Spezialisierte Penetrationstests: Mobile, OT/ICS, API, LLM & 5G

Das Smartphone ist das meistgenutzte Endgerät im Unternehmensalltag. Industrieanlagen sind im Zuge von Industrie 4.0 nahezu vollständig digitalisiert und vernetzt. KI-Chatbots verarbeiten sensible Unternehmensdaten. 5G verbindet tausende IoT-Geräte - von der Kaffeemaschine bis zur Industriesteuerung. Single-Sign-On-Systeme bündeln den Zugriff auf die gesamte Infrastruktur in einem einzigen Authentifizierungspunkt.

Jede dieser Technologien bringt eigene Angriffsflächen mit. Ein generischer Pentest, der für Web-Applikationen oder klassische Netzwerkinfrastruktur entwickelt wurde, reicht hier nicht aus. Wer spezialisierte Technologie einsetzt, braucht spezialisierte Sicherheitstests.

Dieser Artikel erklärt, was spezialisierte Penetrationstests von Standardtests unterscheidet, welche Methoden und Tools jeweils zum Einsatz kommen und welche typischen Schwachstellen in jedem Bereich gefunden werden.

---

Warum spezialisierte Pentests notwendig sind

Ein Penetrationstest ist - unabhängig vom Ziel - ein simulierter, kontrollierter Angriff durch beauftragte Sicherheitsexperten. Ziel ist es, Schwachstellen zu finden, bevor ein echter Angreifer sie ausnutzt. Was sich verändert, sind die Angriffsflächen, Protokolle, Werkzeuge und Rahmenbedingungen.

Drei Gründe machen spezialisierte Testmethoden erforderlich:

Unterschiedliche Angriffsmodelle. Ein iOS-App-Pentest setzt einen Jailbreak voraus und analysiert das Laufzeitverhalten einer App. Ein OT/ICS-Pentest darf die physische Produktion nicht zum Stillstand bringen. Ein LLM-Pentest arbeitet mit Prompt Engineering statt mit klassischen Exploit-Frameworks. Jeder Bereich hat sein eigenes Bedrohungsmodell.

Spezialisierte Protokolle und Technologien. OT-Netzwerke sprechen Modbus, DNP3 und OPC UA - Protokolle, die ohne Authentifizierung und Verschlüsselung arbeiten. OpenID Connect implementiert OAuth 2.0 mit JSON Web Tokens nach eigenen Spezifikationen. 5G-Kernnetzwerke basieren auf softwaredefinierten Architekturen mit HTTP2- und JSON-basierten Schnittstellen. Wer diese Protokolle nicht kennt, kann keine sinnvollen Sicherheitstests durchführen.

Abweichende Rahmenbedingungen. In der OT bedeutet Downtime physischen Schaden - Safety geht vor Exploitation. Bei LLM-Tests geht es primär um Manipulation und Datenlecks, nicht um klassische CVEs. Ein 5G-Pentest konzentriert sich auf das Netzwerk selbst, nicht auf die Systeme darin.

---

Mobile Pentesting: iOS und Android

Mit einem Anteil von 50,6 % am globalen Web-Traffic sind Smartphones das meistgenutzte Endgerät. Mobile Apps verwalten E-Mails, Gesundheitsdaten, Smart-Home-Geräte und Unternehmensanwendungen - und sind damit ein kritisches Angriffsziel.

Vorbereitung: Jailbreak als Grundlage

Die Grundlage für einen iOS-App-Pentest bildet ein Jailbreak. Dieser ermöglicht den offenen Zugang zum Betriebssystem, ohne den Hacking einer Anwendung nur eingeschränkt möglich wäre. Mit dem Jailbreak können die benötigten Hacking-Tools über einen alternativen App-Store - Sileo oder Cydia - installiert werden. Außerdem wird es möglich, eine App zur Laufzeit zu analysieren und damit Erkenntnisse über verwendete Bibliotheken, den Programmfluss und die Netzwerkkommunikation zu gewinnen.

