Cybersecurity ist Chefsache. Nehmen Sie die Digitalisierung und Cybersicherheit in Ihre Hand. Nur hier kommen alle Experten aus der Branche zusammen und sprechen über Ihre Erfahrungen, die neuesten Themen und praktische Anwendungen von und mit dem Experten für Digitalisierung und Cyber Security. Nicole Werner. Hallo und herzlich willkommen zu einer neuen Folge Cyber Security Chefsache. Der Podcast heute mit Moritz Mohn. Moritz Moin, Für alle, die dich noch nicht kennen, erzähl doch ein bisschen was über dich. Ja, mein Name ist Moritz Hamburg. Ich bin Hacker und Gesellschafter bei Laub und Security in Bonn. Und wir machen im Grunde alles, was offensive Cyber Security Maßnahmen angeht. Das heißt Penetration mittels Streaming und Beratung in dem Bereich. Ja, wir wollen heute über das Wir wollen heute zum Thema Testing sprechen. Wir haben ja die super Variante gehabt, dass die Community wieder ähnlich wie bei Manuel abgestimmt hat, dass es zwei Themen packt, nämlich einmal das Thema Timing und das Thema Bullshit Bingo Test. Wir haben uns jetzt beide dazu entschieden, dass wir Bullshit Bingo Test heute machen werden Und dann das Thema nochmal in einer anderen Folge. Also vielleicht fangen wir doch erst mal an Was ist denn überhaupt eine Pentax? Wir Im Grunde ist ein Test die strukturierte Suche von Schwachstellen in jeglichen IT Systemen mit einem gewissen Scope. Das ist immer noch richtig zu sagen. Das heißt, wir können zum beispiel. Also wir können jegliche Art von IT System testen, sei es ein Webshop seines Autos Gerät, aber natürlich auch die Netzwerke, wo viele dieser Geräte oder Systeme miteinander kommunizieren. Und hier gilt es eben, Schwachstellen zu finden, die bisher unbekannt sind, Konstruktionsfehler zu finden und natürlich dann die, im nächsten Schritt die Sicherheit des Systems auf eine neue Stufe zu heben. Häufig wird ja das Thema One Mobility Scanning mit dem Thema PTC zusammen geschmissen. Wie siehst du das? Ja, das ist, man muss da sagen Penetration Tests ist kein geschützter Begriff. Es gibt Meinungen dazu und natürlich auch Abhandlungen vom BSI und von anderen Behörden, was Infiltration eigentlich ist. Aber tatsächlich merkt man das immer wieder, dass eine Schwachstelle scannen ein automatisierter als Penetration verkauft wird bei einem automatisierten Schwachstellen scannen. Das läuft im Grunde so, dass man eine ein diesen Scanner hat und der wird mit verschiedenen kleinen Skripten angereichert. Und diese kleinen Skripte analysieren dann die IT Systeme, die gescannt werden und suchen dann nach verschiedenen Schwachstellen, die aber bekannt sind oder nach Konfiguration Fehlern, die sehr einfach zu finden sind oder immer wieder auftauchen. Das heißt, es muss vorher schon ein gewisses Wissen darüber geben, ob diese Schwachstelle oder Konfiguration existieren können in den verschiedenen Geräten. Ein Beispiel Wir haben zum Beispiel einen Exchange Server, der nicht mehr aktuell ist. Man kann dort eine Erklärung laden. Also das war die klassische große Schwachstelle, die vor knapp zwei Jahren bekannt wurde und ausgenutzt wurde in der breiten Fläche und ein Schwachstellen Scanner hat dann ein Script das genau diese Schwachstelle abruft und der gibt am Ende nichts anderes als ein Schuh daraus zurück. Und Indikatoren, was zum Beispiel eine Auswertung mit zwei zurück unterstützen könnte. Das heißt es werden eben diese verschiedenen Show of Konzept, so nennt man das abgefeuert und am Ende wird gezeigt dieses System ist für diese und diese Schwachstelle anfällig. Penetration das hingegen, der hat das Ziel, bisher auch unbekannte Schwachstellen zu finden. Das ist besonders insbesondere dann besonders relevant, wenn es um Systeme geht, die entweder noch nicht ausreichend getestet wurden, das heißt Schwachstellen noch nicht bekannt sind oder sehr, sehr individuell erstellte Software ist zum Beispiel ein Webshop, der von Grund auf neu gebaut wird und nicht zum Beispiel auf Covers oder ähnliches passiert. Wenn wir über das Thema Tests reden, gibt es ja auch immer die Begriffe White Box, Black Box und Great Box. Vielleicht für uns mal ganz interessant. Was versteht man denn unter diesen Begriffen? Dieser Black Grey oder Box Ansatz sagt im Grunde etwas über die Wissensbasis des Penetration Tests im Vorhinein aus, das heißt bei einem Black Box Ansatz ist es wirklich so die Applikation, das System, das getestet werden soll, dass da der Angreifer im Grimme oder der Penetration steht, da kein explizites Wissen darüber, wie es intern aussieht. Das heißt, er hat wirklich die gleichen Herangehensweisen