Das Jahr 2025 beginnt mit einer der bedeutendsten Änderungen im Bereich Cybersicherheit: Die EU-Richtlinie NIS 2 steht kurz vor der Einführung – und sie bringt eine Menge Pflichten für Unternehmen mit sich. Was bedeutet das für dich? Ganz einfach: Es ist höchste Zeit, zu handeln!

Dir fehlt der Überblick? Unser 15-minütiges LinkedIn Live am 05.02.2025 liefert dir die Orientierung, die du jetzt brauchst. Dominik Sturm, Senior Security Consultant bei carmasec, präsentiert dir den aktuellen Stand der EU-Richtlinie und zeigt dir, wie du sie effizient in deinem Unternehmen umsetzen kannst.

Warum du bei unserem Webinar dabei sein solltest

Wir wissen, dass deine Zeit wertvoll ist. Deswegen ist dieses LinkedIn Live kurz, knackig und direkt auf den Punkt gebracht:

  • Was steht im Gesetz? Der aktuelle Stand der NIS 2-Umsetzung und was wirklich relevant ist.
  • Bist du betroffen? Erfahre, welche Unternehmen unter die Regelung fallen und was das konkret bedeutet.
  • Weniger Aufwand, mehr Wirkung: Tipps, wie du auf bestehende Sicherheitsmaßnahmen wie dein ISMS oder ISO 27001-Zertifizierungen clever aufsetzt, um effizient NIS 2-compliant zu werden.
  • Fragen zur Umsetzung? Du kannst deine Herausforderungen live schildern und bekommst Antworten direkt vom Experten.
  • Keine Kosten! Das Webinar ist zudem kostenfrei – du kannst dich ohne Verpflichtungen und unnötigen Aufwand einfach auf LinkedIn dazuschalten.

Dein Experte: Senior Security Consultant Dominik Sturm

Lächelndes Porträtfoto von Dominik Sturm, Senior Security Consultant bei der carmasec

Dominik bringt nicht nur fundiertes Wissen als zertifizierter Datenschützer und ISO 27001-Experte mit, sondern auch jahrelange praktische Erfahrung. Er weiß genau, wie Unternehmen wie deines die NIS 2-Anforderungen erfolgreich umsetzen können – ohne dabei den Kopf zu verlieren.

Save the Date

  • Datum: 05.02.2025
  • Uhrzeit: 11:00 Uhr
  • Dauer: 15 Minuten

Hast du bereits Fragen zur NIS 2? Schreib sie in die Kommentare unseres LinkedIn-Events oder stelle sie direkt live. Dominik wird sich die Zeit nehmen, deine Fragen während des Events persönlich zu beantworten.

 

Ein Macbook Tastatur mit zwei Händen. Drüber ist ein User Login eingeblendet.

Während unterschiedlichste IT-Sicherheitsmaßnahmen bei Unternehmen bekannt sind, wird die Bedrohung durch eine Kompromittierung der Passwörter von Mitarbeiter:innen oft unterschätzt. In der Regel fällt der Diebstahl unternehmenseigener Zugangsdaten erst auf, wenn bereits große Schäden angerichtet wurden. Um sich hiervor effektiv zu schützen, benötigen Unternehmen eine systematische Herangehensweise zur Auswahl und dem Einsatz geeigneter Maßnahmen.

In seinem Whitepaper erläutert Cyber Security Consultant Dr. Timo Malderle typische Angriffsvektoren des Identitätsdiebstahls. Dazu gehören beispielsweise die Mehrfachnutzung von Passwörtern sowohl im unternehmerischen als auch im privaten Kontext sowie die Verwendung von schwachen Zugangsdaten, die für Kriminelle leicht zu erraten sind. Zudem stellt der Experte für Cybersicherheit sieben Security-Tipps vor, mit denen Unternehmen die eigene Sicherheit bezüglich der Passwort-Authentifikation deutlich ausbauen können.

Lade dir dein Whitepaper herunter um den Identitätsdiebstahl vorzubeugen

So gelangst du zu deinem kostenlosen Whitepaper:

1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.

Unser Team besteht aus vielen unterschiedlichen Charakteren mit spannenden Karrierewegen. Heute stellen wir Euch unsere Kollegin Stefanie Koß vor. Im Interview sprachen wir mit dem Multitalent über ihren Karriereweg, den Wechsel aus der Wissenschaft in die Beratung und fragten, was sie antreibt.

Porträtfoto von Stefanie Nagel, Senior Security Consultant bei der carmasec.

Hallo Stefanie. Zunächst würden wir gerne wissen: Was treibt dich an?

Ich bin ein Mensch, der sich schnell für viele Dinge begeistern kann. Besonders interessieren mich alle Sportarten, die mit einem Ball zu tun haben. Ich habe zum Beispiel schon früh mit Tischtennis angefangen und war auch Trainerin im Verein und im Hochschulsport.

