Verborgene Cyber-Risiken: Fünf Praxisfälle aus Penetrationstests

Wer wissen möchte, wie robust die unternehmenseigene IT-Sicherheit ist, kommt an einem Penetrationstest nicht vorbei. Dabei simulieren die Offensive-Security-Experten der G DATA Advanced Analytics einen echten Angriff und prüfen Systeme gezielt auf Schwachstellen, Fehlkonfigurationen und Einfallstore. Ob interne oder externe IT, Webanwendung, API oder KI-Tool – jede Umgebung erfordert individuelle Tests. Die Ergebnisse bilden eine wichtige Basis, um das IT-Sicherheitsmanagement im Unternehmen zu verbessern und bestehende Lücken zu schließen. Dabei erleben die Security Fachleute manche Überraschung. Fünf kuriose Lücken hat Alexander Höhler, Head of Offensive Security Teams bei der
G DATA Advanced Analytics, in einem Webinar vorgestellt. Hier fassen wir die wichtigsten Erkenntnisse zusammen und erklären, was alles geht und was alles im Verborgenen schlummert. Denn jede dieser Lücken birgt eine wertvolle Lektion, von der jedes Unternehmen profitieren kann.

Bei einem Energieversorger sollte die saubere Trennung der Netzwerke für Strom, Wasser, Gas, Wärme und vier weitere Bereiche überprüft werden. Solche Segmentierungen verhindern die Ausbreitung eines Angriffs. Während des Tests stellten unsere Experten fest, dass in jedem dieser eigentlich isolierten Netze ein einziger Rechner erreichbar war. Dieser PC war über acht separate Anschlüsse mit allen kritischen Bereichen verbunden und diente als Bereitschafts-PC für den Notfalleinsatz.

Aus Bequemlichkeit für den Ernstfall haben die Verantwortlichen ein erhebliches Risiko in Kauf genommen. Denn das Passwort für den Test-Account auf dem Bereitschafts-PC lautete schlicht „Test“. Damit war der Weg frei, um sich von einem Netz in alle anderen zu bewegen. Auf dem Rechner selbst waren zudem alle weiteren Zugangsdaten für die Sicherheitskomponenten wie die zentrale Firewall unverschlüsselt im Browser gespeichert. Hinzu kam, dass die Firewall seit mehreren Jahren nicht mehr auf dem aktuellen Stand war und ihr administratives Interface aus dem Internet erreichbar war. Dies ist ein klassisches Beispiel für eine „Schatten-IT“: eine Infrastruktur, die an den offiziellen IT-Prozessen vorbei betrieben wird

Dieser Fall zeigt, dass rein dokumentenbasierte Sicherheitsprüfungen oft nicht die gelebte Realität abbilden. Die IT-Verantwortlichen des Unternehmens waren von der Einhaltung der Richtlinien überzeugt, wurden aber von der Fachabteilung unbewusst umgangen. Um solche Probleme zu vermeiden, sind regelmäßige technische Überprüfungen unerlässlich. Eine vollständige Inventarisierung aller Systeme und klare Prozesse helfen dabei, solche Insellösungen zu identifizieren und zu integrieren.

Bei einem externen Penetrationstest fiel eine Webanwendung auf, die für die Logistiksteuerung genutzt wurde. Durch eine einfache Manipulation der Webadresse war eine sogenannte Remote Code Execution möglich. Diese ermöglichte die vollständige Kontrolle über den Server, auf dem die Anwendung lief. Besonders kritisch: Diese Software wird von einem Drittanbieter entwickelt und bei zahlreichen großen Logistikunternehmen in Europa eingesetzt. Angreifer hätten sensible Transportdaten beispielsweise von Regierungsorganisationen einsehen oder manipulieren können.

Der Hersteller der Software wirbt mit hohen Sicherheitsstandards, doch die Realität sah anders aus. Die Anwendung nutzte veraltete Programmbibliotheken, was selbst ein einfacher automatisierter Scan erkannt hätte. Trotz wiederholter Kontaktaufnahme durch G DATA und die zuständige nationale Behörde (CERT) reagierte der Hersteller monatelang nicht, um die Lücke für alle Kunden zu schließen. Dies verdeutlicht das erhebliche Risiko in der digitalen Lieferkette.

Verantwortliche sollten sich nicht allein auf die Zusicherungen ihrer Dienstleister und Softwarehersteller verlassen. Hilfreich ist es, kritische Anwendungen, die sensible Daten verarbeiten, unabhängig prüfen zu lassen. Die koordinierte Veröffentlichung von Schwachstellen (Public Disclosure) durch Security-Fachleute ist zudem ein legitimes Mittel, um Hersteller zum Handeln zu bewegen und die Sicherheit für alle zu verbessern. Dies stärkt die Resilienz der gesamten Branche, nicht nur der eigenen Organisation.

Bei einem großen Industrieunternehmen erlangten die Tester in nur 20 Minuten die Kontrolle über die gesamte IT-Infrastruktur. Der Grund war keine ausgeklügelte Cyberattacke, sondern eine Reihe von fundamentalen Mängeln in der IT-Hygiene. Denn unter 150 Konten, die ihren eigenen Benutzernamen als Passwort verwendeten, waren vier Domain-Administratoren, also Inhaber der „Generalschlüssel“ für das gesamte Active Directory. Weitere Passwörter waren ungeschützt in Skripten und Textdateien auf frei zugänglichen Netzlaufwerken zu finden.