wie das ein normaler Nutzer beispielsweise bei einem Webshop haben würde und muss sich dann dementsprechend auch mit den Antworten des Systems zufriedengeben bzw diese dementsprechend analysieren. Klassischer Black Box Ansatz sind die Programme, wo Unternehmen erlauben. Gewisse Untersuchungen vorzunehmen, ohne aber groß etwas über den Aufbau des Systems preiszugeben. Wenn man dann doch eine Schwachstelle findet, ist das eben in diesem Black Box Ansatz passiert. Das genaue Gegenteil davon ist der sogenannte White Box Ansatz, wo man sehr viel Wissen über das System, zum Beispiel ein Webshop, wo man Zugriff auch auf den das Backend hat, den Server Lock Information und vieles mehr, möglicherweise auch verschiedene privilegierte Accounts hat. Das heißt die zum Beispiel eines normalen Nutzers, ein Moderator, ein Administrator, die Ebenen verschiedenen Rechte Rolle, Konzept verschieden ausgestattet sind. Genau und mit diesem Wissens Umfang Quellcode ist natürlich auch eine Sache, die zur Verfügung gestellt werden kann. Lassen sich die Schwachstellen etwas strukturierter, vielleicht sogar schneller finden. Natürlich ist es so, wenn man diesen Black Box Ansatz hat, dann geht es da um sehr, sehr viele Feinheiten, die man analysieren muss, um und natürlich auch der Wahrscheinlichkeiten, was im Backend passiert. Das kommt dann mit der Erfahrung, dass Penetration das Wenn man natürlich aber im Backend direkt Sherlock Informationen sehen kann, wie wird dieser Request verarbeitet? Passiert da noch irgendwas? Da kann man dann ein bisschen schneller ans Ziel kommen, sage ich mal, das ist eine effiziente Sache und man kann tatsächlich mit einem White Box Ansatz nochmal deutlich schneller deutlich mehr Schwachstellen finden. Und das ist tatsächlich dann auch der Ansatz, den man wählen sollte, wenn man, ich sage mal ein gewisses Zeit eine Zeitbegrenzung hat und auch natürlich in der Masse die Schwachstellen finden will. Man kann natürlich dann sagen, das sind Schwachstellen, die normale Angreifer auch so nie gefunden hätte. Das Mag sein, aber das ist auch eine Wahrscheinlichkeit. Also es kann sein, dass das ein Angreifer, der sich zwei Tage mit dieser Applikation beschäftigt, diese diese Schwachstelle nicht gefunden hätte. Aber wenn wir über einen Angreifer nachdenken, der deutlich mehr Kompetenzen hat oder vielleicht auch mehr Zeit und möglicherweise mal eine schwache andere Schwachstelle findet in dem System, wo man zum Beispiel an Quellcode kommt, dann kann man schon davon ausgehen, dass diese Schwachstelle durchaus irgendwann mal auch relevant geworden wäre. Wenn jetzt mal zurückblickst auf eure Kunden und gerade auch so dieses Thema. Wir haben ja schon drüber gesprochen. Viele unserer Kunden sind dann auch immer zu uns gekommen und haben gesagt Pass auf, hier kam eine Firma, die hat Netbooks laufen lassen. Gerade im Bereich bin ich dann schon immer sehr hellhörig bzw auch so einen scharfen Scan und dann stürzt die halbe Infrastruktur ab, weil es einfach auch nicht funktioniert. Wenn du jetzt mal aus deinen Gesichtspunkten sehen würdest, was würdest du denn ein Unternehmen an die Hand geben, die jetzt am überlegen sind mit einem PEN Test zu starten, weil sie ihr Unternehmen Sicherheit überprüfen wollen oder gegebenenfalls einfach auch eine Veränderung? Was sind so Basics, die Unternehmen beachten sollte? Wenn Sie ein Unternehmen beauftragen möchten, PEN Test bei denen durchzuführen? Ja, vielleicht nochmal ein Schritt zurück. Was ist ein Schwachstellen Scanner eigentlich noch? Im Grunde ist das ein Tool der Editierung. Im Grunde sind die Ergebnisse häufig. Du musst dieses und dieses System auf den aktuellen Software Stand geben. Das ist aber eine Sache, die tatsächlich einfach bekannt sein sollte. Im Grunde also wenn wir darüber nachdenken, dass eine Weiterleitung oder ähnliches nur durch einen Schwachstellen Scanner herausfindet, welche Systeme eigentlich am Netz sind und mit welcher Konfiguration, welche Microsoft Windows Version möglicherweise auf dem Computer läuft, dann sollte nicht erst Rechenschaft entzogen auftauchen. Und im Prinzip kann das eine Sache sein, die, wo man eine gewisse Deckungsgleichheit versucht herzustellen, wobei man eine SMS möglicherweise mit in Verbindung mit der DB schon pflegt, welche Systeme wie konfiguriert sind. Und tatsächlich ist das ganz gut angesprochen. Es gibt natürlich auch Bereiche, wo eine Schwachstelle eigentlich nicht eingesetzt werden kann oder sollte. Also kann kann man das natürlich, Aber der Output wird ziemlich desaströs sein, vor allem im Bereich, wo die