Generell interessierte ich mich dafür, wie Dinge funktionieren. In letzter Zeit habe ich mich mehr mit dem Küchenbau beschäftigt. Ich hatte immer mehr Ideen, wie die Küche besser nach meinen Wünschen gebaut werden könnte und wollte diese auch selbst umsetzen können. Ähnlich verhält es sich mit meinem Fahrrad, das ich gerne als Fortbewegungsmittel benutze und gelegentlich reparieren muss. Außerdem spiele ich sehr gerne Gesellschaftsspiele mit meinen Freund:innen und singe gerne im Chor.

Wie bist du zur IT-Sicherheit gekommen?

Eigentlich durch einen Zufall. Ich habe mein Informatikstudium in Aachen mit einem Master abgeschlossen. Während des Studiums habe ich mich hauptsächlich mit Themen der theoretischen Informatik beschäftigt. Meinen ersten Kontakt zur IT-Sicherheit hatte ich während eines Auslandssemesters in Edinburgh. Dort belegte ich das Fach Computer Security. Besonders begeisterten mich die vielen praktischen Übungen. Nach dem Studium nahm ich zunächst eine Stelle am Fraunhofer-Institut für Sichere Informationstechnologie an. Dort arbeitete ich unter anderem an der Weiterentwicklung und Optimierung eines Schwachstellenscanners, der mittels statischer Analyse Sicherheitslücken in Android-Apps und Java-Anwendungen findet – mein Interesse an der IT-Security war geweckt.

Was hat dich dazu bewogen in die Industrie zu gehen?

Ich wollte neue Erfahrungen sammeln, vor allem eigene Projekte entwickeln und mit unterschiedlichen Menschen zusammenarbeiten. Am Anfang wusste ich nicht genau, in welche Richtung ich gehen wollte. Ich konnte mir mehrere Möglichkeiten vorstellen: Softwareentwicklerin, etwas explizit mit IT-Sicherheit oder sogar eine Lehrtätigkeit.

Wie hast du deine Entscheidung schlussendlich getroffen?

Ich habe mich im Internet informiert und bin auf den Beruf des Consultant gestoßen. Das hat mir sofort gefallen, weil ich an verschiedenen Kundenprojekten arbeiten und unterschiedliche Branchen kennenlernen kann. Außerdem suchte ich einen Job, den ich mit meinem Interesse für IT-Sicherheit und Projektmanagement verbinden konnte.

Wieso hast du dich für die carmasec entschieden?

Bei carmasec kann ich mich nach meinen Wünschen weiterentwickeln und an verschiedenen Themen arbeiten. Als Beraterin finde ich es wichtig, dass man nicht einfach irgendeinen Kunden oder irgendein Projekt zugeteilt bekommt, sondern dass es zu einem passt und einen interessiert. Genau das bekomme ich hier geboten.

Weißt du schon, was die Zukunft für dich bereithält?

Aktuell habe ich noch keine langfristigen Pläne. Im Moment konzentriere ich mich weiterhin auf das Projektmanagement. Ich kann mir aber auch vorstellen, Abschlussarbeiten zu betreuen und möchte mich auch noch tiefer in das Informationssicherheitsmanagement einarbeiten. Generell möchte ich noch viel lernen und sehen.

Wir beschäftigen uns viel mit dem Thema Diversität und wir wissen bereits, dass Frauen in technischen Berufen unterrepräsentiert sind. Gibt es negative Erfahrungen die du machen musstest?

Bisher habe ich keine großen negativen Erfahrungen gemacht. Ich finde es aber schade, wenn veraltete Phrasen wie “die Jungs aus der IT” verwendet werden. Damit werden definitiv nicht alle Menschen angesprochen und das vermittelt ein falsches Bild. Ich habe auch schon erlebt, dass manche Leute ihren normalen Sprachgebrauch ändern, nur weil ich im Raum bin. Mein Tipp: Wenn Ihr wollt, dass sich die Personen in Eurem Umfeld mit Euch wohlfühlen, reflektiert gelegentlich Euren eigenen Sprachgebrauch.

Danke für das Interview!

Wachsen, wo Sicherheit mehr als ein Job ist.

Wir denken Cybersicherheit weiter. Aus Begeisterung, aus Neugier, aus Überzeugung. Bei carmasec hat jede:r die Möglichkeit, sich auszuprobieren, Verantwortung zu übernehmen und dabei ein Team im Rücken zu haben. Wir begegnen uns auf Augenhöhe, mit Vertrauen, Transparenz und dem gemeinsamen Ziel, wirklich etwas zu bewegen.

