The one where we stole some cars – Cybersecurity Insights von Immanuel Bär

 “Ich habe ihnen eine Du-kommst-aus-dem-Gefängnis-frei-Karte gegeben”, sagt Schneider. “Sie sollten alles mitnehmen, was möglich wäre – außer mir wusste niemand Bescheid, nicht einmal die Geschäftsleitung.” Die Penetration Tester bei ProSec nehmen ihre Aufträge sehr ernst – und manchmal wörtlich. Bei diesem Penetration Test entführen sie am Ende sogar unbemerkt mehrere Firmenwagen. Wie wenig hierfür notwendig war und wie unser Co-Founder Immanuel Bär und seine Teamkollegen im Verlauf des Einsatzes die volle Kontrolle über die IT eines augenscheinlich gut abgesicherten Produktionsunternehmens erlangen konnten, beschreibt eindrucksvoll dieser Artikel auf heise online:

Zur ganzen Story im Artikel auf heise online:

Missing Link: Wie ein Unternehmen bei einem Cyberangriff die Kontrolle verlor

Hier haben wir die wichtigsten Learnings für Verantwortliche in Unternehmen aus dem Artikel zusammengestellt, damit Ihre Dienstwagen, Daten und Infrastrukturen künftig gegen böswillige Hacker abgesichert sind.

10 Learnings aus einem realistischen Cyberangriff für Ihre Sicherheit

Können unsere Penetration Tester (oder, das eigentliche Problem: böswillige Hacker) auch so einfach in Ihr Unternehmen spazieren und ungehindert Rechte erlangen? Hier sind 10 Learnings, mit denen sie diese Frage künftig selbstbewusst mit “Nein!” beantworten können:

  • Physische Zugänge absichern und stets wachsam sein:
    „Unternehmen unterschätzen häufig, wie leicht physische Zugangspunkte übersehen werden,“ sagt Immanuel Bär. Der Test deckt auf, wie entscheidend es ist, Eingänge – auch Seitentüren und Anbauten – bewusst zu sichern und regelmäßig zu kontrollieren.
heise online Immanuel Bär
Ethical Hacker on a Mission: ProSec-Co-Founder Immanuel Bär prüft die IT-Sicherheit eines Unternehmens inklusive physischem Zugang. (Foto: Jan P. Wall)
  • Vertrauen nicht blind verschenken, sondern Sicherheitskultur aufbauen:
    „Die Strategie ist, mit dem Unternehmen eins zu werden und den Menschen zu zeigen: Wir gehören hierhin,“ erläutert Bär die Vorgehensweise. Unternehmen sollten Mitarbeitenden vermitteln, dass Sicherheit immer mit einer gesunden Portion Misstrauen einhergeht – aber ohne unüberlegten Aktionismus.
  • Für den Ernstfall klare Meldewege und Ansprechpartner festlegen:
    „Es ist nicht ratsam, eine fremde Person direkt zu konfrontieren, wenn man Gefahr wittert,“ warnt Bär. Viel wichtiger sei, dass die Mitarbeitenden genau wissen, wo sie nachfragen können, ob eine technische Wartung oder ähnliche Aktionen tatsächlich stattfinden.
  • Social Engineering-Risiken durch Müll, Social Media und ungesicherte Bereiche minimieren:
    „Zeig mir deinen Müll und ich zeige dir deine Identität,“ erklärt Bär, während sein Team neben physischen Daten auch auf Social-Media-Informationen zugreift. Regelmäßige Sensibilisierung gegen Social Engineering – ob durch unbeaufsichtigte Dokumente oder Social Media – kann hier präventiv wirken.
heise online Immanuel Bär
"Zeig mir deinen Müll und ich zeige dir deine Identität." Immanuel Bär über Dumpster Diving als Angriffsvektor für Hacker. (Foto: Jan P. Wall)
  • Schwachstellen als Wachstumschancen nutzen: „Ich hätte nicht gedacht, dass es so ein großes Projekt wird, aber wir haben sehr gute Erkenntnisse gewinnen können,“ reflektiert der IT-Leiter Schneider. Für Unternehmen ist ein Penetrationstest die Chance, die eigene Sicherheitsstrategie realistisch einzuschätzen und an den richtigen Stellen nachzubessern.
  • Mitarbeiter in allen Abteilungen regelmäßig schulen: „IT-Sicherheit betrifft nicht nur die IT – da gehört auch die Personalabteilung zu, das Facility-Management wegen offener Türen, aber auch die Produktion, denn die Mitarbeitenden müssen es letztlich umsetzen,“ betont Bär. Um Sicherheitslücken zu schließen, ist regelmäßiges Training notwendig, damit alle Mitarbeitenden – nicht nur in der IT – auf potenzielle Bedrohungen achten.
  • Starke Sicherheitsmaßnahmen und eine durchdachte Architektur im digitalen und physischen Bereich: „Vor acht Jahren haben wir 35.000 Euro in einen Antivirenschutz investiert und das war die Security,“ erinnert sich Schneider. Das Unternehmen hat gelernt, dass heutige Bedrohungen deutlich stärkere und umfassendere Investitionen in Sicherheitslösungen erfordern.
  • Gezielte Angriffs-Simulationen, um unentdeckte Schwachstellen zu identifizieren: Die Testsimulationen, wie sie Bär und sein Team durchführen, zeigen, wie wichtig es ist, reale Szenarien durchzuspielen. Vom ungesicherten Firmengelände bis zu sozialen Manipulationstechniken enttarnt der Test, wie Unternehmen ihre Verteidigungsmechanismen gezielt verbessern können.

IT-Sicherheit betrifft nicht nur die IT – es ist eine Aufgabe für das gesamte Unternehmen.

ProSec Co-Founder Immanuel Bär
Können wir bei Ihnen einfach reinspazieren?
Nein? Haben Sie das mal getestet?
Jetzt kontaktieren