+49 89 89082-110

Allgemein

Was Firewalls nicht abfangen können

Der Vorfall in Berlin hat viele Organisationen aufhorchen lassen, nicht, weil besonders ausgefeilte Hacking-Techniken eingesetzt wurden oder komplexe IT-Schutzmechanismen umgangen wurden, sondern weil hier ein Eingriff in die physische Welt stattfand, dessen Auswirkungen auf kritische Infrastruktur und zehntausende Haushalte unmittelbar und greifbar waren, und der vor Augen führt, dass physische Angriffsvektoren in der alltäglichen (digitalen) Risikobetrachtung häufig unterschätzt werden.

Was auf den ersten Blick wie ein politisch motivierter Anschlag auf das Stromnetz wirkt, ist aus sicherheitstechnischer Sicht vor allem eines: ein Weckruf an Organisationen aller Größenordnungen, ihre physischen Schutzmaßnahmen nicht zu vernachlässigen.

In zahlreichen Unternehmen gilt physische Sicherheit als geregelt: Türen sind verschlossen, Zäune ziehen sich um das Gelände, Besuchende melden sich an. Auf dem Papier wirkt das nachvollziehbar und ausreichend, doch im Alltag verändern sich Abläufe […]

Von |2026-01-09T17:20:39+01:009. Januar 2026|
Weiterlesen

Mehrere Schwachstellen in UC eBanking Prime

NSIDE hat mehrere, zum Teil kritische Schwachstellen in UC eBanking Prime (Versionen 6.1.0 und 6.2.0) gefunden. Die Schwachstellen ermöglichen Angreifern unter bestimmten Umständen unautorisierten Zugriff zur UC eBanking-Prime-Webanwendung und damit zu sensiblen Daten wie Kontoständen und der Transaktionshistorie. Diese Schwachstellen werden nun im Rahmen eines Responsible-Disclosure-Prozesses offengelegt. Mit diesem Blogartikel möchten wir die zeitgleich veröffentlichten Advisorys NSIDE-SA-2025-001 und NSIDE-SA-2025-002 mit weiteren technischen Details ergänzen.

Einleitung

UC eBanking Prime ist eine On-Premise-Electronic-Banking-Lösung für Geschäftskunden der Hypovereinsbank (HVB)/UniCredit. Die Lösung besteht aus einer Webanwendung, die im Intranet des Kunden installiert wird, sowie einer Desktopanwendung namens OTC Client, die für die Anmeldung an der Webanwendung benötigt wird.

Im regulären Betrieb meldet sich der Benutzer zunächst mit einer sogenannten „Keybag“-Datei und dem dazugehörigen Passwort an der Desktopanwendung OTC Client an:

Von |2025-12-15T14:03:15+01:0015. Dezember 2025|
Weiterlesen

Wie laufen Pentests in Zeiten hybrider Cloud-Umgebungen ab?

Wir bei der NSIDE haben uns ein Ziel gesetzt: Realistische Angriffssimulationen durchzuführen und damit reale, greifbare Risiken aufzeigen. Dies zieht sich durch jeden unserer Pentests. Wir sind der Meinung: was nicht nachgewiesen werden kann landet auch nicht im Bericht (außer natürlich es gibt eindeutige Indikatoren, dass es trotzdem problematisch sein kann oder es sind Verstöße gegen Best-Practices).

Mit einer immer stärkeren Verbreitung von Cloud-Infrastruktur und einem Shift von klassischer On-Premises-Infrastruktur hin zu großen Cloudanbietern hat sich auch die Art und Weise geändert, wie wir Pentests durchführen.

Klassische Pentests

Unsere Pentests des internen Netzes und Active Directory laufen für gewöhnlich so ab: wir lassen uns von unserem Kunden einen Laptop zuschicken und senden selber unsere sogenannte Pentest-Box an den Kunden. Diese Box wird genutzt, um einen Angreifer mit Zugang […]

Von |2025-12-17T16:38:27+01:0012. Dezember 2025|
Weiterlesen

Wie Pentester Unternehmen, für die KRITIS, NIS2 oder ISO 27001 relevant sind, effizient weiterbringen

Die Anforderungen an die Informationssicherheit steigen. Mit Regelungen wie BSIG, ITSiG / ITSiG 2.0, BSIKritisV, ISO 27001 und seit Neuem NIS2 rückt die Frage in den Mittelpunkt: Wie beweise ich, dass meine Sicherheitsmaßnahmen wirksam sind?
Genau hier kommen Penetrationstests ins Spiel. Sie sind nicht nur technisches Pflichtprogramm, sondern ein entscheidender Baustein für Compliance, Risikomanagement und Revisionssicherheit.
Auch die praktische Unterstützung von Pentestern bei der Implementierung und der Pflege eines ISMS  ist oft Gold wert.