Werde Teil des Teams

Mehr erfahren

Das carmasec-Redaktionsteam erläutert in diesem Beitrag, warum es sinnvoll sein kann, gezielt Ausnahmen für Sicherheitssysteme wie IPS und WAFs mittels Allow Listing zu definieren und wie diese Methode Pentester:innen ermöglicht, effizient und störungsfrei zu arbeiten.

Wann ist der Einsatz von Allow Lists bei Pentests sinnvoll?

 

Illustration mit dem Spruch „May the Patch be with you

Wenn ein Penetrationstest ansteht, taucht schnell die Frage auf: Soll die IP-Adresse der Pentester auf eine „Allow List“ gesetzt werden, um Systeme wie Intrusion Prevention Systeme (IPS) oder Web Application Firewalls (WAFs) zu umgehen? Meine Erfahrung zeigt: Das kann die Testergebnisse nicht nur präziser, sondern auch wertvoller machen.

In diesem Beitrag zeigen wir dir, wann es sinnvoll ist, Pentester:innen die üblichen Sicherheitsbarrieren gezielt überspringen zu lassen.

Eine Einordnung: Welche Aufgabe haben IPS und WAFs und warum können sie einen Pentest verzögern?

IPS-Systeme und WAFs sollen Angriffe erkennen und blockieren – etwa durch die Erkennung von Port-Scans, SQL-Injections oder massenhaften automatisierten Anfragen. Wenn diese Systeme eine als „verdächtig“ eingestufte Aktivität aufspüren, reagieren sie oft mit einer Drosselung des Datenverkehrs oder der Sperrung der Quell-IP-Adresse, manchmal für eine gewisse Zeit – manchmal sogar komplett. Im Alltag ist dies ein erwünschtes Verhalten. Im Falle eines Pentests können diese Sicherheitsmaßnahmen jedoch das eigentliche Testziel stark beeinträchtigen.

 

Zeit ist der entscheidende Faktor

IPS und WAFs sind darauf ausgelegt, Angreifer abzuwehren und dir Zeit zu verschaffen, bei einem Angriff angemessen zu reagieren. Doch bei einem Penetrationstest können diese Schutzmaßnahmen den Ablauf erheblich stören. Ein Security Assessment ist auf ein festes Zeitfenster begrenzt. Erkennen die Security-Systeme Pentester fälschlicherweise als Angreifer, könnten beispielsweise ihre IP-Adressen blockiert werden. Das führt zu Verzögerungen im Testablauf, wodurch Schwachstellen übersehen werden und die Effizienz des Tests sinkt.

Am Ende zahlst du als Kunde für ein Assessment, das nicht sein volles Potenzial entfalten konnte.

Bei realen Angriffen hingegen haben die Hacker alle Zeit der Welt. Sie können ihre Aktionen verlangsamen und ein paar Anfragen über Tage oder Wochen hinweg senden, um unentdeckt zu bleiben.

Eine Allow List ermöglicht es den Pentestern, ohne Unterbrechung zu arbeiten und Schwachstellen direkt und effizient zu analysieren. So bleibt der Fokus auf der eigentlichen Aufgabe: Deine Systeme auf Herz und Nieren zu prüfen.

 

Der Testfokus liegt auf deinen Systemen, nicht auf der Sicherheitsperipherie

In den meisten Fällen hat ein Pentest zum Ziel, die Sicherheit deiner Applikationen oder Infrastruktur zu überprüfen – nicht die vorgelagerten IPS- oder WAFs-Systeme. Diese Schutzmaßnahmen erschweren es Angreifern, in dein System einzudringen.

Pentester, die direkten Zugriff haben, können deine tatsächlichen Assets auf Schwachstellen testen – und nicht nur die Security-Systeme davor.

Natürlich kann das Testen von IPS oder WAFs selbst sinnvoll sein, aber das ist ein gesondertes Ziel, das separat beauftragt und im Scope entsprechend festgehalten werden sollte.

 

Sind Allow Lists auch für interne Pentests sinnvoll?

Allow Lists sind nicht nur für externe Pentests nützlich. Auch bei internen Tests kann es sinnvoll sein, einzelne Ordner oder Systeme für Antivirenprogramme (AV) und für die Endpoint Detection and Response Systeme (EDR) gezielt auszuschließen. Das hängt vom Testziel ab: Wenn du beispielsweise Deine SIEM-Erkennungsmechanismen oder die Reaktion auf Sicherheitsvorfälle evaluieren möchtest, kannst du mit Allow Lists wertvolle Zeit sparen, da sich deine Pentester auf die wesentlichen Aufgaben konzentrieren können.

Du hast Fragen zu unseren Pentest-Angeboten?

Sicherheit validieren, bevor Angreifende den ersten Schritt setzen. Penetration Testing, Red Teaming und Angriffssimulationen von Senior-Expert:innen, die wissen, wie Hacker denken.

Übersicht des Portfolio