Thought Leadership
Viele Unternehmen haben Penetration Testing fest in ihrer Sicherheitsstrategie verankert. Das ist eine gute Basis, allerdings greift diese Maßnahme meist zu kurz.
Was sie für einen holistischen und realitätsgebundenen Ansatz zum Prüfen ihrer Cybersecurity-Maßnahmen brauchen, sind Testszenarien, die sich wie echte Cyberattacken anfühlen.
Die anhaltend hohe Bedrohungslage im Cyberspace zwingt Unternehmen dazu, ihre IT-Sicherheit auf den Prüfstand zu stellen. Und zwar konstant. Einige setzen auf Standardmaßnahmen und prüfen aus Verteidigersicht, welche Sicherheitstechnologien und -prozesse Sinn ergeben. Findigere Unternehmen setzen auf sogenanntes Pentesting, kurz für Penetration Testing. Gemeint sind simulierte Angriffe von White-Hat-Hackern oder IT-Sicherheitsdienstleistern, die reale Cyberangriffsszenarien möglichst umfangreich nachbilden.
Das Problem ist allerdings, dass diese Penetrationstests häufig nicht die gesamte Komplexität und Anpassungsfähigkeit eines echten Hackerkollektivs erfassen und abbilden können. Sie finden in der Regel nämlich als kontrollierte, klar abgegrenzte Übungen statt, die gezielt einzelne Aspekte der Sicherheitsinfrastruktur prüfen. Reale Angreifer hingegen agieren unvorhersehbar, sind anpassungsfähig und halten sich an keine Spielregeln.
Das pure Chaos echter Hacker evozieren
Echte Cyberkriminelle nutzen zum Beispiel häufig übersehene Systeme, operative Schwächen und weitere brandgefährliche Angriffsvektoren aus, die herkömmliche Penetrationstests gar nicht bedenken. Sie betreiben zudem Social Engineering, das Pentester ebenfalls in kaum einer herkömmlichen Angriffssimulation nach realen Vorgaben nachbilden: Unternehmen gehen selten davon aus, dass ihre Mitarbeitenden einem Betrug etwa durch Social-Engineering leicht zum Opfer fallen. In Bezug auf Phishing-Mails mag das noch so sein, doch Hacker sind heute viel einfallsreicher und „näher am Menschen“.
Es gibt durchaus Möglichkeiten, echt wirkende Service-Telefonnummern von IT-Dienstleistern zu generieren. Ein Anruf von einer solchen Nummer in Verbindung mit einer dringlich klingenden und mit Hilfe von KI absolut echt aussehenden Mail von einer ebenfalls legitim scheinenden Mail-Adresse erhöht den Druck soweit, dass einige Mitarbeitende sich unbewusst zu Komplizen der Cyberkriminellen machen. Zudem führen viele Unternehmen Penetrationstests vor allem durch, um ihre Compliance-Vorgaben zu erfüllen, und sehen sie nicht als integralen Bestandteil ihrer Sicherheitsstrategie. Das kann dazu führen, dass die Verantwortlichen die Cybersecurity-Lage oberflächlich bewerten und zu schnell ein grünes Häkchen an die Prüfung setzen.
Pentesting allein reicht nicht. Unternehmen müssen es mit Threat Intelligence vereinen, um volle Sichtbarkeit über ihre Cyber Defence herzustellen.
Craig Jones, Ontinue AG
All das unterstreicht, dass Unternehmen dringlich ihre Verteidigungsstrategien gegen Cyberattacken ausweiten müssen. Statt also ihre IT-Sicherheitsinfrastruktur basierend auf Annahmen zu testen, die ausschließlich aus Standard-Testverfahren bekannt sind, müssen sie sich auf aktuelle, reale Bedrohungsszenarien und von Fachexperten tatsächlich beobachtete Taktiken, Techniken und Prozesse (kurz: TTPs) vorbereiten. Nur wer diese Lücke schließt und die Vorgehensweisen echter Hackerkollektive als Testszenario evoziert, vermag die Widerstandsfähigkeit und Resilienz seines Unternehmens zu stärken. Und nur so ist sichergestellt, dass die Verteidigungsmaßnahmen mit der sich ständig weiterentwickelnden Bedrohungslage Schritt halten können.
Das Ziel ist der Weg
Für Unternehmen ist die Auswahl des primären Testziels von zentraler Bedeutung. Eine umfassende Sicherheitsbewertung der gesamten IT- oder Netzwerkinfrastruktur, die vom klassischen Szenario eines bereits im Vorfeld kompromittierten Endgeräts ausgeht, kann beispielsweise leicht die Stärken eines hochspezifischen Cybersecurity-Tools übersehen, das eben auf die Verhinderung des Erstzugriffs durch Hacker ausgerichtet ist.