kleinen Geräte mit dem mit dem Traffic, der da erzeugt wird, gar nicht klarkommen. Also man kann keinen Scanner auf eine Infrastruktur einfach mal los ballern, da geht viel kaputt. Das merkt man schon tatsächlich bei Druckern und ähnlichem, dass die dann schon in die Knie gehen, wenn zu viel Traffic auf den auf den Systemen ist. Was ich empfehlen würde, ist natürlich so ein bisschen, das ist schwer, aber zu versuchen, hinter die Kulissen des Anbieters zu schauen, ist das jemand, der sich tatsächlich tief mit dem Thema Penetration stellt und die Sicherheits analysen beschäftigt? Oder ist das beispielsweise ein Dienstleister, der eigentlich ganz, ganz viele andere Kompetenzen hat und die Sicherheit mitmacht? Ich war letztens auf der Insel, da merkt man das ganz gut wieder, dass irgendwie jeder Penetration Tests anbietet. Und wenn man dann tatsächlich mal ins Gespräch geht und fragt wie groß ist euer Pentax Team? Wie macht ihr das? Stellt sich ganz klar heraus, dass ganz, ganz viele Systeme da beispielsweise sagen Ja, wir haben halt eine Lizenz, da gibt es. Zwei, drei Leute, die das bedienen können. Und dann analysieren wir, wie der Output da ist. Und das ist dann unser Penetration Test. Und das ist halt wirklich eine Gefahr, weil diese Schwachstellen scannen eben auch nur die Schwachstellen zurückgibt, die bereits bekannt sind. Wenn man jetzt eben bei einem Softwarehaus, das wirklich individuell Software erstellt, dann Schwachstellen scannen loslässt, der wird einem vielleicht zurückgeben, dass der Linux Server im Hintergrund vielleicht eine eigene Version so weit hinten ist, dass die PHP Version möglicherweise automatisiert ist oder ähnliches. Aber die Schwachstellen, die eigentlichen Schwachstellen, die dann auch Zugriff zum Beispiel auf Kundendaten erlauben, die werden möglicherweise gar nicht gefunden, beispielsweise als Quelle von irgendwelchen Parametern. Und das sind dann Dinge, die von einem Penetration Tester gefunden werden können. Das heißt, es sollte eigentlich klar sein, dem Kunden was möchte ich eigentlich für ein Ergebnis erzielen, möchte ich einen Überblick über meine Assets gewinnen, weil ich das mit der mit der DB beispielsweise vernachlässigt habe. Dann ist ein Schwachstellen Scanner ein guter erster Schritt, um einfach mal wirklich die Infrastruktur darzustellen, zu sehen, was ist denn da eigentlich? Vielleicht auch in Form einer Leiter hat gewechselt. Ich möchte mal wirklich sehen, was hat mein Vorgänger möglicherweise dokumentiert und was nicht. Wenn es dann aber darum geht, wirklich dann tiefergehende Analysen zu fahren, dann sollte ein Penetration Tests angebracht sein. Insbesondere dann, wenn es Konfiguration in den System gibt oder sehr sehr viel. Also Konfiguration, die etwas außergewöhnlich sind oder Konfigurationen, die so noch nicht genutzt wurden wie auch immer oder eben auch sehr sehr individuell erstellte Software eingesetzt wird. Da bringt einfach ein Schwachstellen nicht ganz so viel Ergebnisse, egal wie viel Kaida tatsächlich eingesetzt wird. Das muss man noch unterstreichen. Also im Bereich Schwachstellen Scanner wird sehr sehr viel. Wir reden hier über Bullshit Bingo. Da wird sehr sehr viel Bullshit Bingo betrieben Mit meiner KI und so was finden wir alle Schwachstellen. Und dann tauchen ja doch wieder zum Beispiel bei der Konferenz gerade eine neue Schwachstelle aufgetaucht. Jetzt schon die Frage ist das durch KI Schwachstellen Scanner aufgetaucht oder tatsächlich durch den Penetration Test oder einen die Security Analysten der sich da den Code genauer angeschaut hat? Genau. Absolut spannend finde ich auch das Thema. Ich kann es ja auch gleich noch was dazu sagen, als ich immer mit Unternehmen gesprochen haben, die den Test anbieten. Auch so ganz simple Rahmenbedingungen. Wir sind ja in Deutschland, wir haben für alles irgendwo Regeln, Gesetze, Grundlagen. Und so weiter. Dass zum Beispiel auch überprüft werden soll Hat die Firma überhaupt auch eine Versicherung dafür? Denn wie du schon gesagt hast, so Docker Ausfall okay, ist eigentlich sehr sehr häufig, wenn du keine Ahnung davon hast. Kann aber auch bis zur Produktionsausfall führen, was natürlich Unsummen an Geld ist. Und was ich auch festgestellt habe, es gilt genau so grob zu dokumentieren. Also wenn du einfach nur so ein Auto toll und Feuer frei hast im Scope, das heißt was ich immer auch unseren Kunden mitgegeben habe bzw auch die, die mich danach gefragt haben, Es macht euch wirklich Gedanken über den Scope, bleibt auch wirklich dann in diesen Scope, damit man auch wirklich weiß, vielleicht auch