Dieses Szenario zeigt eindrücklich, wie sich über Jahre vernachlässigte Sicherheitsgrundlagen zu einem massiven Risiko auftürmen können. Der Anstoß für diesen Penetrationstest kam aus dem direkten Umfeld der Geschäftsführung: Denn ein Kollege aus einem benachbarten Unternehmen wurde Opfer eines Verschlüsselungsangriffs, was die Bedrohung für die eigene Organisation unmittelbar greifbar machte.

Es ist nie zu spät, die Grundlagen der IT-Sicherheit konsequent umzusetzen. Ein proaktiver Test durch einen externen Partner bietet eine realistische Einschätzung der eigenen Widerstandsfähigkeit. Es ist besser, wenn Pentester die Lücken finden und eine Rechnung stellen, als dass ein Angreifer eine Bitcoin-Adresse für eine Lösegeldzahlung hinterlässt.

Im Rahmen eines physischen Penetrationstests war es das Ziel, unbemerkt in die Gebäude eines Unternehmens einzudringen. Während der Zugang zu den Industriehallen durch selbstsicheres Auftreten gelang, wirkte das moderne Laborgebäude zunächst gut gesichert. Die entscheidende Lücke war jedoch keine technische, sondern eine menschliche: Ein einfacher Farbeimer, der aufgrund von Handwerkerarbeiten eine Seitentür offenhielt, ermöglichte den Zutritt.

Einmal im Gebäude, stellte niemand mehr die Anwesenheit der Tester infrage. Im Gegenteil: Eine hilfsbereite Mitarbeiterin führte sie in einen Besprechungsraum, wo das Passwort für den Computer praktischerweise unter der Tastatur notiert war. Die offene und freundliche Unternehmenskultur wurde hier unbeabsichtigt zu einem systemischen Problem.

Technische Zugangskontrollen sind wichtig, doch sie werden wirkungslos, wenn das Sicherheitsbewusstsein in der Belegschaft fehlt. Es geht nicht darum, eine Kultur des Misstrauens zu etablieren, sondern darum, durch regelmäßige Schulungen und Sensibilisierung eine positive Sicherheitskultur zu fördern, in der alle Angestellten aufmerksam sind und sich als Teil der ganzheitlichen Cyber-Abwehr verstehen.

Eine Webanwendung offenbarte eine besonders subtile Schwachstelle. Selbst bei der Eingabe eines falschen Passworts lieferte das System im Hintergrund einen gültigen digitalen „Schlüssel“ (Authentifizierungstoken) zurück. Dieser gehörte jeweils dem Benutzerkonto, das sich zuletzt erfolgreich angemeldet hatte.

Die G DATA Experten entwickelten ein Skript, das wiederholt falsche Anmeldeversuche durchführte und die zurückgegebenen Tokens sammelte. Nach kurzer Zeit erhielten sie auf diese Weise einen Token mit Administratorrechten und hatten vollen Zugriff auf das Kunden-System. Diese Art von Logikfehler übersehen automatisierte Scanner oft, da die technische Antwort des Servers auf den ersten Blick korrekt erscheint. Die Entwickler hatten sogar versucht, die Antworten zu vereinheitlichen, um keine Rückschlüsse auf die Gültigkeit von Benutzernamen zuzulassen. Und schufen dabei unbeabsichtigt eine noch größere Lücke.

Automatisierte Sicherheitstools sind ein wichtiger Baustein jeder Cybersecurity Strategie, aber sie sind kein Allheilmittel. Sie können die menschliche Neugier, die Erfahrung und die Kreativität eines erfahrenen Penetration Testers nicht ersetzen. Gerade bei der Aufdeckung von komplexen Logikfehlern dient der Mensch als unverzichtbarer Sparringspartner für die Technik. Regelmäßige, manuelle Tests durch Experten sind daher entscheidend, um auch jene Schwachstellen zu finden, die im Verborgenen schlummern.

Die fünf Praxisfälle zeigen: Die größten Cyber-Risiken entstehen nicht durch hochkomplexe Angriffstechniken, sondern durch vernachlässigte Grundlagen. Schwache Passwörter, fehlende Segmentierung, ungeprüfte Drittanbieter oder mangelndes Sicherheitsbewusstsein schaffen Einfallstore, die Angreifer gezielt ausnutzen.

Entscheidend ist dabei die Lücke zwischen Sicherheitskonzept und gelebter Realität. Richtlinien und automatisierte Tools sind wichtig, reichen allein jedoch nicht aus. Erst praxisnahe Tests und geschulte Aufmerksamkeit im Alltag machen sichtbar, was wirklich im Verborgenen schlummert.

Wer Cybersecurity ernst nimmt, beginnt bei einem soliden Fundament und lässt dieses regelmäßig überprüfen. Denn es ist immer besser, Schwachstellen kontrolliert zu schließen, als sie von Angreifern entdecken zu lassen.