Auch Testszenarien für reine „Inside-the-Network“-Angriffe haben Schwächen: Bei ihnen wird davon ausgegangen, dass der Hacker sich bereits im Unternehmensnetz bewegen kann, zum Beispiel weil er durch Phishing an reguläre Zugangsdaten gelangt ist und nun die Rechte des gekaperten Accounts ausnutzen oder ausbauen möchte. Diese Simulationen ignorieren aller Wahrscheinlichkeit nach die Vorteile einer vorhandenen Lösung für die Analyse der Endpoint-Telemetrie. Und Tests, die sich ausschließlich auf die sogenannten Kronjuwelen, also unternehmenskritische Systeme konzentrieren, liefern zwar wertvolle Erkenntnisse, sind aber häufig zu eng gefasst. All diese Ansätze können theoretisch funktionieren, bleiben aber hinter einer holistischeren Betrachtungsweise zurück.
Ein weiterer Punkt, den viele Unternehmen übersehen, ist die Weiterentwicklung ihrer Testmethoden. Wer ausschließlich bekannte und standardisierte Penetrationstests wiederholt, lebt gefährlich und übersieht allzu leicht Schwachstellen in der Verteidigung. Hinzu kommt, dass selbst langjährige Expertinnen und Experten das Thema Sicherheitstests falsch angehen. Penetration Testing bedeutet nicht nur zu prüfen, ob die eingesetzten Sicherheits-Tools und die Verteidiger Angriffe überhaupt erkennen.
Es sollte für die Verantwortlichen vor allem auch darum gehen, wie die Cyberattacke stattfinden konnte. Nur dann können sie Angriffswege von Anfang an einschränken. Auch dafür ist es essenziell, dass Unternehmen möglichst realitätsgetreue Angriffsszenarien und nicht nur Standardtests durchführen. Bestenfalls zeigen Penetrationstests daher den strategisch wichtigsten Handlungsbedarf auf und geben Hinweise, ob Unternehmen in ihre Infrastruktur investieren, neue präventive Kontrollmechanismen einführen, Erkennungsregeln definieren oder eine Kombination aus diesen Maßnahmen ergreifen müssen.
Awareness schaffen: Aktuelle und reale Angriffsarten
Die Frage ist nun natürlich, welche realen Angriffsszenarien Cybersecurity-Teams aktuell umtreiben. Das Cyber Defence Center von Ontinue ist für den aktuellen Threat Intelligence Report genau dieser Frage auf den Grund gegangen. Die Analyse von echten Sicherheitsvorfällen und regelmäßigen Penetrationstests hat ergeben, dass über 70 Prozent der Phishing-Anhänge im ersten Halbjahr 2025 im SVG- oder IMG-Format vorlagen: Ein klarer Hinweis darauf, dass Hacker den bis dato herkömmlichen Weg verlassen haben, kompromittierte Makros in Microsoft-Office-Dokumenten zu verstecken.
Etwa 20 Prozent der untersuchten Vorfälle zeigten Refresh-Token-Replays, also die Wiederverwendung von Sitzungs-Tokens, mit der Hacker Multi-Faktor-Authentifizierungen effektiv umgehen können. Darauf sollten IT-Sicherheitsteams verstärkt achten. Da Angriffe auf das Azure Active Directory (Azure AD) ebenfalls zunehmen, sollten Unternehmen entsprechende App-Registrierungen, Secrets und privilegierte Rollen kontinuierlich überwachen. Auch die Azure Control Plane liegt im Fokus der Hacker, insbesondere Funktionen wie RunCommand, Data Factory und der Key Vault waren betroffen. Unternehmen sollten daher Alerts definieren, die bei einer ungewöhnlichen Nutzung dieser Features Alarm schlagen.
Reale Angreifer agieren – anders als Pentester – ohne Regeln, Zeitlimits oder Scope-Beschränkungen und nutzen oft übersehene Einfallstore und Angriffsvektoren. Um sich effektiv zu verteidigen, müssen Unternehmen ihre Sicherheitsstrategie auf aktuelle, reale Angriffsmethoden ausrichten, die Ergebnisse entsprechender Pentests als Ausgangspunkt nutzen und kontinuierlich mit Einblicken aus echten Sicherheitsvorfällen abgleichen. Nur so lässt sich die Verweildauer von Angreifern im Unternehmensnetzwerk reduzieren und Persistenz – etwa durch Backdoors – frühzeitig erkennen. Auch Cyberattacken können Unternehmen auf diese Weise unterbrechen, bevor Hacker sie monetarisieren. Pentesting allein stellt somit die Verteidigungsfähigkeiten auf den Prüfstand, Threat Intelligence gibt eine Übersicht über die Resilienz des Unternehmens und beides zusammen schafft eine wirksame, realitätsnahe Verteidigungsstrategie.
