Moderne Penetrationstests beschränken sich nicht mehr auf das Abhaken von Compliance-Kriterien oder die jährliche Durchführung eines Schwachstellenscans. Angreifer sind agil, nutzen manuelle Expertise und haben die Geduld, sich durch Ihre Umgebung zu bewegen, bis sie an sensible Daten gelangen. Dennoch verwenden viel zu viele Penetrationstests immer noch vorgefertigte Berichte und kopieren Scannerergebnisse, die kaum mehr als die Spitze des Eisbergs darstellen. SubRosa lehnt diesen veralteten Ansatz ab. Unsere Methodik spiegelt die Vorgehensweise realer Angreifer wider – wir kombinieren menschliche Kreativität, modernste Penetrationstest-Tools und kontextbezogene Bedrohungsmodellierung, um Schwachstellen aufzudecken, die anderen verborgen bleiben. Wir analysieren den Umfang anhand des Geschäftsrisikos, kartieren Ihre tatsächliche Angriffsfläche, nutzen kritische Ketten aus und liefern Berichte, die die Behebung der Schwachstellen ermöglichen. Im Folgenden finden Sie eine transparente Aufschlüsselung unseres fünfstufigen Frameworks für Penetrationstests, das maximale Wirkung ohne Spekulationen garantiert.
Schritt eins: Abgrenzung basierend auf dem Risiko – nicht auf Vorlagen
Ein aussagekräftiger Penetrationstest beginnt lange bevor das erste Datenpaket Ihre Firewall erreicht. Anstatt Kunden in vordefinierte Kategorien wie „Bronze“, „Silber“ oder „Gold“ einzuteilen, startet SubRosa mit einem Discovery-Call, der sich auf die Bedrohungsmodellierung und nicht auf eine einfache Bestandsaufnahme der Assets konzentriert.
Wir stellen gezielte Fragen: Welche Anwendungen oder vernetzten Systeme generieren den Großteil Ihres Umsatzes? Wo in Ihrer Architektur befindet sich sensibles geistiges Eigentum? Wie wird die Rechteverwaltung in den verschiedenen Geschäftsbereichen geregelt? Welche Drittanbieterintegrationen könnten als Hintertüren dienen? Diese Gespräche verdeutlichen die Anreize von Angreifern und ermöglichen es uns, Ziele zu priorisieren und Taktiken anzupassen.
Individuelles Verlobungsdesign
Unsere Ingenieure erstellen eine Einsatzmatrix, die wahrscheinliche Angreifertypen – Ransomware-Gruppen, Insider-Bedrohungen, Advanced Persistent Threats (APT) – abbildet und diese Ihren wichtigsten Assets gegenüberstellt. Die Matrix dient als Grundlage für eine risikobasierte Abgrenzung : beispielsweise eine On-Premise-Active-Directory-Bewertung für einen Hersteller mit älteren OT-Geräten, ein detaillierter Penetrationstest von Webanwendungen für einen SaaS-Anbieter, der personenbezogene Daten verarbeitet, oder ein kombinierter Cloud-Penetrationstest für ein Unternehmen, das Workloads in eine Multi-Cloud-Umgebung migriert.
Jenseits von Netzwerkkarten
Herkömmliche Penetrationstests konzentrieren sich oft auf IP-Adressbereiche, Portanzahlen oder Subnetzdiagramme. Netzwerkdiagramme sind zwar wichtig, vernachlässigen aber entscheidende Kontextfaktoren wie Geschäftsprozesse, Benutzerrollen und Datenklassifizierung. Der Scoping-Prozess von SubRosa vereint technische und betriebliche Gegebenheiten. Wir empfehlen beispielsweise, Ihre interne DevOps-Pipeline per Red Teaming zu testen, wenn diese direkt in die Produktionsumgebung eingebunden ist, oder eine Phishing-Angriffskette mit anschließender Rechteausweitung in der Cloud zu simulieren, da Ihre Mitarbeiter auf einen Single-Sign-On-Anbieter angewiesen sind.