Die bekanntesten Jailbreaks für iOS 14 und iOS 15 sind checkra1n, palera1n und Fugu14/15.

Unverzichtbare Tools

Frida ist das zentrale Werkzeug für Laufzeitanalyse und Reverse Engineering. Es arbeitet nach dem Client-Server-Modell: Der Server läuft auf dem mobilen Endgerät, ein Client verbindet sich vom Analyst-System. Fortgeschrittene Aufgaben wie Funktions-Tracing oder Binary Patching sind damit durchführbar.

SSL Killswitch 2 ändert systemweit die Funktion zur Validierung von TLS-Zertifikaten. Es sorgt dafür, dass auch das selbstsignierte Zertifikat eines Proxy-Servers akzeptiert wird - ein notwendiger Schritt, um den verschlüsselten Datenverkehr zwischen App und Server mit Burp Suite oder Wireshark mitzulesen und zu manipulieren.

A-Bypass umgeht die Jailbreak-Detection-Mechanismen, die viele App-Entwickler implementieren, um eine Analyse zu erschweren. Das Tool kennt eine Vielzahl bekannter Detection-Mechanismen und kann den Bypass pro App separat aktivieren.

Typische Schwachstellen

Ein wesentlicher Angriffspunkt ist die Netzwerkkommunikation zwischen Smartphone und Server. Unzureichend abgesicherter Datenverkehr - etwa fehlende Certificate Pinning Implementierung oder deaktivierte TLS-Validierung - ermöglicht Man-in-the-Middle-Angriffe. Darüber hinaus werden bei iOS-Pentests unsichere Datenspeicherung auf dem Gerät, schwache Authentifizierungsmechanismen und unsichere Inter-App-Kommunikation untersucht.

Für eine tiefgehende Sicherheitsanalyse ist es notwendig, den Quellcode einer App zu auditieren und das Laufzeitverhalten zu bestimmen. Dabei helfen Reverse-Engineering-Methoden, die mit Frida durchgeführt werden.

Der Referenzleitfaden für Mobile App Security Tests ist der MASTG (Mobile Application Security Testing Guide) der OWASP. Für Android-Apps gelten ähnliche Prinzipien mit entsprechend angepassten Tools.

Mehr zu unseren Leistungen: Mobile Apps Penetrationstest

---

OT/ICS Penetrationstest: Industrielle Steuerungssysteme

Die Operational Technology (OT) stellt das informationstechnische Rückgrat der modernen Industrie dar. Roboter, Sensoren, Maschinen und Förderbänder sind im Zuge der Industrie 4.0 nahezu vollständig digitalisiert und vernetzt. OT/ICS-Pentests unterscheiden sich dabei grundlegend von klassischen IT-Pentests.

Safety First: Die entscheidende Unterschiede

Verfügbarkeit. In der IT bedeutet Downtime Produktivitätsverlust - schlimm, aber behebbar. In der OT bedeutet Downtime Produktionsausfall, Sicherheitsrisiko und möglicherweise physischen Schaden. Eine abgestürzte Kühlanlage lässt Lebensmittel verderben; ein unkontrollierter Prozess in einer Chemieanlage kann katastrophale Folgen haben. OT-Pentests erfordern daher kein aggressives Scanning ohne ausdrückliche Genehmigung.

Patch-Zyklen. In der IT werden Updates regelmäßig und monatlich eingespielt. In der OT bleiben Patches oft jahrelang aus, da Zertifizierungsanforderungen Änderungen einschränken. Eine Siemens-SPS-Firmware von 2012 kann nicht einfach aktualisiert werden - bekannte Schwachstellen existieren, sind aber nicht patchbar. Die Konsequenz: Dokumentation statt Ausnutzung.

Protokolle. Während IT-Umgebungen auf TCP/IP, HTTP und TLS setzen, verwendet OT proprietäre Protokolle wie Modbus (TCP/RTU), DNP3, Profibus, OPC DA/UA, EtherNet/IP und HART. Viele dieser Protokolle wurden ohne Authentifizierung, Verschlüsselung oder Autorisierung entwickelt. Fehlerhafte Pakete können eine SPS zum Absturz bringen.