einen Teilbereich nur anschauen, Nicht alles. Und solche Geschichten? Gibt es eine Versicherung im Hintergrund, die für Schaden haften kann? Gibt es Verträge? Denn am Ende des Tages gibt es ja auch den Paragraphen in Deutschland. Das heißt auch das Pen Test Unternehmen muss sich ja gegenüber dem Gesetz absichern. Das darf ich aber tun wie Sie. Absolut. Absolut richtig. Das ist ein ganz, ganz wichtiger Bestandteil der Vorbereitungen und Penetration. Das heißt, wir erstellen den Scope mit dem Kunden zusammen, geben auch Hinweise. Ganz klar ist natürlich auch Der Kunde muss mit den Ergebnissen auch klarkommen müssen. Das heißt, wenn wir jetzt eine riesen Applikation haben, wo mehrere 100 Softwareentwickler dran sitzen, dann wird natürlich der Penetration das erst mal eine ganze Weile dauern. Und da macht es vielleicht Sinn, verschiedene Bereiche zu unterschiedlichen Zeitpunkten zu betrachten, damit eben auch die die Ergebnisse dementsprechend etwas etwas kleiner ausfallen und man damit auch dann agieren kann. Der sogenannte Letter of engagement permission to take nennt man das auch manchmal. Der ist im Grunde genau diese Versicherung bzw auch die Erlaubnis, dass das des Kunden an den Dienstleister, das die Angriffe durchgeführt werden muss. Man muss sagen, im best Case findet das ganze natürlich auch noch in der Testumgebung statt, aber besonders im Wartebereich macht das nichts vor. Da braucht niemand noch eine zweite Test Halle auf und sagt dann ja dann, das ist jetzt fürs Penetration testen. Das wäre ein bisschen teuer, aber zum Beispiel bei einem Webshop, also das ist mal ein gutes Beispiel. Da gibt es möglicherweise Test Instanzen, die vielleicht auch mit dem neuen Baustein, der dazu entwickelt wurde läuft und diesen kann man dann analysieren. Und wenn da was passiert, dann ist das nicht ganz so dramatisch. Aber tatsächlich gibt. Der Kunde mit der Böhmischen Tour die Erlaubnis. Ihr dürft unsere Systeme angreifen. Das ist auch besonders auch noch wichtig. Wenn man jetzt mal die Implikationen von Penetration anschaut, einen Webshops beispielsweise, der läuft nicht immer auf der eigenen Infrastruktur. Das läuft möglicherweise auf eine ABS Instanz und auch da muss man tatsächlich auch noch den Dienstleister dahinten, also dahinter, also APS. Petzner Strato wird ja informieren darüber, dass eine Penetration stattfindet, denn sonst kann es natürlich passieren, das natürlich auch verschiedene Maßnahmen ergriffen werden, um das ganze zu unterbinden und natürlich auch dann im Text steht die Polizei vor der Tür. Aber genau diese Schritte müssen halt im Vorhinein durchgeführt werden. Das ist aber auch wirklich absoluter STANDARD, wenn man wirklich mit professionellen Penetration zusammenarbeitet. Aber auch das ist wieder so eine Sache. Du hast gerade das Thema Scope noch mal angesprochen. Wenn man das nicht ordentlich definiert, stochert man auch so ein bisschen im Trüben. Also ein Beispiel Auch wenn das DSGVO konform fragwürdig ist wenn jemand Google von seinem Bett aus und in seiner in seinem Crawlen, in seiner mit seinem Scanning wie auch immer, da auch Google plötzlich mit in den Scope nimmt und Google auf Schwachstellen untersucht, dann ist das out of scope in der Regel. Und da mussten müssen halt eben auch die technischen Maßnahmen eingesetzt werden, um oder gar vorbereitet werden, um eben so was zu verhindern, dass man plötzlich out of scope arbeitet. Und natürlich muss der Kunde da zuarbeiten sagen, Welche IP Adressen gehören dazu? Das kann tatsächlich auch in der App, zum Beispiel Open Source Intelligence Analyse im Vorhinein auch so eine Dienstleistung sein, dass man mal schaut, was können wir denn eigentlich da alles diesen Kunden zuordnen? Aber im Grunde, wenn es dann wirklich um die Angriffe gibt, muss es irgendwo eine Bestätigung geben, dass man ja diese Angriffe durchführen kann. Und besonders sensibel wird es natürlich, wenn man dann plötzlich durch das Ausnutzen einer Schwachstelle auch an Kundendaten kommt. Das heißt hier Auftrag zur Datenverarbeitung kann im Raum stehen? Durchaus, wenn man auch im Bereich Phishing, aber das und Ähnliches gilt es auch, solche Dinge noch mal zu prüfen. Das heißt, es zieht natürlich einen gewissen Rattenschwanz an rechtlichen Rahmenbedingungen nach sich, aber das ist enorm wichtig für uns. Das gibt uns eben auch die Sicherheit. Natürlich nicht nach jedem uns das wieder mit dem Richter verhandeln zu müssen, ob das jetzt gut oder schlecht war. Ja, ich musste gerade so ein bisschen schmunzeln, als du das erzählt hast mit außerhalb des Scopes. Ich kann