Gemeinsame Bedrohungsworkshops
Bei ausgereiften Programmen führen wir gemeinsame Workshops mit Sicherheitsarchitekten, DevOps-Leitern und Compliance-Beauftragten durch, um potenzielle Angriffsszenarien zu visualisieren. Das Erstellen von Whiteboards mit vermuteten Angriffsketten hilft beiden Seiten, sich vorzustellen, wie ein Angreifer CI/CD-Systeme kompromittieren, Kundendatenbanken exfiltrieren oder Hypervisoren mit Ransomware kompromittieren könnte. Dieses gemeinsame Verständnis präzisiert die Testziele und stellt sicher, dass der abschließende Penetrationstestbericht bei allen Beteiligten – von SOC-Analysten bis hin zur Geschäftsleitung – Anklang findet.
Ergebnis: Risikoorientierte Leistungsbeschreibung
Das Ergebnis von Schritt 1 ist eine transparente Leistungsbeschreibung, die Zielsysteme, Ziele, Vorgehensweise und Erfolgskriterien detailliert auflistet. Kunden wissen genau, was getestet wird, welche Penetrationstest-Methoden zum Einsatz kommen (OWASP, PTES, NIST SP 800-115) und wie der Erfolg gemessen wird (Kompromittierung der Domänenadministratorrechte, unautorisierte Code-Einschleusung, geschützter Datenabfluss). Keine Spekulationen, keine versteckten Ausweitungen des Projektumfangs.
Schritt zwei: Echte Aufklärung, Kartierung der realen Angriffsfläche
Sobald das Ziel festgelegt ist, beginnt die Aufklärungsphase – in der Eliteangreifer den größten Teil ihrer Zeit verbringen.
Passive und aktive Aufklärung
Unser Team nutzt Open-Source-Intelligence (OSINT), um die öffentliche Präsenz Ihres Unternehmens zu analysieren: durchgesickerte Zugangsdaten auf Paste-Sites, offengelegte S3-Buckets, vergessene Subdomains und Entwickler-GitHub-Repos mit fest codierten API-Schlüsseln. Parallel dazu führen wir aktive Recherchen durch – Service-Enumeration, SSL/TLS-Fingerprinting und Cloud-Asset-Erkennung in AWS, Azure und Google Cloud. Durch die Korrelation passiver und aktiver Ergebnisse erstellen wir eine dynamische Karte aller erreichbaren und angreifbaren Sicherheitslücken.
Metadaten & Fehlkonfigurationen – Goldgruben
Metadatenlecks liefern Angreifern oft Schlüssel auf dem Silbertablett. PDF-Dokumente auf öffentlichen Marketing-Websites können interne Benutzernamen enthalten; DNS-TXT-Einträge können Ursprungs-IPs hinter einem CDN offenlegen. Unsere Skripte automatisieren die Extraktion solcher wertvoller Informationen, während menschliche Analysten deren Bedeutung einordnen. Beispielsweise könnte ein Marketing-PDF mit dem Eintrag „DEV-SQL01“ Hinweise auf Namenskonventionen liefern, die wir in Brute-Force- oder Social-Engineering-Phasen ausnutzen können.
Angriffsflächenerkennung als Grundlage
Manche Anbieter überstürzen die Aufklärung, um die Anzahl der verkauften Scans pro Quartal zu maximieren. Wir hingegen investieren im Vorfeld massiv, da eine detaillierte Bestandsaufnahme der Angriffsfläche eine intelligentere Ausnutzung ermöglicht. Fehlende Ressourcen führen später zu Fehlalarmen. Unser Ergebnis der Aufklärung ist ein strukturierter Wissensgraph, der Domänen, IP-Adressen, Cloud-Ressourcen, Repositories, SaaS-Anwendungen von Drittanbietern und Benutzeridentitäten zu einem übersichtlichen Plan verknüpft.
Dynamische Anlagenüberwachung
Bei mehrwöchigen oder fortlaufenden Penetrationstests setzen wir auf kontinuierliches Monitoring. Wenn Ihr DevOps-Team während eines Tests einen neuen Staging-Cluster einrichtet oder einen Microservice mit Standardanmeldeinformationen bereitstellt, erkennen unsere Sensoren diese Änderung. Angreifer nutzen solche Situationen gerne aus, um Unternehmen während der Bereitstellung zu erwischen – wir auch, denn das entspricht der Realität.