Legacy-Systeme. IT-Systeme laufen auf erprobten Windows- und Linux-Servern. OT-Systeme nutzen Real-Time-Betriebssysteme, Embedded Systems und teils 20 Jahre alte Infrastruktur - Windows XP als HMI (Human Machine Interface) ist keine Seltenheit, obwohl das End-of-Life bereits 2014 erreicht wurde. Die Angriffsoberfläche durch Legacy-Systeme ist enorm, aber die Ausnutzung bleibt gefährlich.

Die Auswirkungen unterscheiden sich erheblich: In der IT sind physischer Schaden, Verletzungen und Umweltschäden ausgeschlossen. In der OT sind sie möglich. Historische Beispiele unterstreichen das Risiko: STUXNET (2010) zerstörte Uran-Zentrifugen durch Malware; Industroyer (Ukraine, 2016) verursachte einen Blackout durch gezielte Malware-Angriffe.

Testmethodik: Passiv vor aktiv

Die sicherste Methode ist passives Lauschen über einen Netzwerk-Tap oder SPAN-Port an einem Managed Switch. Mit Wireshark oder tcpdump wird der Traffic analysiert, ohne selbst Pakete zu senden. Dabei lassen sich folgende Informationen gewinnen: aktive Protokolle (Modbus, EtherNet/IP, OPC), kommunizierende Systeme, unverschlüsselter Klartextverkehr und fehlerhafte Konfigurationen.

Netzwerk-Scanning ist nur nach ausdrücklicher Genehmigung zulässig. Grundregel: NIEMALS ARP-Sweep oder aggressives Scanning ohne Genehmigung. Nmap wird mit OT-sicheren Optionen eingesetzt (-sn -T1 --max-retries 1). In OT-Umgebungen grundsätzlich verboten sind aggressives Scanning (nmap -A, -T4/-T5) sowie Vulnerability Scanner wie Nessus oder OpenVAS ohne ausdrückliche Genehmigung.

Modbus wurde per Design ohne Authentifizierung, Verschlüsselung oder Autorisierung entwickelt. Alle 255 Unit IDs sind erreichbar - wer eine TCP-Verbindung aufbauen kann, hat vollen Zugriff. Bei OPC UA sind Security Mode (None/Sign/Sign & Encrypt), Security Policy und Authentifizierungsmechanismus (Anonymous vs. Zertifikat) zu prüfen.

Der OOTTG: Standardisierter Leitfaden für OT-Tests

Ein Pentest sollte immer entlang eines Leitfadens durchgeführt werden. Für Websicherheit gibt es den WSTG, für mobile Anwendungen den MASTG - ein vergleichbares Werk für OT-Sicherheit fehlte lange. AWARE7 hat deshalb den Open Operational Technology Testing Guide (OOTTG) ins Leben gerufen, der unter a7.de/fue/oottg/ einsehbar ist.

Der OOTTG definiert vier verschiedene Kataloge: Firmware, Physikalisch, Netzwerk und Bus. In jedem Katalog sind Testfälle mit typischen Schwachstellen und Angriffspunkten definiert. Der Firmware-Katalog deckt beispielsweise alle Tests gegen Schwachstellen ab, die mit der Firmware von OT-Geräten einhergehen - darunter unverschlüsselte oder veraltete Firmware-Software und fehlende Verifikation beim Update-Prozess.

Außerdem enthält der OOTTG Kapitel zur Modellierung und zu den Phasen eines Penetrationstests. Die Modellierung gibt Kunden, Testern und Management den verbindlichen Rahmen für das Projekt vor: Informationsbasis, Aggressivität, Zugang und Testkanäle werden festgelegt.

Typische Findings

Der häufigste Befund in OT-Umgebungen ist fehlende IT/OT-Segmentierung: Das Office-Netz hat direkten Zugang zum SPS-Netz. Ein kompromittierter Mitarbeiter-Laptop macht dadurch die SPS erreichbar.

