Pentest, Schwachstellenscan oder Red Teaming, wer blickt da noch durch?

In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico
und Ann-Kathrin mit Andreas Krüger, Gründer und Geschäftsführer
von Laokoon SecurITy, über ein Thema, bei dem in der Praxis
ständig Begriffe durcheinandergeworfen werden: Penetrationstests,
und warum gerade im OT- und Hardware-Umfeld vieles anders läuft
als in der klassischen IT. Andreas kommt selbst aus dem
Bundeswehr-Umfeld, hat dort das Hacken von der Pike auf gelernt
und betreibt heute ein eigenes Labor für Hardware- und
OT-Pentests.


Zum Einstieg räumt Andreas mit dem „bunten Blumenstrauß" aus
Pentest, Schwachstellenscan, Red Teaming und Hardware-Hacking
auf. Sein Bild dafür ist eine Pyramide: Sie beginnt unten bei der
konzeptionellen Absicherung, also klaren Dokumenten, Prozessen
und einem sauberen Asset-Management. Darauf folgen der breit
angelegte Schwachstellenscan, der nur bereits bekannte Muster
findet, dann der fokussierte Pentest, der bewusst die
Angreiferperspektive einnimmt und auch unbekannte Lücken sucht,
und schließlich das Red Teaming, das eher Prozesse prüft und im
besten Fall als Purple Teaming gemeinsam mit dem Verteidiger-Team
läuft. Seine klare Botschaft an Unternehmen: Überspringt keine
Stufe der Pyramide, und beginnt mit dem Fundament statt mit der
spektakulären Übung.


Besonders ehrlich wird das Gespräch beim Unterschied zwischen IT
und OT. Ein OT-Pentest ist für Andreas eine „Operation am offenen
Herzen": Man kann nicht einfach einen automatisierten Scanner
über eine laufende Produktionsanlage jagen, sondern braucht
echtes Prozessverständnis, Referenz- oder Laborsysteme und oft
auch den Blick auf physische Sicherheit und Social Engineering.
Genau hier sieht er ein Marktproblem: Immer mehr IT-Beratungen
drängen ohne echte Expertise in den OT-Markt und machen mit
„grünen Häkchen" den Preis kaputt. Wie man einen wirklich
kompetenten Anbieter erkennt, woran man Scharlatane entlarvt und
warum Pentests, die aus Compliance-Gründen unbedingt „grün" sein
müssen, das eigentliche Ziel sabotieren, diskutieren die drei
sehr offen.


Im Gespräch geht es außerdem um:


Den Unterschied zwischen Schwachstellenscan, Pentest, Red
Teaming und Hardware-Hacking, ohne Buzzword-Nebel

Warum Asset-Management und die kritischen Pfade der
Ausgangspunkt jedes sinnvollen Tests sind

Warum ein OT-Pentest „Operation am offenen Herzen" ist und
auf Referenz- statt Produktionssystemen gehört

Wie physische Sicherheit, Social Engineering und sogar
Drohnen ins Spiel kommen

Woran man einen seriösen Anbieter erkennt, und warum manche
Beratungen den OT-Markt kaputtmachen

Warum Compliance-getriebene Pentests, die „grün" sein müssen,
kontraproduktiv sind

Wie oft man wirklich testen sollte, mindestens jährlich und
nach jeder großen Änderung, nicht alle drei Jahre

Welche Rolle KI im Pentesting spielt, stark beim Report und
der Ausbildung, riskant als Ersatz für echtes Verständnis

Warum „Prompt Engineering" kein Pentest ist und
Leidensfähigkeit zum Handwerk gehört

Hardware als Nischenmarkt: offene Debug-Schnittstellen,
Seitenkanalangriffe und Firmware als Goldgrube

Die Anekdote mit dem Computerspiel auf dem Geräte-Display,
das den Hardware-Zugriff beweisen sollte

Lieferketten und digitale Souveränität: zugelieferte Chips,
versteckte Menüs und Europas blinde Flecken

Einsteiger-Tipps für Studierende: erst die Basics verstehen
(TCP/IP, Protokolle), dann Plattformen wie Capture the Flag



Eine sehr praxisnahe Folge für IT- und OT-Verantwortliche,
Sicherheitsbeauftragte, Hersteller und alle, die wissen wollen,
was ein Pentest wirklich leistet, und die nicht erst im Ernstfall
merken wollen, dass „Häkchen grün" eben nicht „sicher" bedeutet.


____________________________________________


Mehr Informationen


Andreas Krüger - LinkedIn Profil


____________________________________________


Reinschauen lohnt sich!


Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache


Podcast - Cybersecurity shall be C-Level priority:
@cybersec_clevel_priority


Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber


Schließe dich uns an, um tiefer in die Welt der digitalen
Sicherheit einzutauchen.


____________________________________________


Du findest mich auf folgenden Social Media Kanälen:


Instagram: cybersec_ist_chefsache


TikTok: cybersec_ist_chefsache


LinkedIn - Nico: nicofreitag


LinkedIn - Ann-Katrin: annkatrin


Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache


____________________________________________


Deine Reise in die Welt der Cyber Security startet hier – ich
freue uns darauf, mich mit dir zu vernetzen.