Wie Pentester Unternehmen, für die KRITIS, NIS2 oder ISO 27001 relevant sind effizient weiterbringen

Die Anforderungen an die Informationssicherheit steigen. Mit Regelungen wie BSIG, ITSiG / ITSiG 2.0, BSIKritisV, ISO 27001 und seit Neuem NIS2 rückt die Frage in den Mittelpunkt: Wie beweise ich, dass meine Sicherheitsmaßnahmen wirksam sind?
Genau hier kommen Penetrationstests ins Spiel. Sie sind nicht nur technisches Pflichtprogramm, sondern ein entscheidender Baustein für Compliance, Risikomanagement und Revisionssicherheit.
Auch die praktische Unterstützung von Pentestern bei der Implementierung und der Pflege eines ISMS ist oft Gold wert.

Warum klassische Risikoanalysen allein nicht mehr reichen

KRITIS, NIS2 und ISO 27001 verlangen eine risikobasierte Herangehensweise. Doch theoretische Matrixbewertungen können nur begrenzt abbilden, wie Angreifer tatsächlich vorgehen würden.
Pentests schließen diese Lücke: Sie zeigen reale Schwachstellen, priorisieren Risiken anhand tatsächlicher Ausnutzbarkeit und liefern harte Daten, die Auditoren anerkennen.

Ergebnis: Eine Risikoanalyse, die sich nicht auf Annahmen stützt, […]

Asset Discovery über Zertifikate

In Projekten werden wir oftmals beauftragt, sogenannte OSINT-Analysen („Open Source Intelligence“) durchzuführen, in denen je nach Anforderung unterschiedliche Aspekte der (IT-) Sicherheit anhand öffentlich zugänglicher Daten näher betrachtet werden sollen. Besonders ausführlich fällt diese Analyse bei TIBER/DORA oder Red/Purple Team Assessments aus, wobei ein möglichst ganzheitliches Bild der potenziellen Angriffsfläche bzw. der Bedrohungslage erfasst werden soll, beispielsweise hinsichtlich:

Vorhandener IT-Infrastruktur und deren Schwächen
Möglicher physischer Angriffsvektoren
Schützenswerten Informationen, die eventuell öffentlich zugänglich sind
Gestohlener Passwörter
Bedrohungslage durch reale Akteure
U.v.m.

Unabhängig davon was genau gefordert wird – das übergeordnete Ziel bleibt immer konstant: Unterschiedlichste Informationen auszumachen, die öffentlich verfügbar und für Angreifer interessant, also einem Angriff zuträglich, sein könnten.
Doch schon beim ersten Punkt (dem Identifizieren von vorhandener IT-Infrastruktur) kann man sich wundern, wie genau das eigentlich […]

Chalk and Debug – ein Angriff im Schatten von S1ngularity und Shai-Hulud?

Spätestens seit dem SolarWinds Angriff 2020 rückt die Software Supply Chain aufgrund der von Ihr ausgehenden direkten Gefährdung von Softwareprojekten innerhalb von Unternehmen immer mehr in den Fokus der IT-Sicherheit. Innerhalb der letzten Wochen zeigte sich erneut, wie anfällig zentrale Distributionsplattformen für Open-Source-Komponenten sind: Die Paketquelle NPM wurde gleich drei Mal kompromittiert – jeweils mit dem Ziel, Schadcode über weit verbreitete Bibliotheken in Entwicklungsumgebungen einzuschleusen.

Diese Angriffe verdeutlichen eindrücklich, dass selbst weit verbreitete Paketquellen wie NPM keine absolute Sicherheit bieten und sich zunehmend zu einem attraktives Angriffsziel innerhalb der Software-Lieferkette entwickeln. Neben den bekannteren und größeren Angriffen der letzten Wochen, S1ingularity und Shai-Hulud, wurden auch in einem unbekannteren, weiteren Angriff 18 Pakete mit mehreren Milliarden Downloads pro Woche mit einem Crypto-Trojaner infiziert. In diesem Blogbeitrag […]

DICOM – Das Gesundheitswesen im Visier von Angreifern

Dies ist eine aktualisierte Version unseres Blog-Artikels „DICOM – Angriffe auf den wohl wichtigsten Standard im Medizinsektor“

Der DICOM-Standard ist im Gesundheitswesen aus den meisten bildgebenden oder bildverarbeitenden Systemen nicht mehr wegzudenken. Insbesondere im klinischen und interdisziplinären Umfeld ermöglicht dieser Standard Interoperabilität zwischen Systemen verschiedener Hersteller.

Die meisten Personen sind in ihrem Leben mit DICOM auf die ein oder andere Weise schon mal in Berührung gekommen, z. B. bei MRTs oder CTs. Wurde beispielsweise nach einer Röntgenaufnahme eine CD für Folgetermine mitgegeben oder diese an einen anderen Arzt übermittelt, wurden die Bilder höchstwahrscheinlich im DICOM-Format gespeichert.

In diesen DICOM-Daten sind neben persönlichen Informationen wie Vor- und Nachname, Geburtsdatum und Geschlecht zusammen mit den Bildern der Untersuchung meist auch sensible Informationen wie Befund- und Diagnosedaten gespeichert. Dadurch fallen […]

Mehrere Schwachstellen in UC eBanking Prime

NSIDE hat mehrere, zum Teil kritische Schwachstellen in UC eBanking Prime (Versionen 6.1.0 und 6.2.0) gefunden. Die Schwachstellen ermöglichen Angreifern unter bestimmten Umständen unautorisierten Zugriff zur UC eBanking-Prime-Webanwendung und damit zu sensiblen Daten wie Kontoständen und der Transaktionshistorie. Leider wurden sie bisher nur zum Teil vom Hersteller adressiert.