Warum klassische Risikoanalysen allein nicht mehr reichen

KRITIS, NIS2 und ISO 27001 verlangen eine risikobasierte Herangehensweise. Doch theoretische Matrixbewertungen können nur begrenzt abbilden, wie Angreifer tatsächlich vorgehen würden.
Pentests schließen diese Lücke: Sie zeigen reale Schwachstellen, priorisieren Risiken anhand tatsächlicher Ausnutzbarkeit und liefern harte Daten, die Auditoren anerkennen.

Ergebnis: Eine Risikoanalyse, die sich nicht auf Annahmen stützt, […]

Von |2025-12-16T18:15:56+01:0020. November 2025|
Weiterlesen

Asset Discovery über Zertifikate

In Projekten werden wir oftmals beauftragt, sogenannte OSINT-Analysen („Open Source Intelligence“) durchzuführen, in denen je nach Anforderung unterschiedliche Aspekte der (IT-) Sicherheit anhand öffentlich zugänglicher Daten näher betrachtet werden sollen. Besonders ausführlich fällt diese Analyse bei TIBER/DORA oder Red/Purple Team Assessments aus, wobei ein möglichst ganzheitliches Bild der potenziellen Angriffsfläche bzw. der Bedrohungslage erfasst werden soll, beispielsweise hinsichtlich:

  • Vorhandener IT-Infrastruktur und deren Schwächen
  • Möglicher physischer Angriffsvektoren
  • Schützenswerten Informationen, die eventuell öffentlich zugänglich sind
  • Gestohlener Passwörter
  • Bedrohungslage durch reale Akteure
  • U.v.m.

Unabhängig davon was genau gefordert wird – das übergeordnete Ziel bleibt immer konstant: Unterschiedlichste Informationen auszumachen, die öffentlich verfügbar und für Angreifer interessant, also einem Angriff zuträglich, sein könnten.
Doch schon beim ersten Punkt (dem Identifizieren von vorhandener IT-Infrastruktur) kann man sich wundern, wie genau das eigentlich […]

Von |2025-12-15T10:45:53+01:0028. Oktober 2025|
Weiterlesen

Chalk and Debug – ein Angriff im Schatten von S1ngularity und Shai-Hulud?

Spätestens seit dem SolarWinds Angriff 2020 rückt die Software Supply Chain aufgrund der von Ihr ausgehenden direkten Gefährdung von Softwareprojekten innerhalb von Unternehmen immer mehr in den Fokus der IT-Sicherheit. Innerhalb der letzten Wochen zeigte sich erneut, wie anfällig zentrale Distributionsplattformen für Open-Source-Komponenten sind: Die Paketquelle NPM wurde gleich drei Mal kompromittiert – jeweils mit dem Ziel, Schadcode über weit verbreitete Bibliotheken in Entwicklungsumgebungen einzuschleusen.

Diese Angriffe verdeutlichen eindrücklich, dass selbst weit verbreitete Paketquellen wie NPM keine absolute Sicherheit bieten und sich zunehmend zu einem attraktives Angriffsziel innerhalb der Software-Lieferkette entwickeln. Neben den bekannteren und größeren Angriffen der letzten Wochen, S1ingularity und Shai-Hulud, wurden auch in einem unbekannteren, weiteren Angriff 18 Pakete mit mehreren Milliarden Downloads pro Woche mit einem Crypto-Trojaner infiziert. In diesem Blogbeitrag […]

Von |2026-01-12T12:26:02+01:0030. September 2025|
Weiterlesen

DICOM – Das Gesundheitswesen im Visier von Angreifern

Dies ist eine aktualisierte Version unseres Blog-Artikels „DICOM – Angriffe auf den wohl wichtigsten Standard im Medizinsektor

Der DICOM-Standard ist im Gesundheitswesen aus den meisten bildgebenden oder bildverarbeitenden Systemen nicht mehr wegzudenken. Insbesondere im klinischen und interdisziplinären Umfeld ermöglicht dieser Standard Interoperabilität zwischen Systemen verschiedener Hersteller.

Die meisten Personen sind in ihrem Leben mit DICOM auf die ein oder andere Weise schon mal in Berührung gekommen, z. B. bei MRTs oder CTs. Wurde beispielsweise nach einer Röntgenaufnahme eine CD für Folgetermine mitgegeben oder diese an einen anderen Arzt übermittelt, wurden die Bilder höchstwahrscheinlich im DICOM-Format gespeichert.