natürlich nicht über den Kunden sprechen, aber ich hatte mal einen Kunden gehabt. Der hat einen Test dann beauftragt und plötzlich lief der gesamte Test bei der Infrastruktur, bei seinem Wartungs Dienstleister ab. Also der war so konfus, dass der Panthers ganze mal gelaufen ist, aber dann über eine Wartung Schnittstelle in das Netz des Dienstleisters gelangt ist. Beim Dienstleister hat das auch keiner gemerkt. Bis dann irgendwann der Testbericht rausgekommen ist und der Kunde gesagt hat das sind ja gar nicht meine IP Adressen, das sind ja gar nicht meine Kredite. Und dann am Ende hat man rausgestellt, dass der Tester Despentes nicht im eigentlichen Netz durchgeführt hat, sondern im Netz vom Dienstleister. Der Dienstleister war natürlich super happy, weil er dann einige Schwachstellen aufgelistet bekommen hat. Umgekehrter Weise war es aber dann eben überhaupt nicht zielführend für den Kunden. Ja, also es ist natürlich schön, wenn der Kunde dann oder der der Dienstleister glücklich über die Ergebnisse ist. Aber das kann halt genauso gut ganz, ganz schnell ins Gegenteil ausschlagen. Da darf man dann wirklich in sensiblen Bereichen es und besonders wenn man eben auf irgendwelchen Anbieter zurückgreift, ist es ja ganz, ganz schnell passiert, dass man dann plötzlich mit Kundendaten oder auch mit Webseiten und Applikationen in Kontakt tritt, die überhaupt nichts miteinander zu tun haben. Und wenn man da plötzlich dann seine oder seine Schwachstellen ausprobiert oder Schwachstellen sucht, dann wird das wirklich ein Problem. Absolut. Gerade auch das Beispiel, was du gebracht hast. Webshops finde ich immer sehr erschreckend. Wie einfach dann so ein Betreiber von Webshops sagt Ja klar, da macht man PTS, aber der Webshop ist dann da gehostet, die Datenbank liegt da. Und so weiter und so fort. Und all diese Parteien müsste man darauf ansprechen. Und gerade auch so bei RBS und anderen Dienstleistern, die lassen das gar nicht zu, Weil wenn das jeder machen würde, dann würden die damit nur beschäftigt. Und ich glaube, das ist auch ein Riesenproblem, dass diese erwerben es auch gar nicht, dass man denkt, man kauft sich einen Platz in irgendeinem Hosting Anbieter oder bei irgendeinem Hosting Anbieter. Und dann ist es meiner. Aber das stimmt ja eben nicht. Und gerade der Paragraph sagt das eben halt sehr genau, dass du eben das nicht machen darfst. Genau. Also da ist ein Punkt, muss ich schon sagen, aber er lässt das schon zu. Man muss es nur im Vorhinein ankündigen. Man kriegt von denen dann auch wiederum die Erlaubnis, dass eben diese diese Maßnahmen durchgeführt werden können. Aber es muss eben angekündigt sein und das ist eigentlich bei jeder jedem Anbieter so, aber genau das ist wirklich ein großes Problem und. Scope Man muss auch sagen, da muss man den Kunden ein bisschen führen. Denn auch der Kunde weiß nicht immer, was, was denn da jetzt eigentlich wichtig, was bedeutet Scope? Also hier reden wir über das natürlich in der Bubble bekannt ist, sag ich mal in der Branche. Aber wenn wir mit einem Dienstleister zum Beispiel reden, der in so einem Systemhaus oder einem Softwarehaus das selber hostet, was die kann, gut Softwareentwickler, aber die haben vielleicht nicht immer Scoops, braucht man nicht unbedingt drüber reden. Das ist ein sehr kleiner Prozentsatz, der das der das so durchführt. Aber wenn man so ein klassisches Softwarehaus anschauen, da ist das eben da und da muss man da mit mit klarer Sprache rangehen. Denn obwohl das auch Techies sind, müssen die nicht unbedingt immer, wie das mit dem Kunden trotz Umsatz aussieht. Aber das ist dann Aufgabe des Dienstleisters und da merkt man dann eben auch, ob es ein professioneller Dienstleister ist oder jemand, der dann einfach nur die Schwachstellen Scanner loslaufen lässt. Ich würde gern einmal noch mal ausholen. Das Thema schwappte aus der nicht unbedingt einfach so in den ins negative Licht zu rücken. Es ist tatsächlich eine Sache, die, die enorm wichtig ist, dass das nicht falsch verstehen, denn es ist natürlich wichtig, eben zu überprüfen Gibt es denn irgendwelche Systeme von mir, die durch bekannte Schwachstellen gefährdet sind? Das ist eine Sache des Risikomanagements und das ist enorm wichtig. Ein Problem wird, wenn wird, wenn eben dann, wenn es als Penetration verkauft. Man sagt okay, das hat jetzt eine Halbwertszeit von einem Jahr oder mehr. Und dann machen wir den nächsten. Schwachstellen werden wieder in den nächsten, einem oder in zwei Jahren und glaubt, damit gewisse Sicherheit zu haben. Dadurch, dass das aber täglich, werden ich glaube ein