Der CRA verändert die Anforderungen an digitale Produkte tiefgreifend. Welche Pflichten auf Hersteller zukommen, erfährst du hier kompakt zusammengefasst.

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

• Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
• Medizinische Geräte
• Produkte für die nationale Sicherheit / Militär
• Produkte für die Verarbeitung von Verschlusssachen

Fakten auf einen Blick

• Verabschiedung: 13. März 2024 durch das Europäische Parlament
• Inkrafttreten: 10. Dezember 2024 (anschließend 36 Monate Übergangsfrist)
• Ab 11. September 2026: Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle
• Ab 11. Dezember 2027: Alle CRA-Anforderungen für neu in Verkehr gebrachte Produkte verpflichtend
• Rechtsform: EU-Verordnung (direkt verbindlich, ohne nationale Umsetzung)
• Zielsetzung: Einheitliches Mindestniveau an Cybersicherheit für digitale Produkte

Wen betrifft er und warum fast jedes Produkt dazugehört

Der EU Cyber Resilience Act betrifft alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Auch Unternehmen außerhalb der EU, die Produkte auf dem europäischen Markt vertreiben wollen, sind verpflichtet, den CRA zu erfüllen.

Bei kommerziellem Einsatz sind auch Open-Source-Produkte und -komponenten betroffen. Der CRA gilt für alle Produkte, die nach seinem Inkrafttreten auf dem EU-Markt in Verkehr gebracht werden. Bereits zuvor in Umlauf gebrachte Produkte sind nicht betroffen, solange keine wesentlichen Änderungen vorgenommen werden.

Explizit ausgenommen vom Anwendungsbereich

• Kraftfahrzeuge, Kraftfahrzeugteile, Luftfahrzeuge und deren Bestandteile
• Medizinische Geräte
• Produkte für die nationale Sicherheit / Militär
• Produkte für die Verarbeitung von Verschlusssachen

Diese Infrastrukturen brauchst du

Der CRA verlangt Sicherheit entlang des gesamten Produktlebenszyklus. Das gelingt nur, wenn Unternehmen passende Infrastrukturen aufbauen. Sie sichern die Umsetzung technischer und organisatorischer Anforderungen und schaffen die Grundlage für dauerhafte Compliance.

Infrastruktur für Dokumentation und Transparenz

• Erstellung und Pflege einer SBOM (Software Bill of Materials / Software-Stückliste)
• Technische Dokumentation
• Risikoanalysen und Risikomanagement
• Kundeninformationen und Anwendungshinweise
• Meldeprozesse gegenüber Behörden wie der ENISA

Infrastruktur für Schwachstellenmanagement

• Schwachstellen müssen ohne Zeitverzug identifiziert, priorisiert und behoben werden.
• Sicherheitslücken, die von außen gemeldet werden, erfordern eine strukturierte und dokumentierte Reaktion (Incident Response).
• Informationen über behobene Schwachstellen müssen öffentlich nachvollziehbar gemacht werden (Incident Disclosure).
• Sicherheitsupdates müssen sicher, kostenfrei und sofort nach Bereitstellung verfügbar gemacht werden.

Infrastruktur für Sicherheitsprüfungen

• Statische Codeanalyse (SAST)
• Dynamische Tests (DAST)
• Penetrationstests

Infrastruktur für Transparenz und Meldungen

• Bereitstellung klarer Sicherheitsinformationen und Handlungsempfehlungen für Kunden
• Fristgerechte und strukturierte Meldungen an Behörden wie ENISA oder nationale Marktüberwachungsstellen
• Nachvollziehbare und dokumentierte Kommunikationsprozesse für Audit und Nachweisführung

Infrastruktur für Konformitätsbewertung

• Bewertung je nach Risikoklasse
• Selbstbewertung oder externe Prüfung durch notifizierte Stelle
• Nachweis der Konformität und CE-Kennzeichnung

Cyber Resilience Act umsetzen: Diese Schritte sind jetzt wichtig

Die Anforderungen des Cyber Resilience Act sind umfangreich. Mit einem strukturierten Vorgehen lassen sie sich klar priorisieren und umsetzen. Wichtig ist, früh zu klären, welche Produkte betroffen sind, welche Lücken bestehen und welche Maßnahmen notwendig sind. carmasec begleitet Unternehmen entlang des gesamten Prozesses von der Analyse bis zur Umsetzung sicherheitsrelevanter Maßnahmen.

