Ein Orientierungsrahmen für CISOs, IT-Leiter und Sicherheitsverantwortliche Der Pentest, der perfekt lief – und das Red Teaming, das alles erschütterte Das Projekt galt intern als Vorzeigebeispiel. Mehrere Pentests in Folge waren sauber durchgelaufen, die Berichte lasen sich gut. Die meisten… Weiterlesen »Pentest-Reifegrad: Woran Unternehmen erkennen, ob sie bereit für ein Red Teaming sind
Welche psychologischen Prinzipien Angreifer nutzen Einblick in die Mechanismen moderner Social-Engineering-Angriffe und wie Unternehmen ihnen begegnen können Der Anruf, der harmlos beginnt Es ist später Nachmittag, das Ticketboard ist voll, das nächste Meeting drängt. Das Telefon klingelt. Am anderen Ende… Weiterlesen »Human Hacking in der Praxis
Warum Unternehmen gegenüber dem Internet viel transparenter sind als gedacht Der Angreifer, der Ihr Unternehmen kennt, ohne je einen Fuß hineingesetzt zu haben Ein Red Team sitzt in einem Besprechungsraum. Niemand ist im Unternehmensnetz. Es gibt keinen VPN-Zugang, keine internen… Weiterlesen »Externe Angriffsfläche
Warum das Management oft der blinde Fleck ist Wie Führungsentscheidungen Angriffsflächen beeinflussen und wie man im Top-Management ein realistisches Risiko-Verständnis schafft Der CEO auf der Bühne Großer Saal, warmes Licht, die Konferenz läuft auf Hochtouren. Der CEO steht auf der… Weiterlesen »Security Awareness für Führungskräfte
Warum eine schlechte Scope-Definition kostbare Erkenntnisse verhindert und welche Leitfragen zum optimalen Scope führen Der Pentest, der viel gekostet und wenig gebracht hat Das Projekt schien sauber gelaufen zu sein. Ein renommierter Dienstleister, ein ordentliches Angebot, ein klarer Zeitplan, ein… Weiterlesen »Wie Sie Ihren Pentest-Scope so definieren, dass er wirklich aussagekräftig wird
Einblick in typische versteckte Systeme und Teams sowie praktische Methoden, diese strukturiert aufzudecken Das System, das niemand auf dem Schirm hatte Im SOC läuft ein ruhiger Spätdienst. Die Dashboards sind weitgehend grün, die üblichen Alarmquellen verhalten sich unauffällig. Ein Analyst… Weiterlesen »Shadow IT sichtbar machen: Techniken, Risiken und Gegenmaßnahmen
Welche Signaturen Angreifer während der Reconnaissance hinterlassen und wie man diesen Prozess aktiv beeinflussen kann Der stille Besucher vor dem Angriff Es ist ein ruhiger Vormittag im SOC. Keine akuten Alarme, die Dashboards sind grün, die Teams arbeiten ihre Routinen… Weiterlesen »OSINT für Verteidiger: Wie man gegnerische Aufklärung erkennt und stört
Warum viele Simulationen wenig bewirken und wie man realistische, lernwirksame Szenarien gestaltet, ohne Schuldzuweisung Die Phishing-Mail, die in jeder Schulung gezeigt wird – und trotzdem funktioniert Die Nachricht sieht harmlos aus. Betreff: „Aktualisierung Ihrer persönlichen Daten im HR-Portal“. Freundliche Anrede,… Weiterlesen »Phishing-Simulationen, die wirklich etwas bringen: Dos & Don’ts
Wege zu einer nachhaltigen Reduktion Der Angriff, der durch eine längst vergessene Testmaschine möglich wurde Das Red Team war eigentlich schon durch mit seiner Aufklärungsphase. Alles sah solide aus. Die Firewall war modern, das Patch-Management funktionierte, und das Unternehmen hatte… Weiterlesen »Erfolgsfaktor Angriffsfläche
Die Schulung, die niemand ernst nimmt – und die E-Mail, die trotzdem geöffnet wird Es ist kurz vor Mittag, der Tag ist voll, der Kopf auch. Ein Mitarbeiter sitzt vor seinem Postfach und arbeitet Mails der Reihe nach ab. Zwischen… Weiterlesen »Security Awareness neu gedacht – Weg vom „Mitarbeiter als Risiko“-Narrativ