Ziel: Ganzheitliche Expositionswahrnehmung
Am Ende von Schritt zwei verfügen Kunden über ein deutlich umfassenderes Verzeichnis potenzieller Sicherheitslücken als eine einfache Port-Scan-Übersicht. Sie wissen, welche veralteten VPN-Gateways noch Verbindungen akzeptieren, welche vergessenen EC2-Snapshots Klartextinformationen enthalten und wie Ihre Markendomain für Phishing-Angriffe missbraucht werden könnte. Die Aufklärung schafft die Grundlage für eine taktische Ausnutzung, die Geschäftsrisiken mit höchster Präzision aufzeigt.
Schritt drei: Taktische Ausnutzung – nicht nur Schwachstellenscans
Von Menschen geleitet, von Werkzeugen unterstützt
Penetrationstest-Tools wie Burp Suite, Nmap und BloodHound sind weiterhin unerlässlich, doch Automatisierung stößt an ihre Grenzen. Die Exploit-Phase von SubRosa vereint menschliche Kreativität mit skriptbasierter Effizienz. Während Scanner häufige CVEs erkennen, nutzen unsere Ingenieure manuell Fehlkonfigurationen aus, eskalieren Berechtigungen und bewegen sich durch hybride Netzwerke.
Risikonachweis durch Ausnutzung
Eine schwerwiegende CVE (Clinical Viable Experience) allein bedeutet nicht zwangsläufig einen geschäftlichen Schaden. Wir simulieren realistische Angriffsketten: das Extrahieren von Kerberoastable Service-Tickets, das Offline-Knacken von Hashes, das Imitieren von Service-Accounts, das Ausnutzen schwacher IAM-Richtlinien zur Übernahme kontoübergreifender Rollen und schließlich die Exfiltration sensibler Daten. Durch die vollständige Ausführung dieser Angriffsketten beweisen wir, wie theoretische Schwachstellen zu einem konkreten Risiko werden – etwas, das kein eigenständiges automatisiertes Penetrationstest-Tool garantieren kann.
Seitwärtsbewegung und Privilegienausweitung
Angenommen, der Erstzugriff erfolgt über ein Benutzerkonto mit geringen Berechtigungen. Unsere Angreifer nutzen sogenannte Living-off-the-Land Binaries (LOLBins), benutzerdefinierte C2-Frameworks und Secure Shell Relays, um sich lateral im Netzwerk zu bewegen. Credential Dumping, Token-Impersonation und Pass-the-Hash-Angriffe ermöglichen den Zugriff vom Desktop über den Domänencontroller bis zum Cloud-Administrationsportal. Wir protokollieren jeden Befehl, Hash und jedes Token, um die Vollständigkeit und Reproduzierbarkeit der Beweise zu gewährleisten.
Nutzung von Cloud- und API-Zielen
Moderne Umgebungen verschmelzen On-Premise-Lösungen mit SaaS und Microservices. Die Cloud-Native-Spezialisten von SubRosa nutzen Server-Side Request Forgery (SSRF), um auf Metadaten-Endpunkte zuzugreifen, falsch konfigurierte IAM-Rollen zu kompromittieren und so Berechtigungen zu erweitern sowie übermäßig permissive API-Endpunkte auszunutzen, um Backend-Objekte zu manipulieren. Falls Ihre CI/CD-Pipeline automatische Deployments auslöst, zeigen wir Ihnen, wie ein Angreifer Schadcode in Docker-Images einschleusen kann, die in der Produktionsumgebung bereitgestellt werden.
Verkettete Angriffe, die die Auswirkungen auf das Geschäft verdeutlichen
Eine einzelne SQL-Injection kann zwar E-Mails von Nutzern abgreifen, doch die Kombination von SQL-Injection mit dem Diebstahl von Cloud-Zugangsdaten und dem Einsatz von Ransomware birgt existenzielle Risiken. Wir dokumentieren solche verketteten Angriffe mithilfe von MITRE ATT&CK-Mappings und liefern so klare Einblicke in die Techniken der Angreifer: Erster Zugriff, Persistenz, Umgehung von Sicherheitsmaßnahmen, Zugriff auf Zugangsdaten, Entdeckung, laterale Bewegung, Datensammlung, Command-and-Control-Operationen, Datenexfiltration und Auswirkungen.