Weitere häufige Schwachstellen:

• Remote-Zugriff ohne Sicherheitskontrolle (TeamViewer auf dem HMI ohne MFA, RDP aus dem Internet erreichbar)
• Standardpasswörter auf Komponenten (SPS: admin/admin, Switch-Management: Default Credentials)
• Ungepatchte Systeme mit hunderten bekannter CVEs (WinXP-HMI, veraltete SPS-Firmware)
• Unnötige Dienste (HTTP-Server auf der SPS, FTP für Programmierung aktiv, SNMP v1/v2c mit Community String “public”)
• Kein physischer Zugangsschutz zur Schalttafel (direkter SPS-Zugriff per Programmierkabel ohne Passwortschutz)

Bei der Berichterstattung gilt: OT-Berichte dürfen keine Anleitung für Angreifer darstellen. Proof-of-Concept-Exploits haben im Bericht nichts zu suchen. CVSS-Schweregrade sind für OT häufig zu niedrig - ein CVSS “Medium” auf einer SPS stellt ein Safety-Risiko dar und ist als kritisch einzustufen. Bei Maßnahmenempfehlungen sind kompensatorische Maßnahmen vorzuziehen, da ein Patch oft nicht möglich ist.

Mehr zu unseren Leistungen: IoT & OT Security Penetrationstest

---

API & SSO Pentesting: OpenID Connect und OAuth

Single-Sign-On-Systeme erfreuen sich großer Beliebtheit, weil sie die Verwaltung von Anmeldedaten vereinfachen. Nutzer melden sich einmal an und sind in allen verbundenen Services eingeloggt. OpenID Connect (OIDC) hat sich für SSO etabliert - doch die protokollinhärente Komplexität schafft konkrete Angriffsflächen, die ohne gezielten Penetrationstest unentdeckt bleiben.

Was ist OpenID Connect?

OpenID Connect ist eine Methode für die Identitätsverifikation. Das Authentifizierungsprotokoll basiert auf OAuth 2.0 und ermöglicht Anmeldungen bei unterschiedlichen Diensten, ohne die Anmeldeinformationen mit den Dienstleistern selbst teilen zu müssen. OIDC nutzt JSON Web Tokens für die Identitätsverifizierung: Nutzer geben den Login beim OpenID Connect Provider (OP) ein, dieser authentifiziert den Nutzer und sendet ein ID-Token, das Dienstleister zur Anmeldung verwenden.

OIDC bringt durch offene Standards eine hohe Entwicklerfreundlichkeit mit. Das System ist gut dokumentiert, weitläufig eingesetzt und gut interoperabel. Genau diese Verbreitung macht es zu einem attraktiven Angriffsziel.

Das zentrale Risiko: Der SSO-Multiplikatoreffekt

SSO-Systeme bündeln den Zugriff auf zahlreiche Dienste in einem einzigen Provider. Ein kompromittierter OpenID Connect Provider gefährdet damit die gesamte verbundene Infrastruktur gleichzeitig. Das Risiko ist nicht nur technischer, sondern auch organisatorischer Natur: Entwickler, die OIDC ohne ausreichende Expertise implementieren, schaffen Schwachstellen, die schwer zu erkennen und leicht auszunutzen sind.

Das ganze System könnte aufgrund eines kompromittierten OpenID Connect Providers ins Wanken geraten. Die erwähnte Komplexität macht eine sorgfältige Implementierung zwingend erforderlich - gerade bei weniger erfahrenen Entwicklern ein realistisches Risiko.

Was prüft ein OIDC-Pentest?