Fazit

Der Cyber Resilience Act ist kein regulatorisches Randthema. Er verändert, wie digitale Produkte entwickelt, dokumentiert und auf den Markt gebracht werden. Wer bis Dezember 2027 nicht vorbereitet ist, verliert den Zugang zum EU-Markt. Das ist keine Drohkulisse, das ist Verordnungstext.

Die gute Nachricht: Die Anforderungen sind planbar. Betroffenheit analysieren, Lücken schließen, Prozesse aufbauen. Wer früh beginnt, vermeidet Zeitdruck, reduziert Haftungsrisiken und schafft Strukturen, die länger halten als eine Übergangsfrist.

Drei Dinge, die du aus diesem Artikel mitnimmst: Der CRA gilt für fast jedes vernetzte Produkt. Die ersten Pflichten greifen bereits ab September 2026. Und Unternehmen, die Schwachstellenmanagement, SBOM und Security by Design jetzt aufbauen, sind compliant und wettbewerbsfähig.

Quellen: EU-Verordnung 2024/2847 (Cyber Resilience Act), Amtsblatt der Europäischen Union, 20. November 2024, BSI TR-03183 Technische Richtlinie Cyber Resilience Requirements, Bundesamt fur Sicherheit in der Informationstechnik, BSI: Cyber Resilience Act, bsi.bund.de/CRA, Europäische Kommission: Cyber Resilience Act, digital-strategy.ec.europa.eu

Cybersicherheit ist keine Geheimwissenschaft und vieles, was Unternehmen für ausreichend halten, schützt im Ernstfall nicht. Aber kein Grund zur Panik: Wer Threat-Informed Defense konsequent anwendet, ist auf der sicheren Seite.

Roundtable | 24.Juli 2025 | 11:00 Uhr | Online (60 Min.)

Deine Sicherheitsstrategie ist nur so stark wie dein Wissen über den Gegner. Wer verstehen will, wie Angreifer wirklich vorgehen und wo das eigene Unternehmen angreifbar ist bekommt beim carmasec Roundtable genau das: wertvolle Insights, keine Buzzwords und die 10 häufigsten Schwachstellen.

Sichere dir echtes Angreiferwissen und Quick-Wins für deinen Security-Alltag.

Das erwartet dich:

• Ein anderer Blick auf deine IT-Security und wie man Budgets zielführender einsetzen kann
• Wie man Cybersecurity Maßnahmen besser und realitätsnäher priorisiert
• Kompakte Impulse von Ethical Hackern & Security-Expert:innen
• Strategie- und Praxis-Tipps zu Angreifer-Taktiken, Schwachstellenpriorisierung und Verteidigungslogik
• Quick-Wins zur Verbesserung deiner Sicherheitslage, sofort umsetzbar für dich und dein Team
• Offene Diskussionsrunde mit anderen IT- und Security-Profis aus verschiedenen Branchen

Jetzt registrieren

Für wen ist das Event gemacht?

Für alle, die Cybersecurity nicht nur verwalten, sondern gestalten möchten. Egal, ob du strategisch entscheidest oder tief in der Technik steckst – wenn du Verantwortung für Sicherheit trägst und wissen willst, was im Ernstfall wirklich schützt, bist du hier richtig.

Warum du dich jetzt anmelden solltest?

Um den intensiven Austausch und die besondere Atmosphäre zu gewährleisten, ist die Teilnehmerzahl begrenzt. Registriere dich jetzt und sichere dir einen der limitierten Plätze für diesen exklusiven Roundtable.

Jetzt registrieren

Know how aus der Praxis
Unsere Expert:innen, Pascal Waffenschmitt und Timm Börgers, geben dir konkrete Beispiele, Tipps und hilfreiche Learnings aus dem Alltag der Angreifenden.

Content Snacks für deine Cybersecurity
Keine langen Slides, kein Monolog, sondern klare Antworten auf echte Fragen.

