Pentest, Schwachstellenscan oder Red Teaming, wer blickt da noch durch?

In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Andreas Krüger, Gründer und Geschäftsführer von Laokoon SecurITy, über ein Thema, bei dem in der Praxis ständig Begriffe durcheinandergeworfen werden: Penetrationstests, und warum gerade im OT- und Hardware-Umfeld vieles anders läuft als in der klassischen IT. Andreas kommt selbst aus dem Bundeswehr-Umfeld, hat dort das Hacken von der Pike auf gelernt und betreibt heute ein eigenes Labor für Hardware- und OT-Pentests.Zum Einstieg räumt Andreas mit dem „bunten Blumenstrauß" aus Pentest, Schwachstellenscan, Red Teaming und Hardware-Hacking auf. Sein Bild dafür ist eine Pyramide: Sie beginnt unten bei der konzeptionellen Absicherung, also klaren Dokumenten, Prozessen und einem sauberen Asset-Management. Darauf folgen der breit angelegte Schwachstellenscan, der nur bereits bekannte Muster findet, dann der fokussierte Pentest, der bewusst die Angreiferperspektive einnimmt und auch unbekannte Lücken sucht, und schließlich das Red Teaming, das eher Prozesse prüft und im besten Fall als Purple Teaming gemeinsam mit dem Verteidiger-Team läuft. Seine klare Botschaft an Unternehmen: Überspringt keine Stufe der Pyramide, und beginnt mit dem Fundament statt mit der spektakulären Übung.Besonders ehrlich wird das Gespräch beim Unterschied zwischen IT und OT. Ein OT-Pentest ist für Andreas eine „Operation am offenen Herzen": Man kann nicht einfach einen automatisierten Scanner über eine laufende Produktionsanlage jagen, sondern braucht echtes Prozessverständnis, Referenz- oder Laborsysteme und oft auch den Blick auf physische Sicherheit und Social Engineering. Genau hier sieht er ein Marktproblem: Immer mehr IT-Beratungen drängen ohne echte Expertise in den OT-Markt und machen mit „grünen Häkchen" den Preis kaputt. Wie man einen wirklich kompetenten Anbieter erkennt, woran man Scharlatane entlarvt und warum Pentests, die aus Compliance-Gründen unbedingt „grün" sein müssen, das eigentliche Ziel sabotieren, diskutieren die drei sehr offen.Im Gespräch geht es außerdem um:Den Unterschied zwischen Schwachstellenscan, Pentest, Red Teaming und Hardware-Hacking, ohne Buzzword-NebelWarum Asset-Management und die kritischen Pfade der Ausgangspunkt jedes sinnvollen Tests sindWarum ein OT-Pentest „Operation am offenen Herzen" ist und auf Referenz- statt Produktionssystemen gehörtWie physische Sicherheit, Social Engineering und sogar Drohnen ins Spiel kommenWoran man einen seriösen Anbieter erkennt, und warum manche Beratungen den OT-Markt kaputtmachenWarum Compliance-getriebene Pentests, die „grün" sein müssen, kontraproduktiv sindWie oft man wirklich testen sollte, mindestens jährlich und nach jeder großen Änderung, nicht alle drei JahreWelche Rolle KI im Pentesting spielt, stark beim Report und der Ausbildung, riskant als Ersatz für echtes VerständnisWarum „Prompt Engineering" kein Pentest ist und Leidensfähigkeit zum Handwerk gehörtHardware als Nischenmarkt: offene Debug-Schnittstellen, Seitenkanalangriffe und Firmware als GoldgrubeDie Anekdote mit dem Computerspiel auf dem Geräte-Display, das den Hardware-Zugriff beweisen sollteLieferketten und digitale Souveränität: zugelieferte Chips, versteckte Menüs und Europas blinde FleckenEinsteiger-Tipps für Studierende: erst die Basics verstehen (TCP/IP, Protokolle), dann Plattformen wie Capture the FlagEine sehr praxisnahe Folge für IT- und OT-Verantwortliche, Sicherheitsbeauftragte, Hersteller und alle, die wissen wollen, was ein Pentest wirklich leistet, und die nicht erst im Ernstfall merken wollen, dass „Häkchen grün" eben nicht „sicher" bedeutet.____________________________________________👤 Mehr InformationenAndreas Krüger - LinkedIn Profil____________________________________________🎧 Reinschauen lohnt sich!🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyberSchließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.____________________________________________Du findest mich auf folgenden Social Media Kanälen:📸 Instagram: cybersec_ist_chefsache🕺 TikTok: cybersec_ist_chefsache🤝 LinkedIn - Nico: nicofreitag🤝 LinkedIn - Ann-Katrin: annkatrin📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache____________________________________________Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.