Ein OpenID Connect Pentest nimmt eine umfassende Sicherheitsbewertung vor. Sämtliche OIDC-Komponenten werden gescannt und Konfigurationen auf Schwachstellen untersucht. Konkret werden geprüft:

• Token-Validierung: Werden ID-Tokens korrekt verifiziert? Können Token-Werte manipuliert werden?
• Signatur- und Verschlüsselungsmechanismen: Sind robuste Algorithmen konfiguriert? Werden schwache Cipher Suites akzeptiert?
• Provider-Anbindung: Wurde der OIDC-Support korrekt implementiert? Gibt es Logikfehler im Authentifizierungsfluss?
• Redirect-URI-Validierung: Können Angreifer den Authorization Code abfangen?
• State-Parameter und CSRF-Schutz: Ist die Implementierung gegen Cross-Site Request Forgery abgesichert?

Entdeckt der Penetrationstester eine Schwachstelle, beginnt er mit dem Versuch, sie auszunutzen und ihr Potenzial zu ermitteln. Das abschließende Reporting legt alle Findings mit technischen Details für die Entwickler dar.

DSGVO-Haftungsrisiken

Ein kompromittiertes SSO-System ist nicht nur ein technisches Problem. Wer OpenID Connect einsetzt und dabei Sicherheitslücken übersieht, riskiert unter Umständen erhebliche Strafen und Schadensersatzansprüche - neben dem Reputationsschaden. Ein ordentlicher Penetrationstest findet Schwachstellen lange bevor diese aktiv ausgenutzt werden können.

---

LLM/KI Penetrationstest: Große Sprachmodelle absichern

Large Language Models (LLMs) wie GPT-4 von OpenAI, PaLM von Google oder Llama 2 von Meta sind im Unternehmensalltag angekommen. Damit einher gehen spezifische Sicherheitsrisiken, die durch Pentests der Modelle selbst - nicht deren Einsatz als Testing-Werkzeug - systematisch aufgedeckt werden müssen.

Wie funktionieren LLMs und warum entstehen Sicherheitsrisiken?

Large Language Models basieren darauf, dass sie einen großen Datensatz in natürlicher Sprache verwenden, um darauf aufbauend eine Vorhersage dessen zu treffen, was als Nächstes gesagt wird. Das LLM selbst ist ein neuronales Netzwerk für maschinelles Lernen. Es lernt relativ eigenständig, indem es Inhalte eingespielt bekommt und darauf aufbauend passende Antworten vorhersagen soll.

Ein entscheidender Punkt: LLMs treffen Wahrscheinlichkeitsvorhersagen. Sie sagen voraus, was eine sinnvolle Antwort wäre - nicht was faktisch korrekt ist. Wenn Trainingsdaten fehlerhaft oder manipulierbar sind, entstehen die sogenannten KI-Halluzinationen: erfundene Antworten, die für das Modell statistisch plausibel erscheinen.

Bestehende LLMs wie ChatGPT oder Google Bard stellen keine geschlossenen Systeme dar. Wer Informationen eingibt, leitet diese an die Serverfarm weiter, wo sie das Sprachmodell weiter trainieren und verfeinern. LLMs lernen beständig durch die eingegebenen Daten.

Das größte Risiko: Datenschutz und Vertraulichkeit

Das größte Problem, das Large Language Models haben, ist die Herausforderung im Bereich Datenschutz. Das Sicherheitsrisiko liegt zunächst in einem potenziellen Leak von unternehmensinternen Datensätzen, die nicht für andere Augen bestimmt sind. Je vertraulicher die Daten sind - Finanzgeschäfte, Gesundheitswesen - desto problematischer wird der Einsatz eines LLMs.

Im Bereich IT und Programmierung könnte ein LLM eigene Entwicklungen der Konkurrenz zugänglich machen, direkt von ihren Erfolgen lernen oder gar Sicherheitslücken offenbaren und diese offenherzig weitergeben.

Typische Angriffsvektoren bei LLM-Pentests

Sicherheitslücken in LLMs haben fast immer mit gezielter Manipulation zu tun. Da kein Mensch in Echtzeit in das Geschehen eingreifen kann, können Large Language Models durch gezielte Fragen in bestimmte Richtungen gelenkt und manipuliert werden. Typische Angriffsvektoren umfassen:

Prompt Injection: Gezielte Eingaben, die das Modell veranlassen, seine Systemanweisungen zu ignorieren und unerwünschte Inhalte zu produzieren. Lernt ein LLM von manipulierten Antworten, kann dieses Vorgehen so penetrant missbraucht werden, dass das erlernte Wissen immer schlechter wird.