Ethische Grenzen und Sicherheitsnetze
Die Ausnutzung von Sicherheitslücken erfolgt aggressiv, aber kontrolliert. Wir holen vor potenziell störenden Aktionen wie großflächigem Passwort-Spraying oder der Massenverschlüsselung von Testdateien eine ausdrückliche Genehmigung ein. Bei Angriffen auf Produktionssysteme setzen wir datensichere Methoden ein – wir erstellen Dummy-Datensätze, schreiben Überwachungsdateien und vermeiden destruktive Befehle. Kontinuierliche Kommunikation gewährleistet einen stabilen Betrieb beim Kunden und ermöglicht gleichzeitig realistische Ergebnisse.
Am Ende von Schritt drei verfügen wir über handfeste Beweise: Screenshots von Admin-Portalen, Hinweise auf Datenexfiltration und klare Pfade, denen jeder entschlossene Angreifer morgen folgen könnte. Diese Beweise bilden die Grundlage für einen Sanierungsplan, der den Wandel vorantreibt.
Schritt vier: Berichterstattung, die tatsächlich Veränderungen bewirkt
Storytelling für Führungskräfte
Für vielbeschäftigte Führungskräfte stehen Risiken für Umsatz, Reputation und Geschäftsbetrieb im Vordergrund – nicht bloße CVE-IDs. Unsere Berichte beginnen mit einer Erläuterung, die die Ergebnisse des Penetrationstests in verständlicher Geschäftssprache darstellt: potenzielle Ausfallkosten, Folgen von Datenschutzverletzungen und Auswirkungen auf das Kundenvertrauen. Ein übersichtliches Dashboard fasst kompromittierte Systeme, die Verweildauer der Angreifer und hypothetische Schadensszenarien zusammen.
Technische Erkenntnisse für die Praxis
Sicherheitsexperten benötigen detaillierte Informationen. Jeder Schwachstelleneintrag enthält eine Beschreibung, betroffene Hosts, Proof-of-Concept-Befehle (mit anonymisierten Tokens), Screenshots, Reproduktionsschritte und Log-Referenzen. Wir ordnen jedes Problem MITRE ATT&CK, CVSS und gegebenenfalls OWASP Top Ten oder CIS Controls zu. Farbcodierte Risikobewertungen berücksichtigen die Ausnutzbarkeit, den Geschäftskontext und die Wahrscheinlichkeit des Wiederauftretens.
Risikobewertungen und Exploit-Ketten
Anstatt einzelne Schwachstellen aufzulisten, präsentieren wir Angriffsketten – wie mehrere Probleme mit geringerer Schwere zusammenwirken und kritische Auswirkungen haben. Beispielsweise führt eine Fehlkonfiguration des Cloud-Speichers (mittel) in Kombination mit einem durchgesickerten Zugriffsschlüssel (mittel) und einer schwachen Zwei-Faktor-Authentifizierung (mittel) zu einem potenziell katastrophalen Ransomware-Angriff (kritisch). Diese kettenorientierte Darstellung hilft CISOs, Budgets für die Behebung von Sicherheitslücken zu rechtfertigen.
Praktische Abhilfemaßnahmen
Jeder Befund umfasst priorisierte Schritte: Konfigurationsänderungen, Code-Patches, Segmentierungsstrategien, IAM-Härtung und Hersteller-Upgrades. Wir verlinken auf Herstellerhinweise, maßgebliche Härtungsleitfäden und, wo möglich, Open-Source-Tools zur Validierung. Falls eine Behebung stufenweise Einführungen oder Genehmigungen im Rahmen des Änderungsmanagements erfordert, beschreiben wir risikomindernde Ausgleichsmaßnahmen für die Zwischenzeit.
Artefakte der Breach-Simulation
Zur Unterstützung von Sicherheitsschulungen und der Validierung durch Purple Teams stellen wir optional anonymisierte Exploit-Skripte, redigierte Protokolldateien und Erkennungsregeln bereit. Blue Teams können Angriffe in einer Testumgebung simulieren, um die SOC-Abdeckung zu verbessern, während die IT-Abteilung Klarheit über die Patch-Sequenzen erhält.