paar 100 Schwachstellen zugefügt. Nachher bin ich auch die auf die genaue Zahl fest, Aber es natürlich so, wenn jetzt zum Beispiel so einer ganz aktuell eine Konferenz Schwachstelle rauskommt, dann ist kann ich gestern und Scan gemacht haben, der sagt okay, meine Instanzen sind sicher und heute hat sich das plötzlich geändert. Das heißt, diese Halbwertszeit von einem Schwachstelle scannen, der ist nicht sonderlich bis sonderlich hoch und dementsprechend sollte der auch regelmäßig gemacht werden. Wenn das nicht mit den aktualisierten Proof of Concept Skripten. Dementsprechend sollte das bestenfalls intern laufen oder durch den Dienstleister, der das wirklich einfach in der Regelmäßigkeit durchführt. Und damit es eine Gefahr, wenn der Kunde denkt Ja, das ist ein Penetration Test, denn Penetration, das hat deutlich höhere Halbwertszeiten, einfach weil wir zum Beispiel wie der Webshop, also der wird erstellt, dann wird der getestet und die Frage ist, wenn das jetzt nicht gerade Amazon ist, die alle paar Sekunden ein neues Release haben, dann wird die Sperren, die Schwachstellen erst mal einigermaßen konstant bleiben. Wenn wir jetzt mal die Bibliotheken, die eingesetzt werden, die möglicherweise dann auch wieder woanders Schwachstellen haben können, außen vor lassen. Aber die eigentlich individuell erstellte Software, da bleibt das eigentlich einigermaßen konstant, wenn nicht dran gebaut wird. Natürlich soll das auch regelmäßig wieder überprüft werden auf eine Penetration. Es folgt auch immer wieder ein Test, weil es ist eine Sache, ob wir wissen, welche Schwachstellen existieren. Aber natürlich müssen die das schaffen, dann auch behoben werden und es muss überprüft werden, ob die Behebung der Schwachstelle auch zielführend war. Auch das ist nämlich immer mal wieder so, so ein Punkt, der ja Probleme bereitet. Wenn wir beispielsweise die einfach die Solidarisierung von Daten nehmen, dann kann man verschiedene Zeichen zum Beispiel ausgebessert werden. Aber es kann sein, dass der Angreifer tatsächlich Möglichkeiten findet, auch ohne diesen Zeichensatz noch mal andere Parameter auszuführen und dennoch ans Ziel zu kommen. Das sieht man relativ häufig, dass ein Patch dann noch mal aktualisiert werden muss, weil er nicht hinreichend war. Und genau, also es ist einfach enorm wichtig, da noch mal zu verstehen, Was bringt mir der Schwachstellen, was bringt mir der Penetration Test und wie lange sind echt die Ergebnisse gültig? Absolut. Und ich glaube auch, um das Thema noch mal auf das Thema Bullshit Bingo zurückzubringen Du hast ja erwähnt, für mich das größte Bullshit Thema ist das Thema künstliche Intelligenz. Habt ihr in so vielen Folgen gesagt? Jeder haut mit KI um die Ecke und KI ist alles. Am Ende des Tages haben wir diese Technologien schon immer gehabt. Die werden einfach nur neu erfrischt. Aber am Ende des Tages ist ein Pen Test nur dann gut, wenn man auch das Know how hat. Also eine Software, die per Scheider in irgendeiner Form Scan macht, die aber das Protokoll zum Beispiel nicht kennt. Kann ja dir nicht wirklich weiterhelfen. Deswegen wäre für mich mal interessant und auch für die Zuhörer, die sich mit dem Thema beschäftigen Was sind denn so für dich die best words, wo du sagst okay, wenn dir das jemand sagt, dass er das so macht oder so anbietet, da solltest du vielleicht noch mal drüber nachdenken. KI ist wirklich, wirklich eines dieser großen Themen, die jetzt gerade passieren. Eben weil dann doch immer wieder Schwachstellen auftauchen, wo man wirklich ganz klar zeigen kann, denn deine KI hat das doch gestern gescannt. Warum hat sie die Schwachstelle nicht gefunden, wenn es doch alles findet? Langfristig wird KI sicherlich in diesem Bereich auch mächtiger werden und weiter unterstützen. Wenn wir aber jetzt über Syntax und Semantik sprechen das wird immer ein großes Problem sein. Denn woher weiß dann auch die KI unbedingt, ob das ein Wunsch des Entwicklers ist oder ob das ein Feature so ungefähr. Also das, das trifft da ganz gut, denn da braucht's einfach wirklich dieses auch noch. Also wie gesagt, ist es gut möglich, dass in Zukunft KI auch im Bereich Podcasting noch mal vermehrt eingesetzt wird. Momentan ist aber wirklich noch nicht so, dass wir sagen können, das ist eine keinen Trend, das ersetzen kann. Nichtsdestotrotz, es wird das natürlich überall gespielt und man versteht natürlich auch die Intention dahinter, denn man möchte natürlich zeigen. Also als Unternehmen ist es viel, viel lukrativer, ein skalierbare System zu haben, mit dem ich einmal eine Software erstelle und an ganz viele