Datenexfiltration durch Manipulation: Die Manipulation hat das Ziel, geschützte Daten aus dem LLM zu extrahieren. Das ist möglich, wenn das Unternehmen ein LLM gezielt für die Arbeit in einem Bereich trainiert hat und dabei interne Daten verarbeitet wurden.

Jailbreaking: Techniken, die das Modell dazu bringen, Sicherheitsfilter zu umgehen und Inhalte zu produzieren, die eigentlich blockiert sein sollten.

Klassische Angriffe auf die Infrastruktur: Gelangt ein Angreifer per Hack an das LLM, könnte er es ganzheitlich kontrollieren, für persönliche Zwecke entfremden oder Daten dauerhaft ableiten und versenden.

Referenz: OWASP Top 10 für LLMs

AWARE7 ist Contributor der OWASP Top 10 für LLM-Anwendungen, die die zehn kritischsten Sicherheitsrisiken für den Einsatz von Sprachmodellen umfasst. Dieser Leitfaden dient als Grundlage für strukturierte LLM-Sicherheitstests.

Unternehmen setzen zunehmend auf kleinere, speziell trainierte Sprachmodelle, die für unternehmenseigene Interessen konfiguriert werden können, ohne unzählige Datenmengen und Kosten zu verursachen. Egal welches Sprachmodell eingesetzt wird - es besteht immer die Chance, dass selbiges Sicherheitslücken beinhaltet, da LLMs durch geschickte Manipulation kontrolliert werden können.

---

5G Penetrationstest: Neue Angriffsflächen im Mobilfunknetz

Die fünfte Generation des Mobilfunkstandards ist nicht nur eine Geschwindigkeitssteigerung gegenüber LTE. 5G soll bis zu 10 Gbit/s realisieren und ermöglicht die massenhafte Anbindung von IoT-Geräten. Mit dieser Erweiterung wächst auch die Angriffsfläche erheblich.

Was macht 5G sicherheitskritisch?

5G kennt drei verschiedene Bereiche mit unterschiedlichen Priorisierungen:

• eMBB (Enhanced Mobile Broadband): Bekannte Mobilfunkverbindungen
• mMTC (Massive Machine Type Communication): Internet der Dinge mit geringen Datenraten und wenig Energieverbrauch
• uRLLC (Ultra Reliable Low Latency Communications): Kritische Infrastruktur, autonomes Fahren und ähnlich komplexe Anwendungen

Gerade der mMTC-Bereich sorgt für eine erheblich vergrößerte Angriffsfläche. Mit 5G verbinden sich potenziell deutlich mehr Geräte mit dem Internet. Von der Kaffeemaschine bis hin zur Waschmaschine ist heutzutage alles mit entsprechender IT ausgestattet. Wo eine Verbindung besteht, ist immer auch ein Sicherheitsrisiko zu finden. Hersteller von Alltagsgeräten spielen in der Regel keine Sicherheitspatches ein, wenn Schwachstellen bekannt werden.

Wo Sicherheitslücken entstehen, können Botnetze aufgebaut werden, die mittels DDoS-Angriff ganze Server lahmlegen. Die dynamischen, softwarebasierten Systeme, die bei 5G zum Einsatz kommen, besitzen viele mögliche Angriffspunkte. Die verschiedenen Traffic-Lenkungspunkte müssten alle dauerhaft überwacht werden, damit 5G wirklich als sicher bezeichnet werden kann. Hinzu kommt die fehlende Verschlüsselung im Verbindungsprozess, der Details zu den Geräten selbst offenlegen kann.

