Wie ein Pentester ein Maschinenbauunternehmen hackte

Unternehmen bezahlen Pentester dafür, dass sie versuchen, in ihre Systeme einzubrechen. Im Folgenden erfahren Sie, wie ein sogenannter Black-Box-Test abläuft.

Artikel verschenken

68

(Bild: Rudolf A. Blaha)

26.10.2022, 07:00 Uhr

Lesezeit: 22 Min.

c't Magazin

Von

Michael Wiesner

Wie ein Pentester ein Maschinenbauunternehmen hackte
- Informationsbeschaffung
Angriffe starten und Schwachstellensuche
Ein Schritt vor und zwei zurück
Portale knacken
Abschluss

Artikel in c't 23/2022 lesen

Es ist April 2022, ich will eigentlich gerade den Laptop zuklappen, da flattert eine Anfrage in mein Postfach. Ein mittelständisches Maschinenbauunternehmen aus dem Norden Deutschlands will mich für einen sogenannten Pentest buchen.

Ein Pentest kann vieles sein, das Spektrum reicht von Sicherheitsanalysen einzelner Applikationen oder Systeme bis hin zur Simulation zielgerichteter Angriffe. Noch umfassender sind sogenannte "Red Team Assessments". Dabei überprüfen Pentester, wie gut Systeme und Mitarbeiter zur Erkennung und Abwehr von Angriffsversuchen ausgerüstet sind.

Im Videotelefonat am nächsten Tag schildert der Chef der IT-Abteilung des Auftraggebers, worum es geht: Ich soll ohne Kenntnis über die IT-Infrastruktur in interne Systeme des Unternehmens einbrechen. Als einziger Anhaltspunkt dient die Domain – eine Information, die jeder Mensch mit Zugang zum Internet innerhalb von Sekunden herausfinden könnte. "Black-Box-Test" nennt man solche Penetrationstests, bei denen der Pentester agiert wie ein typischer Angreifer. Alle weiteren benötigten Informationen muss ich dabei – in Abgrenzung zum White-Box-Test, bei dem der Pentester über Insiderwissen verfügt – selbst herausfinden. Der Einbruchsversuch soll einen zielgerichteten Angriff simulieren und möglichst verdeckt über das Internet erfolgen. Entsprechend darf ich alle Mittel einsetzen, die auch ein echter Angreifer nutzen würde. Das könnte spannend werden – ich bin interessiert. Wir besprechen die Rahmenbedingungen und halten das Ganze vertraglich fest. In Angriff nehme ich den Test Anfang Juni.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

Proxmox VE: Was es kann und was man dafür braucht

Proxmox VE ist eine Linux-Distribution für Server- und Desktop-Virtualisierung, die viel Platz sparen kann.

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Im Herbst 2024 steht unweigerlich wieder eine frische Windows-Version mit einem Schwung neuer Funktionen an. Was drinsteckt, ist bereits gut zu erkennen.

Proxmox VE: Was es kann und was man dafür braucht

Proxmox VE ist eine Linux-Distribution für Server- und Desktop-Virtualisierung, die viel Platz sparen kann.

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Wie ein Pentester ein Maschinenbauunternehmen hackte

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Proxmox VE: Was es kann und was man dafür braucht

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt

Proxmox VE: Was es kann und was man dafür braucht

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.