Kunden verkaufen kann. Siehe Schwachstellen Scanner. Da ist der Dienstleister tatsächlich etwas im Nachteil, weil er natürlich Know how aufbauen muss. Er kann mit einem Verkauf Person Tag muss halt auch eine Person beschäftigen. Und dementsprechend ist das einfach anders skalierbar. Dementsprechend ist das andere sehr, sehr attraktiv und wird natürlich dann auch auf zum Beispiel so messen wieder, aber auch allen anderen, die jetzt messen so gespielt und auch so verkauft. Und natürlich ist auch wiederum für den Kunden sehr, sehr lukrativ, wenn er sagt Ja, ich wir 5 bis 10 Tage Personen beschäftigen, Das geht ganz schön ins Geld. Wenn ich natürlich dann Schwachstellen habe, deren Bruchteil davon kostet, ja, dann setze ich doch lieber den ein. Aber tatsächlich ist es eben so, dass das einen gewissen Teil abdeckt und einen anderen Teil. Was gibt es noch für Buzzwords? Blockchain war ja auch mal so, so eine Sache, die auch in dem Bereich tatsächlich so eine super Sache war, wo es dann um Lizenzen Management ging wie um auf der Blockchain und Ähnliches. Ja, hoch automatisiert. Pinterest, das ist tatsächlich eigentlich das, wo sich alle Haare bei mir aufstellen, weil das eben genau falsch ist. Also ein Pinterest. Da gibt es sicherlich Automatisierung. Man man fragt sich, man werde mir irgendwelche Parameter abfragen oder sowas. Da nutzen wir natürlich auch Tools, scripten aber auch viel. Selber muss man dazu sagen, dass wir wirklich auf die Applikation angewandt, aber angepasst ein gewisses Gewicht haben, um etwas zu untersuchen und werden da auch automatisiert. Es Pantheist der den gibt, gibt es im Grunde nicht. Also das ist neben Schneider der hoch automatisierte Kneipentour. Das ist dann das Passwort, wo sich dann alle Nackenhaare aufstellen. Und tatsächlich, wenn jemand einen Scan loslässt, um eine Web Applikation zu testen, dann weiß ich schon, mit was für Leuten nichts zu tun habe. Und spätestens wie gesagt, du hast es angesprochen im roten Bereich. Wenn dann jemand erst mal mit IMAP anfängt. Das kann man bei Live Hacking machen oder ähnlich. Und weil jeder kennt und man da die Auswirkung vielleicht auch nachvollziehen kann, wenn das ein System ist oder so was dann, dann ist das eine Sache. Aber wer mit MB T5 auf Tour ist, der hat relativ viel Spaß. Der kann natürlich sofort eine kritische Schwachstelle mit einem Service melden. Aber mehr passiert dann wahrscheinlich auch nicht mehr auf dem Gerät. Absolut. Vielleicht auch zum Schluss so in drei Punkten eingeteilt oder drei wichtige Punkte. Ganz kurz und knapp. Was würdest du jedem mitgeben, die jetzt den Test planen bzw sich das überlegen? Das sind die Dinge, die man sich als Kunde überlegen sollte, bevor man zu einem Unternehmen geht und da anfragt. Hm, ja, also der 0.1 ist glaube ich habe ich meine Hausaufgaben gemacht. Penetration Test macht eben dann Sinn, wenn wir die die Grundlagen für die IT Sicherheit einfach schon gemacht haben und nicht einfach nur eine Penetration für den Kunden um des Willens machen wollen. Also wenn wir jetzt über ein Netzwerk, einen Test oder ähnliches reden und wir eigentlich einen Überblick über unsere Assets haben wollen, dann ist das ganz einfach besser. Da sollte man gucken, ob man da nicht das vielleicht hinaus aufbaut, um sich dann seine Assets anzuschauen. Der andere Punkt ist, es gibt so ein schönes Dreieck natürlich, wenn man kein Budget aufwenden will für Penetration Tests. Also wer billig kauft, kauft doppelt. Also wer einmal für günstig Geld einen grünen Haken abgeben will, ja dann kann man es glaube ich auch gerade selber machen und sich selber den grünen Haken geben, denn da hat man nichts gewonnen. Also günstig und gut geht selten einher und manche Dinge brauchen einfach auch Zeit. Je größer die Applikation ist, desto mehr Zeit frisst das Ganze natürlich. Und der nächste Punkt ist natürlich, wenn wir sagen, wir wollen anfangen, zum Beispiel eine neue Software zu erstellen oder ähnliches oder eine neue Software einführen, dann macht das Sinn, das Thema Sicherheit einfach relativ früh zu betrachten. Es gibt Unternehmen, die das sehr, sehr gut machen und Energieversorger beispielsweise die Penetration testen, ihre Devices diese einführen die Root Devices, bevor sie. Sondern eingeführt werden. Das heißt, sie haben dann ein Wissen zu dem Zeitpunkt, als es eingeführt war haben, war das Ding als sicher hat, also war das als sicher zu betrachten. Und dass das sollte man in dem Fall auch machen. Einfach sich anschauen, was lohnt es sich denn, was individuell auf uns zugeschnitten? Zum Beispiel was? Was