The one where we stole some cars – Cybersecurity Insights von Immanuel Bär

“Ich habe ihnen eine Du-kommst-aus-dem-Gefängnis-frei-Karte gegeben”, sagt Schneider. “Sie sollten alles mitnehmen, was möglich wäre – außer mir wusste niemand Bescheid, nicht einmal die Geschäftsleitung.” Die Penetration Tester bei ProSec nehmen ihre Aufträge sehr ernst – und manchmal wörtlich. Bei diesem Penetration Test entführen sie am Ende sogar unbemerkt mehrere Firmenwagen. Wie wenig hierfür notwendig war und wie unser Co-Founder Immanuel Bär und seine Teamkollegen im Verlauf des Einsatzes die volle Kontrolle über die IT eines augenscheinlich gut abgesicherten Produktionsunternehmens erlangen konnten, beschreibt eindrucksvoll dieser Artikel auf heise online:

Zur ganzen Story im Artikel auf heise online:

Missing Link: Wie ein Unternehmen bei einem Cyberangriff die Kontrolle verlor

Hier haben wir die wichtigsten Learnings für Verantwortliche in Unternehmen aus dem Artikel zusammengestellt, damit Ihre Dienstwagen, Daten und Infrastrukturen künftig gegen böswillige Hacker abgesichert sind.

10 Learnings aus einem realistischen Cyberangriff für Ihre Sicherheit

Können unsere Penetration Tester (oder, das eigentliche Problem: böswillige Hacker) auch so einfach in Ihr Unternehmen spazieren und ungehindert Rechte erlangen? Hier sind 10 Learnings, mit denen sie diese Frage künftig selbstbewusst mit “Nein!” beantworten können:

Physische Zugänge absichern und stets wachsam sein:
„Unternehmen unterschätzen häufig, wie leicht physische Zugangspunkte übersehen werden,“ sagt Immanuel Bär. Der Test deckt auf, wie entscheidend es ist, Eingänge – auch Seitentüren und Anbauten – bewusst zu sichern und regelmäßig zu kontrollieren.

Vertrauen nicht blind verschenken, sondern Sicherheitskultur aufbauen:
„Die Strategie ist, mit dem Unternehmen eins zu werden und den Menschen zu zeigen: Wir gehören hierhin,“ erläutert Bär die Vorgehensweise. Unternehmen sollten Mitarbeitenden vermitteln, dass Sicherheit immer mit einer gesunden Portion Misstrauen einhergeht – aber ohne unüberlegten Aktionismus.

Für den Ernstfall klare Meldewege und Ansprechpartner festlegen:
„Es ist nicht ratsam, eine fremde Person direkt zu konfrontieren, wenn man Gefahr wittert,“ warnt Bär. Viel wichtiger sei, dass die Mitarbeitenden genau wissen, wo sie nachfragen können, ob eine technische Wartung oder ähnliche Aktionen tatsächlich stattfinden.

Social Engineering-Risiken durch Müll, Social Media und ungesicherte Bereiche minimieren:
„Zeig mir deinen Müll und ich zeige dir deine Identität,“ erklärt Bär, während sein Team neben physischen Daten auch auf Social-Media-Informationen zugreift. Regelmäßige Sensibilisierung gegen Social Engineering – ob durch unbeaufsichtigte Dokumente oder Social Media – kann hier präventiv wirken.

Schwachstellen als Wachstumschancen nutzen: „Ich hätte nicht gedacht, dass es so ein großes Projekt wird, aber wir haben sehr gute Erkenntnisse gewinnen können,“ reflektiert der IT-Leiter Schneider. Für Unternehmen ist ein Penetrationstest die Chance, die eigene Sicherheitsstrategie realistisch einzuschätzen und an den richtigen Stellen nachzubessern.

Mitarbeiter in allen Abteilungen regelmäßig schulen: „IT-Sicherheit betrifft nicht nur die IT – da gehört auch die Personalabteilung zu, das Facility-Management wegen offener Türen, aber auch die Produktion, denn die Mitarbeitenden müssen es letztlich umsetzen,“ betont Bär. Um Sicherheitslücken zu schließen, ist regelmäßiges Training notwendig, damit alle Mitarbeitenden – nicht nur in der IT – auf potenzielle Bedrohungen achten.

Starke Sicherheitsmaßnahmen und eine durchdachte Architektur im digitalen und physischen Bereich: „Vor acht Jahren haben wir 35.000 Euro in einen Antivirenschutz investiert und das war die Security,“ erinnert sich Schneider. Das Unternehmen hat gelernt, dass heutige Bedrohungen deutlich stärkere und umfassendere Investitionen in Sicherheitslösungen erfordern.

Gezielte Angriffs-Simulationen, um unentdeckte Schwachstellen zu identifizieren: Die Testsimulationen, wie sie Bär und sein Team durchführen, zeigen, wie wichtig es ist, reale Szenarien durchzuspielen. Vom ungesicherten Firmengelände bis zu sozialen Manipulationstechniken enttarnt der Test, wie Unternehmen ihre Verteidigungsmechanismen gezielt verbessern können.

IT-Sicherheit betrifft nicht nur die IT – es ist eine Aufgabe für das gesamte Unternehmen.

ProSec Co-Founder Immanuel Bär

Immanuel Bär

Co-Founder ProSec GmbH und Ethical Hacker

Können wir bei Ihnen einfach reinspazieren?

Nein? Haben Sie das mal getestet?

Jetzt kontaktieren

Follow for more!

Gefälschte Bewerbung per E-Mail mit schädlichem Anhang als Einstiegspunkt für Cyberangriff

Fake Bewerbungen als Cyberangriff: Credential Theft, Domain-Targeting und Kryptomining im Unternehmen

März 25, 2026

Fake Bewerbungen schleusen Malware ein: In Sekunden werden Credentials gestohlen, Daten exfiltriert und Kryptominer installiert. Unternehmen werden gezielt über Domain-Checks attackiert.

Visualisierung eines kompromittierten Firewall-Management-Systems durch eine Zero-Day-Schwachstelle – Beispiel für Angriff auf zentrale Sicherheitsinfrastruktur.

Cisco Zero-Day CVE-2026-20131: Angriff auf Firewall-Management als strategisches Risiko für Unternehmen

März 19, 2026

Cisco Zero-Day CVE-2026-20131 gefährdet Firewall-Management-Systeme. Der Angriff zeigt: Zero-Day-Exploits sind strategische Risiken für CEOs, CISOs und die gesamte IT-Sicherheitsarchitektur.

KI-Tool als Angriffsfläche

Claude-Code-Schwachstellen: Warum KI-Entwicklungstools zur neuen Angriffsfläche für Unternehmens-IT werden

Februar 26, 2026

Claude-Code-Schwachstellen zeigen: KI-Coding-Tools werden zur strategischen Angriffsfläche. RCE, API-Key-Diebstahl und Supply-Chain-Risiken verändern IT-Security, Governance und digitale Resilienz grundlegend.