Pentest, Schwachstellenscan oder Red Teaming, wer blickt da noch durch?
In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Andreas Krüger, Gründer und Geschäftsführer von Laokoon SecurITy, über ein Thema, bei dem in der Praxis ständig Begriffe durcheinandergeworfen werden: Penetrationstests, und warum gerade im OT- und Hardware-Umfeld vieles anders läuft als in der klassischen IT. Andreas kommt selbst aus dem Bundeswehr-Umfeld, hat dort das Hacken von der Pike auf gelernt und betreibt heute ein eigenes Labor für Hardware- und OT-Pentests.
Zum Einstieg räumt Andreas mit dem „bunten Blumenstrauß" aus Pentest, Schwachstellenscan, Red Teaming und Hardware-Hacking auf. Sein Bild dafür ist eine Pyramide: Sie beginnt unten bei der konzeptionellen Absicherung, also klaren Dokumenten, Prozessen und einem sauberen Asset-Management. Darauf folgen der breit angelegte Schwachstellenscan, der nur bereits bekannte Muster findet, dann der fokussierte Pentest, der bewusst die Angreiferperspektive einnimmt und auch unbekannte Lücken sucht, und schließlich das Red Teaming, das eher Prozesse prüft und im besten Fall als Purple Teaming gemeinsam mit dem Verteidiger-Team läuft. Seine klare Botschaft an Unternehmen: Überspringt keine Stufe der Pyramide, und beginnt mit dem Fundament statt mit der spektakulären Übung.
Besonders ehrlich wird das Gespräch beim Unterschied zwischen IT und OT. Ein OT-Pentest ist für Andreas eine „Operation am offenen Herzen": Man kann nicht einfach einen automatisierten Scanner über eine laufende Produktionsanlage jagen, sondern braucht echtes Prozessverständnis, Referenz- oder Laborsysteme und oft auch den Blick auf physische Sicherheit und Social Engineering. Genau hier sieht er ein Marktproblem: Immer mehr IT-Beratungen drängen ohne echte Expertise in den OT-Markt und machen mit „grünen Häkchen" den Preis kaputt. Wie man einen wirklich kompetenten Anbieter erkennt, woran man Scharlatane entlarvt und warum Pentests, die aus Compliance-Gründen unbedingt „grün" sein müssen, das eigentliche Ziel sabotieren, diskutieren die drei sehr offen.
Im Gespräch geht es außerdem um:
- Den Unterschied zwischen Schwachstellenscan, Pentest, Red Teaming und Hardware-Hacking, ohne Buzzword-Nebel
- Warum Asset-Management und die kritischen Pfade der Ausgangspunkt jedes sinnvollen Tests sind
- Warum ein OT-Pentest „Operation am offenen Herzen" ist und auf Referenz- statt Produktionssystemen gehört
- Wie physische Sicherheit, Social Engineering und sogar Drohnen ins Spiel kommen
- Woran man einen seriösen Anbieter erkennt, und warum manche Beratungen den OT-Markt kaputtmachen
- Warum Compliance-getriebene Pentests, die „grün" sein müssen, kontraproduktiv sind
- Wie oft man wirklich testen sollte, mindestens jährlich und nach jeder großen Änderung, nicht alle drei Jahre
- Welche Rolle KI im Pentesting spielt, stark beim Report und der Ausbildung, riskant als Ersatz für echtes Verständnis
- Warum „Prompt Engineering" kein Pentest ist und Leidensfähigkeit zum Handwerk gehört
- Hardware als Nischenmarkt: offene Debug-Schnittstellen, Seitenkanalangriffe und Firmware als Goldgrube
- Die Anekdote mit dem Computerspiel auf dem Geräte-Display, das den Hardware-Zugriff beweisen sollte
- Lieferketten und digitale Souveränität: zugelieferte Chips, versteckte Menüs und Europas blinde Flecken
- Einsteiger-Tipps für Studierende: erst die Basics verstehen (TCP/IP, Protokolle), dann Plattformen wie Capture the Flag
Eine sehr praxisnahe Folge für IT- und OT-Verantwortliche, Sicherheitsbeauftragte, Hersteller und alle, die wissen wollen, was ein Pentest wirklich leistet, und die nicht erst im Ernstfall merken wollen, dass „Häkchen grün" eben nicht „sicher" bedeutet.
____________________________________________
👤 Mehr Informationen
Andreas Krüger - LinkedIn Profil
____________________________________________
🎧 Reinschauen lohnt sich!
🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache
🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority
🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber
Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.
____________________________________________
Du findest mich auf folgenden Social Media Kanälen:
📸 Instagram: cybersec_ist_chefsache
🕺 TikTok: cybersec_ist_chefsache
🤝 LinkedIn - Nico: nicofreitag
🤝 LinkedIn - Ann-Katrin: annkatrin
📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache
____________________________________________
Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.
