Praxisnahe Sicherheitsszenarien
Illustrative Szenarien basierend auf typischen Sicherheitsproblemen, die wir antreffen. Kundennamen werden anonymisiert.
Webshop mit anfälligem Checkout
Die Herausforderung
Ein wachsender Webshop verarbeitet täglich hunderte Zahlungen. Der Inhaber vermutet Sicherheitsprobleme beim Zahlungsvorgang.
Unser Ansatz
Wir führten einen Web-Anwendungs-Pentest durch, der sich auf den Checkout-Fluss, Zahlungsintegrationen und Kundenkonten konzentrierte.
Erkenntnisse
- ›Preismanipulation via Parameter-Tampering möglich
- ›Unzureichende Validierung von Gutscheincodes
- ›Session-Tokens nach Abmeldung nicht korrekt ungültig gemacht
- ›Kundenbestellungen anderer Nutzer via IDOR sichtbar
Ergebnis
Nach einem intensiven Re-Test wurden alle kritischen und hohen Schwachstellen behoben. Der Webshop ist jetzt PCI DSS-konform.
KMU mit schwacher Passwortrichtlinie
Die Herausforderung
Ein Buchhaltungsbüro mit 25 Mitarbeitern hat sich nie aktiv mit Cybersicherheit befasst.
Unser Ansatz
Wir führten eine interne Netzwerkbewertung, Phishing-Simulation und Passwortaudit durch, kombiniert mit einem Test der Microsoft 365-Umgebung.
Erkenntnisse
- ›73% der Mitarbeiter klickten auf die Phishing-Simulation
- ›Mehrere Konten nutzten Varianten von 'UnternehmenName2023'
- ›Kein MFA auf kritischen Systemen aktiv
- ›Zwei ehemalige Mitarbeiter hatten noch aktive Konten
Ergebnis
MFA aktiviert, Passwort-Manager eingeführt, alle Mitarbeiter geschult. Beim Re-Test nach 3 Monaten klickten nur noch 8% auf Phishing.
SaaS-Plattform mit API-Leck
Die Herausforderung
Ein SaaS-Unternehmen startet eine neue Plattform mit einer RESTful-API und möchte deren Sicherheit vor dem Launch überprüfen.
Unser Ansatz
Vollständiger API-Sicherheitstest inklusive Authentifizierungsflüsse, Rate Limiting, Datenexpositionsanalyse und Privilege-Escalation-Tests.
Erkenntnisse
- ›API gab sensible Benutzerdaten in Fehlermeldungen zurück
- ›Kein Rate Limiting auf Authentifizierungs-Endpunkten
- ›JWT-Tokens via schwachem Signing Key manipulierbar
- ›Admin-Endpunkte unzureichend via RBAC geschützt
Ergebnis
Alle kritischen Befunde vor dem Launch behoben. Die Plattform startete ohne Sicherheitsvorfälle.
Phishing-anfälliges Unternehmen
Die Herausforderung
Ein Finanzberatungsunternehmen erhält zunehmend verdächtige E-Mails und möchte den Schutz seiner Mitarbeiter überprüfen.
Unser Ansatz
Mehrstufige Phishing-Kampagne: CEO-Betrug, IT-Helpdesk-Imitation und gefälschte Rechnungen. Kombiniert mit E-Mail-Sicherheitsaudit.
Erkenntnisse
- ›DMARC nicht konfiguriert — Domain konnte gespootet werden
- ›62% der Mitarbeiter öffneten die Phishing-E-Mail
- ›28% gaben Zugangsdaten auf der gefälschten Seite ein
- ›Kein Verfahren zum Melden verdächtiger E-Mails
Ergebnis
DMARC, SPF und DKIM korrekt konfiguriert. Schulung für alle Mitarbeiter. Re-Test: nur 6% klickten — 90% Reduktion.
Cloud-Umgebung mit fehlerhaften Berechtigungen
Die Herausforderung
Ein Scale-up hat seine gesamte Infrastruktur in AWS, aber noch nie eine Sicherheitsüberprüfung durchgeführt.
Unser Ansatz
Vollständige AWS-Cloud-Sicherheitsüberprüfung basierend auf CIS Benchmark. Analyse von IAM-Rollen, S3-Bucket-Richtlinien, Sicherheitsgruppen und CloudTrail.
Erkenntnisse
- ›3 S3-Buckets öffentlich zugänglich mit Kundendaten
- ›Mehrere IAM-Benutzer mit zu breiten Berechtigungen
- ›CloudTrail-Protokollierung nicht in allen Regionen aktiv
- ›Secrets im Code von Lambda-Funktionen hart kodiert
Ergebnis
Alle öffentlichen Buckets gesichert. IAM-Berechtigungen auf Minimum reduziert. Secrets Manager implementiert. Datenleck-Risiko vollständig eliminiert.