Technische Details

In einer vorherigen Version des Artikels waren weitere Informationen zu den Schwachstellen enthalten. Auf expliziten Wunsch eines Kunden haben wir uns entschieden, die Veröffentlichung technischer Details auf einen späteren Zeitpunkt zu verschieben. Schauen Sie gerne regelmäßig vorbei, um über alle Updates informiert zu bleiben.

Responsible Disclosure

Wir haben die Schwachstellen in einem Kundenprojekt Ende März 2025 entdeckt und sie mit Zustimmung unseres Kunden am 7. April 2025 an die Hypovereinsbank gemeldet. Nach initialem Zögern hat die Hypovereinsbank die Schwachstellenmeldung […]

Kali NetHunter – Red-Teaming vom Smartphone

Viele von euch sind bestimmt schon mal über Kali NetHunter gestolpert, zum Beispiel beim Stöbern auf der Website von Kali Linux, ohne genau zu wissen, was das eigentlich ist, und was man damit machen kann. Die „Mobile Penetration Testing Platform for Android devices, based on Kali Linux“ wirkt auf den ersten Blick für sich genommen schon spannend, aber irgendwie auch immer komplex und die Installation einschüchternd. In diesem Blog-Beitrag wollen wir deswegen Aufklärungsarbeit betreiben über Kali NetHunter und die Stärken und Schwächen der Pentest-Suite für die Hosentasche.

Grob zusammengefasst ist Kali NetHunter eine Zusammenstellung von mehreren Apps, die ein komplettes Kali Linux Betriebssystem auf Android-Smartphones ermöglichen. Je nachdem, welches Smartphone ihr besitzt und welche Edition ihr installiert, sind Angriffe auf verschiedene Protokolle wie WLAN oder Bluetooth […]

DORA TLPT in Deutschland

DORA TLPT in Deutschland: Entwicklungen, Zusammenhänge und nächste Schritte

Die Finanzbranche steht vor bedeutenden Veränderungen im Bereich der Cybersicherheit. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) und der Einführung von verpflichtenden Threat-Led Penetration Tests (TLPT) müssen Finanzinstitute ihre digitale Widerstandsfähigkeit nachweisen. Als erfahrener TIBER-Provider möchten wir Ihnen einen Überblick über die aktuellen Entwicklungen, die Zusammenhänge zwischen TIBER und DORA sowie die nächsten wichtigen Schritte geben.

DORA und TLPT: Was bedeutet das für Finanzinstitute?

Der Digital Operational Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten und wird seit dem 17. Januar 2025 offiziell angewendet. DORA ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsstabilität im Finanzsektor zu stärken. Ein zentrales Element von DORA sind die verpflichtenden Threat-Led Penetration Tests (TLPT), die von bestimmten Finanzinstituten […]

RCE in Axiros Auto Configuration Server (ACS)

In diesem Blogartikel werden wir auf die Details einer mittlerweile als CVE-2024-33898 bekannten Schwachstelle eingehen, die wir im April 2024 identifiziert haben. Es handelt sich dabei um eine unauthenticated Remote Code Execution im Frontend des Axiros Auto Configuration Servers (ACS) in den Versionen 4.3.2 und 5.0.0. Die Schwachstelle wurde mittlerweile in Zusammenarbeit mit Axiros behoben, weitere Details dazu finden sich hierzu auf der Website des Herstellers.

Bevor wir uns mit den technischen Details der Schwachstelle beschäftigen, beginnen wir mit einer Beschreibung des Produkts selbst.

Der Auto Configuration Server

Axiros beschreibt das Produkt dabei als weltweit eingesetzte „herstellerunabhängige Geräteprovisionierungssoftware“ für Customer Premise Equipment (CPE) CPEs sind Modems, Router oder ähnliche Geräte, die […]

Azure Arc – Part 3 – General Security Considerations

Azure Arc is Microsoft’s solution to allow customers to manage on-premises resources (servers and the likes) using Azure Resource Manager, i.e. the Azure Portal, CLI and the Azure PowerShell module. It basically enables on-premise server management in a way that it feels like you’re administrating an Azure Virtual Machine instead of an on-premises server. Note that Azure Arc supports Windows and Linux, but this blog series will only cover aspects of Windows machines.

This post is part of a blog series covering the security implications of an Azure Arc deployment. The first part is a technical deep-dive into the possibilities of an attacker who gained access to the machine itself, and which implications that has for the Cloud environment. The second part of the series […]

Azure Arc – Part 2 – Escalation from Cloud to On-Premises

Azure Arc is Microsoft’s solution to allow customers to manage on-premises resources (servers and the likes) using Azure Resource Manager, i.e. the Azure Portal, CLI and the Azure PowerShell module. It basically enables on-premise server management in a way that it feels like you’re administrating an Azure Virtual Machine instead of an on-premises server. Note that Azure Arc supports Windows and Linux, but this blog series will only cover aspects of Windows machines.

This post is part of a blog series covering the security implications of an Azure Arc deployment. The first part is a technical deep-dive into the possibilities of an attacker who gained access to the machine itself, and which implications that has for the Cloud environment. This second part of the series deals […]

Red Team Assessment

Penetrationstest

Trainings & Workshops

Deutsch

BLEIBEN SIE AUF DEM LAUFENDEN