sollten wir Penetration testen? Genau. Und zu guter Letzt nicht alles auf einmal machen, das heißt einfach sich strukturiert. Wirklich da rantasten, wenn man das noch nie gemacht hat und auch nicht Penetration das als das Heilmittel sehen. Also es gibt auch Penetration Anbieter und das liegt eben an diesem etwas unsicheren Wording. Die totale Penetration des wirklich alles. Ich hau drauf, versuche irgendwie etwas zu erreichen, aber da sind wir dann wirklich schon in Bereichen, die wo das relativ unstrukturiert ist. Wenn wir den Operations Test eines Webshops sprechen, dann dann ist das ein anderer Scope als wirklich. Das Unternehmen sollte Penetration testet werden, mit allen Mitteln und Wegen. Da können wir wirklich dann darüber nachdenken, was was für ein Sinn hat das eigentlich? Denn es gibt da Unternehmen, die dann einfach sagen Ja, Mitarbeiter, aber das ist da direkt eine Sache, die damit getestet wird. Und da gehen die dann tatsächlich in Bereiche, wo wir entweder schon auch durch von entweder mit Schulung oder einem Training sind, das durch eine andere Struktur einfach effektiver ist, oder wo wir dann wirklich in dem Bereich sind, wo wir zum Beispiel im Bereich Bierfässer oder so was. Das geht dann schon eher in Richtung Timing Maßnahmen, wo man da aber auch sagen muss, Red hat einfach nicht das Ziel, alle Schwachstellen zu finden, wie Penetration testest, sondern da geht es dann darum, dass man die Konzepte dahinter beleuchtet und dann natürlich auch die die Erkennung und die Maßnahmen dagegen, dass es bei einer Penetration Tests kann da ein Output sein. Es kann auch eine Schwachstelle sein, wenn wir merken, es werden gar keine Maßnahmen getroffen. Also eine Web Applications Firewall hat uns keine Probleme bereitet, obwohl wir es schon mit klassischen Parametern und Ähnliches gemacht haben. Dann ist das schon durchaus eine Sache, die Reporting werden kann, insbesondere bei dem Blackbox Test. Nichtsdestotrotz meine Mailbox. Das kann es auch sein, dass die Firewall mal ausgestellt ist oder man in einem Testsystem ist, weil man eben davon ausgehen kann, auch das auch die Web Applications Firewall durchaus Schwachstellen aufweisen kann oder durch eine Konfiguration nicht unbedingt so effektiv sein kann und wir dennoch alle Schwachstellen fixen wollen und zusätzlich noch eine Replace Applications Firewall einsetzen, weil also da gibt es eben relativ viel zu betrachten, um das ordentlich zu starten. Und auch da macht es Sinn, einfach mal mit einem Dienstleister zu sprechen, der das professionell macht und einfach mal zuzugeben in Anführungszeichen. Wir wollen das Thema Sicherheit angehen, wissen aber gerade gar nicht, wo wir starten sollen, was eigentlich Sinn macht. Und das ist einfach eine Beratungs Dienstleistung, die wir, die wir mit mit mit anbieten, die oftmals auch in einem kostenlosen Vorgespräch einfach schon inkludiert ist. Wobei man dann merkt, okay, da will jemand Rechnung haben, möchte aber eigentlich seinen Überblick über sein erstes gewinnen. Dann muss man mal zwei Schritte zurück machen, einen Haufen Geld sparen und dann einfach erst mal mit einem mit einem automatisierten Schwachstellen anfangen. Also das ist wirklich eine Sache. Da müssen wir als Dienstleister einfach die Kunden an die Hand nehmen. Super, Danke dir Moritz. Ich glaube, viele wissen jetzt viel, viel besser Bescheid in dem Passwort Dschungel vom Penny Test. Ich danke dir auf jeden Fall für die Teilnahme für alle, die jetzt im Nachhinein noch Interesse daran haben bzw selber am Plan sind von einem PTS geht gerne auf den Moritz und seine Kollegen zu. Wie gesagt, er hat ja schon gesagt, gerade auch so eine Erstberatung ist meistens einfach auch das sinnvollste zu gucken, in Anführungsstrichen, was der richtige Weg ist, um einfach dann auch entsprechend für euch die richtige Lösung zu finden. Also vielen Dank, dass du hier mit dabei warst. Ja, vielen Dank für die Einladung. Du hast angesprochen, kommt gerne auf mich zu. Ich bin auch nicht inaktiv. Ich Ich lese meine Mails, also kontaktiert mich gerne. Ich. Ich bin für genau für alles, was Penetration, Offensive, Cybersicherheit, Sicherheitsmaßnahmen angeht, offen hier zur Verfügung zu stellen. Super. Und somit wünsche ich euch noch einen schönen Tag und das war's von dieser Folge Cybersecurity Chefsache Der Podcast. Bis zum nächsten Mal. Bis zum nächsten Mal. Sie haben auch ein Thema, was wir aufgreifen sollen. Schreiben Sie uns auf. Cybersecurity ist Chefsache Punkte. Cybersecurity ist Chefsache. Alle zwei Wochen eine neue Folge. Überall, wo es Podcasts gibt.