5G Pentest: Das Netzwerk selbst im Fokus

Ein 5G-Pentest setzt sich anders zusammen als ein klassischer Pentest. Es geht vor allem um das Netzwerk selbst - nicht die IT-Systeme, die sich darin befinden. Der ethische Hacker greift das 5G-Netz kontrolliert an, um herauszufinden, wo potenzielle Probleme zu finden sein könnten.

Konkret dreht sich alles darum, Netzwerkschwachstellen innerhalb von 5G zu finden. Dazu gehören:

• Unzureichende Sicherheitskonfiguration der Netzwerkkomponenten
• Protokoll-Fuzzing an den 5G-Schnittstellen
• Traffic-Analysen zur Erkennung von Datenlecks
• HTTP2/JSON-basierte Angriffe auf das Kernnetzwerk
• Protokollprüfungen auf veraltete oder unsichere Standards
• Analyse der softwarebasierten Traffic-Lenkungspunkte

Was genau getestet wird, hängt vom jeweiligen Netzwerk und dem Unternehmen ab. Ziel ist am Ende immer, dass eine zuverlässige Bewertung der 5G-Netzwerksicherheit abgegeben werden kann.

---

Regulatorische Anforderungen pro Bereich

Spezialisierte Pentests sind nicht nur eine Frage der Best Practice - in vielen Branchen und Regulierungsrahmen sind sie verpflichtend oder werden bei Audits als Nachweis gefordert.

Mobile Apps (iOS/Android)

Unternehmen, die mobile Apps für regulierte Branchen entwickeln - Finanzdienstleistungen, Gesundheitswesen - müssen regelmäßige Sicherheitstests nachweisen. Die OWASP Mobile Application Security (MAS) definiert den Stand der Technik für mobile Sicherheitstests. Banken und Zahlungsdienstleister unterliegen zusätzlich den Vorgaben der DSGVO und PCI DSS, die mobile App-Sicherheitsprüfungen einschließen.

OT/ICS

Für Betreiber kritischer Infrastruktur (KRITIS) in Deutschland ist die IT-Sicherheit nach BSI-Gesetz verbindlich. Die IEC 62443 ist der maßgebliche Industriestandard für OT-Sicherheit; sie definiert Sicherheitsstufen (SL 1-4) und Anforderungen an Sicherheitsmanagementsysteme für industrielle Automatisierungssysteme. Die NIS2-Richtlinie der EU erweitert den Kreis der verpflichteten Unternehmen erheblich - Energie, Wasser, Abwasser, Transport und weitere Sektoren sind eingeschlossen. Regelmäßige Penetrationstests sind zentraler Bestandteil der geforderten Risikomaßnahmen.

API & SSO (OpenID Connect)

Die DSGVO verlangt den Schutz personenbezogener Daten durch technische Maßnahmen. SSO-Systeme, die Identitätsdaten zentralisieren, sind nach Artikel 25 und 32 DSGVO besonders zu schützen. Ein kompromittierter OpenID Connect Provider kann als einzelner Schwachpunkt eine DSGVO-Verletzung mit Haftungsfolgen auslösen. Regelmäßige OIDC-Pentests sind eine anerkannte technische Maßnahme zur Risikominimierung.

LLM/KI-Systeme

Der EU AI Act, der seit 2024 schrittweise in Kraft tritt, klassifiziert KI-Anwendungen nach Risikostufen. Hochrisiko-KI-Anwendungen - beispielsweise im Bereich kritischer Infrastruktur, Bildung oder Personalentscheidungen - unterliegen strengen Anforderungen an Robustheit, Datensicherheit und regelmäßige Tests. LLM-Pentests, die Prompt Injection und Datenexfiltration prüfen, sind ein wichtiger Baustein für die Compliance mit dem EU AI Act.

5G-Netzwerke

Telekommunikationsunternehmen und Betreiber privater 5G-Netze unterliegen den Anforderungen der ENISA (European Union Agency for Cybersecurity) sowie nationalen Vorschriften der Bundesnetzagentur. Für KRITIS-Betreiber, die 5G für uRLLC-Anwendungen einsetzen, gelten verschärfte Sicherheitsanforderungen.

