich haben wir durch die Vorgaben von DORA, TIBER-AT und die klare Erwartungshaltung der Behörden (FMA, OeNB) die Chance, unsere Sicherheitskultur auf ein neues Niveau zu heben.

Teste dein System, bevor echte Angreifer es tun!

Darum mein Appell: Betrachtet Informationssicherheit ganzheitlich! Denn erst, wenn das geschieht, haben Organisationen eine Chance gute Widerstandsfähigkeit hervorzubringen.

Weiterführender Link

PODCAST: The Red Teamer /Hacked, verfügbar auf Spotify