Das Ergebnis ist keine PDF-Datei, die verstaubt. Es ist ein strategischer Plan, der auf Fakten und priorisierten Lösungsansätzen basiert und Ihre Teams in die Lage versetzt, Lücken schnell zu schließen.
Schritt Fünf: Zusammenarbeit und Unterstützung nach dem Test
Penetrationstests sind keine einseitige Angelegenheit. SubRosa integriert die Zusammenarbeit vom ersten Tag an und setzt sie auch nach Abschluss des Projekts fort, um sicherzustellen, dass die Maßnahmen zur Behebung der Schwachstellen nachhaltig sind.
Ergebnisse der Begehungssitzungen
Innerhalb einer Woche nach Berichtslieferung veranstalten wir virtuelle oder Vor-Ort-Begehungen mit separaten Teilnehmergruppen: Führungskräfte, Management und Technik. Unternehmensleiter erfahren die Auswirkungen in Bezug auf Umsatz und Markenwert; Ingenieure analysieren Sicherheitslücken und empfohlene Patches. Fragen und Antworten in Echtzeit fördern das Verständnis und beschleunigen die Akzeptanz in allen Abteilungen.
Coaching und Validierung zur Behebung von Mängeln
Wenn Ihre internen Teams praktische Unterstützung wünschen, begleiten unsere Berater die Behebung der Sicherheitslücken. Wir überprüfen gepatchte Systeme, testen Firewall-Regeln erneut und führen gezielte Exploit-Skripte aus, um die erfolgreiche Absicherung zu bestätigen. Für Cloud-Umgebungen unterstützen wir Sie bei der Überarbeitung von IAM-Richtlinien und der Implementierung von Infrastructure-as-Code-Sicherheitsvorkehrungen.
Laufende Beratung und Managed Services
Viele Kunden entscheiden sich für wiederkehrende Penetrationstests als Dienstleistung. Pakete – vierteljährliche inkrementelle Tests oder kontinuierliche Überwachung der Angriffsfläche. Andere erweitern die Zusammenarbeit durch vCISO-Beratung, SOC-as-a-Service oder Incident-Response-Verträge. Welchen Weg wir auch wählen, unsere Mission bleibt dieselbe: die Verteidigung stärken, bevor der nächste Angreifer zuschlägt.
Kennzahlen- und ROI-Tracking
Wir verschwinden nicht nach der Fehlerbehebung. SubRosa liefert wichtige Leistungsindikatoren (KPIs), die die Verbesserung des Sicherheitsstatus veranschaulichen: verkürzte Erkennungszeit von Phishing-Angriffen, reduzierter Berechtigungsaufwand und beschleunigter Patch-Zyklus. Quantifizierbare Ergebnisse helfen Sicherheitsverantwortlichen, den ROI gegenüber Vorständen und Auditoren nachzuweisen.
Abschluss
Die Philosophie von SubRosa ist einfach, aber tiefgründig: Wir denken wie ein Angreifer, handeln wie ein Berater und eliminieren Spekulationen . Wir konzentrieren uns bei unseren Tests auf reale Geschäftsrisiken, investieren die nötige Zeit, um authentische Angriffsflächen zu erfassen, nutzen Angriffsketten aus, die den Vorgehensweisen von Angreifern entsprechen, und liefern Empfehlungen, die Veränderungen fördern – nicht Angst. Unser praxisorientierter, datenbasierter Ansatz bei Penetrationstests hilft Unternehmen, über die bloße Erfüllung von Compliance-Vorgaben hinauszugehen und eine robuste Sicherheitsreife zu erreichen.
Sind Sie bereit, Ihre Schwachstellen aufzudecken, Ihre Abwehr zu stärken und einen verlässlichen Partner im Kampf gegen Cyberbedrohungen zu gewinnen? Dann sprechen wir miteinander. Vereinbaren Sie ein Beratungsgespräch mit dem Penetrationstesting-Team von SubRosa und erfahren Sie, was unsere praxisnahen Taktiken über Ihre IT-Umgebung enthüllen können – noch bevor es ein Angreifer tut.