The one where we stole some cars – Cybersecurity Insights von Immanuel Bär

“Ich habe ihnen eine Du-kommst-aus-dem-Gefängnis-frei-Karte gegeben”, sagt Schneider. “Sie sollten alles mitnehmen, was möglich wäre – außer mir wusste niemand Bescheid, nicht einmal die Geschäftsleitung.” Die Penetration Tester bei ProSec nehmen ihre Aufträge sehr ernst – und manchmal wörtlich. Bei diesem Penetration Test entführen sie am Ende sogar unbemerkt mehrere Firmenwagen. Wie wenig hierfür notwendig war und wie unser Co-Founder Immanuel Bär und seine Teamkollegen im Verlauf des Einsatzes die volle Kontrolle über die IT eines augenscheinlich gut abgesicherten Produktionsunternehmens erlangen konnten, beschreibt eindrucksvoll dieser Artikel auf heise online:

Zur ganzen Story im Artikel auf heise online:

Missing Link: Wie ein Unternehmen bei einem Cyberangriff die Kontrolle verlor

Hier haben wir die wichtigsten Learnings für Verantwortliche in Unternehmen aus dem Artikel zusammengestellt, damit Ihre Dienstwagen, Daten und Infrastrukturen künftig gegen böswillige Hacker abgesichert sind.

10 Learnings aus einem realistischen Cyberangriff für Ihre Sicherheit

Können unsere Penetration Tester (oder, das eigentliche Problem: böswillige Hacker) auch so einfach in Ihr Unternehmen spazieren und ungehindert Rechte erlangen? Hier sind 10 Learnings, mit denen sie diese Frage künftig selbstbewusst mit “Nein!” beantworten können:

Physische Zugänge absichern und stets wachsam sein:
„Unternehmen unterschätzen häufig, wie leicht physische Zugangspunkte übersehen werden,“ sagt Immanuel Bär. Der Test deckt auf, wie entscheidend es ist, Eingänge – auch Seitentüren und Anbauten – bewusst zu sichern und regelmäßig zu kontrollieren.

Vertrauen nicht blind verschenken, sondern Sicherheitskultur aufbauen:
„Die Strategie ist, mit dem Unternehmen eins zu werden und den Menschen zu zeigen: Wir gehören hierhin,“ erläutert Bär die Vorgehensweise. Unternehmen sollten Mitarbeitenden vermitteln, dass Sicherheit immer mit einer gesunden Portion Misstrauen einhergeht – aber ohne unüberlegten Aktionismus.

Für den Ernstfall klare Meldewege und Ansprechpartner festlegen:
„Es ist nicht ratsam, eine fremde Person direkt zu konfrontieren, wenn man Gefahr wittert,“ warnt Bär. Viel wichtiger sei, dass die Mitarbeitenden genau wissen, wo sie nachfragen können, ob eine technische Wartung oder ähnliche Aktionen tatsächlich stattfinden.

Social Engineering-Risiken durch Müll, Social Media und ungesicherte Bereiche minimieren:
„Zeig mir deinen Müll und ich zeige dir deine Identität,“ erklärt Bär, während sein Team neben physischen Daten auch auf Social-Media-Informationen zugreift. Regelmäßige Sensibilisierung gegen Social Engineering – ob durch unbeaufsichtigte Dokumente oder Social Media – kann hier präventiv wirken.

Schwachstellen als Wachstumschancen nutzen: „Ich hätte nicht gedacht, dass es so ein großes Projekt wird, aber wir haben sehr gute Erkenntnisse gewinnen können,“ reflektiert der IT-Leiter Schneider. Für Unternehmen ist ein Penetrationstest die Chance, die eigene Sicherheitsstrategie realistisch einzuschätzen und an den richtigen Stellen nachzubessern.

Mitarbeiter in allen Abteilungen regelmäßig schulen: „IT-Sicherheit betrifft nicht nur die IT – da gehört auch die Personalabteilung zu, das Facility-Management wegen offener Türen, aber auch die Produktion, denn die Mitarbeitenden müssen es letztlich umsetzen,“ betont Bär. Um Sicherheitslücken zu schließen, ist regelmäßiges Training notwendig, damit alle Mitarbeitenden – nicht nur in der IT – auf potenzielle Bedrohungen achten.

Starke Sicherheitsmaßnahmen und eine durchdachte Architektur im digitalen und physischen Bereich: „Vor acht Jahren haben wir 35.000 Euro in einen Antivirenschutz investiert und das war die Security,“ erinnert sich Schneider. Das Unternehmen hat gelernt, dass heutige Bedrohungen deutlich stärkere und umfassendere Investitionen in Sicherheitslösungen erfordern.

Gezielte Angriffs-Simulationen, um unentdeckte Schwachstellen zu identifizieren: Die Testsimulationen, wie sie Bär und sein Team durchführen, zeigen, wie wichtig es ist, reale Szenarien durchzuspielen. Vom ungesicherten Firmengelände bis zu sozialen Manipulationstechniken enttarnt der Test, wie Unternehmen ihre Verteidigungsmechanismen gezielt verbessern können.

IT-Sicherheit betrifft nicht nur die IT – es ist eine Aufgabe für das gesamte Unternehmen.

ProSec Co-Founder Immanuel Bär

Immanuel Bär

Co-Founder ProSec GmbH und Ethical Hacker

Können wir bei Ihnen einfach reinspazieren?

Nein? Haben Sie das mal getestet?

Jetzt kontaktieren

Follow for more!

data leak openai mixpanel

Warum das Datenleck bei OpenAI ein Weckruf für Ihr Unternehmen ist – und wie Sie Third-Party-Risiken jetzt in den Griff bekommen

November 28, 2025

Im OpenAI Datenleckfall offenbart sich das Risiko von Sicherheitslücken bei Drittanbietern. Das Unternehmen war durch eine Smishing-Kampagne bei seinem Webanalyse-Dienstleister Mixpanel betroffen. Angreifer erhielten Zugang zu sensiblen Daten.

Hacker, Cyberkrimineller bei der Arbeit

Wie Cyberkriminelle mit KI Millionen erbeuten – und was Ihr Unternehmen jetzt für seine IT-Sicherheit tun muss

November 26, 2025

Das FBI meldet einen Schaden von über 262 Millionen US-Dollar durch Account-Übernahme-Betrug (ATO) in diesem Jahr. Cyberkriminelle nutzen Social Engineering, um auf Unternehmensdaten zuzugreifen und gewinnen mit KI-gestützten Infrastrukturen die Oberhand. Unternehmen müssen ihre Sicherheitsstrategien überdenken und präventiv handeln.

Email phishing attack

Industriespionage über Outlook und Microsoft 365: Wie der APT „ToddyCat“ gezielt Ihre Geschäftsgeheimnisse ausliest

November 25, 2025

Advanced Persistent Threat (APT) „ToddyCat“ zielt auf geschäftskritische E-Mails und stellt Unternehmen dadurch vor wirtschaftliche Spionage. Cybersecurity-Analysten von Kaspersky warnen vor der ernsten Bedrohung. Zudem wird erläutert, wie Unternehmen effizient gegen diese Attacken agieren können. Es gilt, Geschäftsgeheimnisse und andere wichtige Informationen zu schützen.