In diesen DICOM-Daten sind neben persönlichen Informationen wie Vor- und Nachname, Geburtsdatum und Geschlecht zusammen mit den Bildern der Untersuchung meist auch sensible Informationen wie Befund- und Diagnosedaten gespeichert. Dadurch fallen […]

Von |2025-08-29T12:17:45+02:0029. August 2025|
Weiterlesen

DORA TLPT in Deutschland

DORA TLPT in Deutschland: Entwicklungen, Zusammenhänge und nächste Schritte

Die Finanzbranche steht vor bedeutenden Veränderungen im Bereich der Cybersicherheit. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) und der Einführung von verpflichtenden Threat-Led Penetration Tests (TLPT) müssen Finanzinstitute ihre digitale Widerstandsfähigkeit nachweisen. Als erfahrener TIBER-Provider möchten wir Ihnen einen Überblick über die aktuellen Entwicklungen, die Zusammenhänge zwischen TIBER und DORA sowie die nächsten wichtigen Schritte geben.

DORA und TLPT: Was bedeutet das für Finanzinstitute?

Der Digital Operational Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten und wird seit dem 17. Januar 2025 offiziell angewendet. DORA ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsstabilität im Finanzsektor zu stärken. Ein zentrales Element von DORA sind die verpflichtenden Threat-Led Penetration Tests (TLPT), die von bestimmten Finanzinstituten […]

Von |2025-07-04T14:06:34+02:006. Mai 2025|
Weiterlesen

Vorteile eines eigenen C2-Frameworks für Red-Teaming-Assessments

Was sind C2 Frameworks und wofür werden sie eingesetzt?

Zuerst einmal: Was bedeutet eigentlich „C2“? „C2“ steht für „Command and Control“ und beschreibt eine Software, die Angreifer nutzen können, um einen infizierten Rechner über das Internet fernzusteuern. Hierüber können weitere Angriffe geplant und durchgeführt werden. Fast in jedem größeren Cyber-Angriff kommt daher eine Schadsoftware mit C2-Funktion zum Einsatz. Da während eines Red-Teaming-Projekts realistische Angreifer simuliert werden sollen, nutzen dementsprechend auch professionelle Red-Teams solche C2-Frameworks.

Kommerziell oder Open Source?

Während Cobalt Strike lange der Platzhirsch unter den kommerziellen „Adversary Simulation“ Programmen war, kamen in den letzten Jahren einige kommerzielle Frameworks (Nighthawk, Brute Ratel C4), sowie einige OpenSource Frameworks (Mythic Agents, Sliver, Havoc, …) hinzu. Doch das Problem von öffentlich bekannten und quelloffenen Schadsoftware-Frameworks […]

Von |2026-01-12T12:25:31+01:003. Juli 2024|
Weiterlesen

Common Vulnerabilities and Exposures (CVE)

Einleitung

In der Welt der Informationstechnologie ist die Sicherheit von entscheidender Bedeutung. Doch mit zunehmender Komplexität und der schieren Menge verschiedener Software und Hardware sind auch die potenziellen Schwachstellen in den Systemen häufiger und vielfältiger geworden. Die eindeutige Identifizierung und Kommunikation dieser Sicherheitslücken wurde immer schwieriger und war oft uneinheitlich und inkonsistent. Wurden Sicherheitslücken über mehrere Produkte hinweg bewertet und katalogisiert, kam es zu Verwirrung und Doppelungen, sodass nur ineffektiv und ineffizient auf Bedrohungen reagiert werden konnte.

Was ist CVE?

CVE steht für Common Vulnerabilities and Exposures und ist ein Verzeichnis für öffentlich bekannte Schwachstellen. CVEs oder auch CVE-IDs sind gedacht, um Schwachstellen eindeutig zu identifizieren und die Kommunikation über verschiedene Grenzen hinweg zu erleichtern. Dies soll auch die Identifikation ermöglichen, wenn z. B. eine Schwachstelle in verschiedenen Software-Versionen […]

Von |2024-06-18T15:48:29+02:0025. Juni 2024|
Weiterlesen

BLEIBEN SIE AUF DEM LAUFENDEN

Melden Sie sich zu unserem Newsletter an und erhalten Sie einmal im Quartal wichtige und interessante Neuigkeiten rund um das Thema Cyber Security.

KONTAKT

NSIDE ATTACK LOGIC GmbH
Landshuter Allee 8
80637 München
Tel.: +49 89 89082-110
E-Mail: info@nsideattacklogic.de

ÜBER UNS

Warum NSIDE?
Management
Karriere
Referenzen
Presse

LEISTUNGEN

Red Team Assessment
Purple Teaming
Penetration Testing
Phishing-Simulation

WISSEN

Blog
Advisories
Lexikon
FAQ
Newsletter

FOLGEN SIE UNS!

    

Impressum
Datenschutzerklärung

© 2025 – NSIDE ATTACK LOGIC GmbH

Nach oben