---

Häufig gestellte Fragen

Was kostet ein spezialisierter Penetrationstest?

Die Kosten hängen von Scope, Komplexität und Testtiefe ab. Ein iOS-App-Pentest für eine einzelne App liegt typischerweise zwischen 3.000 und 8.000 EUR. OT/ICS-Pentests starten aufgrund der aufwendigen Vorbereitung, notwendigen Sicherheitskoordination und Testzeit vor Ort höher. Für ein konkretes Angebot ist eine Erstberatung der erste Schritt.

Wie lange dauert ein spezialisierter Pentest?

Ein iOS-App-Pentest dauert typischerweise 3-5 Tage. OT/ICS-Pentests umfassen durch die Vorbereitungsphase, passive Analyse und aktive Tests häufig 1-3 Wochen. OIDC-Pentests sind in der Regel in 2-4 Tagen abgeschlossen. LLM-Pentests variieren stark je nach Modellgröße und Integrationskomplexität.

Kann ein OT/ICS-Pentest die Produktion gefährden?

Ein professionell durchgeführter OT/ICS-Pentest nach dem Safety-First-Prinzip gefährdet die Produktion nicht. Aggressive Scan-Methoden ohne ausdrückliche Genehmigung sind tabu. Passive Analyse über SPAN-Ports, klar definierte Testfenster und ein Notfall-Protokoll mit sofortigem “Kill Switch” sind Pflichtbestandteile jedes OT-Pentests bei AWARE7.

Muss ich für einen LLM-Pentest Zugang zum Quellcode des Modells geben?

Nein. LLM-Pentests können als Black-Box-Test (nur Zugang zur API), Grey-Box-Test (Systemanweisungen bekannt) oder White-Box-Test (Zugang zu Trainingsparametern und Infrastruktur) durchgeführt werden. Die meisten praxisrelevanten Angriffsvektoren - Prompt Injection, Jailbreaking, Datenexfiltration - sind ohne Quellcode-Zugang testbar.

Welcher Pentest-Typ ist für mein Unternehmen relevant?

Das hängt von den eingesetzten Technologien ab. Wenn Sie mobile Apps für Kunden oder Mitarbeiter betreiben, ist ein Mobile Pentest relevant. Wenn Sie Produktionsanlagen oder Industriesteuerungen einsetzen, brauchen Sie einen OT/ICS-Pentest. Wenn Sie SSO mit OpenID Connect oder OAuth einsetzen, ist ein OIDC-Pentest notwendig. Wenn Sie LLMs in Geschäftsprozessen einsetzen, sollten Sie deren Sicherheit testen lassen. Wenn Sie ein privates 5G-Netz betreiben, ist ein 5G-Pentest empfehlenswert. Eine kostenlose Erstberatung hilft dabei, den relevanten Scope zu definieren.

Wie oft sollten spezialisierte Pentests wiederholt werden?

Penetrationstests sind kein einmaliges Ereignis. Sie sollten nach jeder wesentlichen Änderung - neue App-Version, neue OT-Komponente, neue KI-Integration - sowie mindestens jährlich wiederholt werden. Immer dann, wenn neue Systeme hinzukommen oder sich etwas im Unternehmen verändert hat, ist ein Penetrationstest angebracht.

Was ist der Unterschied zwischen einem Vulnerability Scan und einem Pentest?

Ein Vulnerability Scan identifiziert automatisch bekannte Schwachstellen anhand einer Datenbank. Ein Penetrationstest geht darüber hinaus: Pentester versuchen aktiv, gefundene Schwachstellen auszunutzen und kombinieren mehrere Schwachstellen zu realistischen Angriffspfaden. Pentests sind nicht unter Laborbedingungen entstanden, sondern bilden reale Angriffsszenarien nach. Nur der externe und unbefangene Blick spezialisierter IT-Sicherheitsexperten ermöglicht es, Netzwerke und Systeme entsprechend umfangreich zu testen.