Netzwerk erweitern & mitdenken
Tausche dich mit IT- und Security-Expert:innen aus verschiedenen Branchen aus. Wenn du willst, lernst du beim offenen Austausch neue Perspektiven kennen oder bleibst fokussiert im Deep Dive.

Passwörter sind bis heute die am weitesten verbreitete Methode zum Schutz digitaler Zugänge. Doch in der heutigen Zeit werden sie zunehmend zur Schwachstelle: Phishing, Datenlecks, Brute-Force-Angriffe und die Wiederverwendung von Passwörtern lassen herkömmliche Authentifizierungssysteme immer mehr zum Sicherheitsrisiko werden.

Passwörter stellen zudem eine organisatorische Belastung dar – von den wiederkehrenden IT-Support-Anfragen bis hin zur Durchsetzung komplexer Passwort-Richtlinien und dem aufwändigen Einsatz von Passwortmanagern.

Mehr Sicherheit, mehr Komfort: Deshalb sind Passkeys die bessere Wahl für dein Unternehmen

Passkeys gewinnen als sichere und komfortable Alternative zu klassischen Passwörtern zunehmend an Popularität. Sie werden von großen Technologieplattformen wie Google, Apple und Microsoft aktiv unterstützt und auch immer mehr SaaS-Lösungen und Business-Tools integrieren Passkeys nativ in ihre Anwendungen. Prognosen gehen davon aus, dass Passkeys in den nächsten Jahren zum Standard in der Authentifizierung werden.

Was sind Passkeys und wie funktionieren sie?

Passkeys basieren auf der Public-Key-Kryptografie. Die Technologie ist erprobt und bietet ein hohes Maß an Sicherheit. Anstelle eines Passworts wird ein digitales Schlüsselpaar verwendet:

1. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert.
2. Der öffentliche Schlüssel verbleibt beim Dienstanbieter.

Bei der Anmeldung erzeugt der Dienstanbieter eine kryptografische Challenge, die mit dem privaten Schlüssel signiert wird. Der öffentliche Schlüssel überprüft die Signatur und gewährt bei Übereinstimmung den Zugriff.

Warum sind Passkeys sicherer als herkömmliche Passwörter?

• Keine zentrale Speicherung: Passkeys eliminieren das Risiko von Datenlecks, da sensible Informationen wie Passwörter nicht in zentralen Datenbanken gespeichert werden müssen.
• Phishing-Resistenz: Selbst wenn Nutzer auf gefälschte Webseiten gelangen, können Passkeys nicht abgefangen oder missbraucht werden.
• Schutz vor Man-in-the-Middle-Angriffen: Die kryptografische Signatur verhindert, dass sich Angreifer zwischen Nutzer und Dienstanbieter schalten können.

Warum sind Passkeys benutzerfreundlicher?

• Kein Passwort merken oder eingeben: Passkeys eliminieren die Notwendigkeit, sich komplexe Passwörter zu merken oder manuell einzugeben, da die Authentifizierung automatisch über das Gerät erfolgt.
• Schnelle und einfache Anmeldung: Die Anmeldung erfolgt über eine biometrische Bestätigung (Gesichtserkennung, Fingerabdruck) oder eine einfache PIN, wodurch der Anmeldevorgang deutlich beschleunigt wird.
• Automatische Synchronisierung: Passkeys werden sicher auf dem Gerät gespeichert und können über vertrauenswürdige Cloud-Dienste plattformübergreifend synchronisiert werden, so dass sie jederzeit verfügbar sind.

Passkeys und Compliance

• DSGVO-Konformität: Passkeys unterstützen Unternehmen bei der Einhaltung der DSGVO, da keine persönlichen Passwörter gespeichert werden.
• Einhaltung von Sicherheitsstandards: Durch den Einsatz von Passkeys werden Standards wie ISO 27001 in den Bereichen Authentifizierung und Zugangskontrolle unterstützt.
• Branchenspezifische Vorteile: Besonders Branchen mit hohen Sicherheitsanforderungen wie der Finanzsektor oder das Gesundheitswesen profitieren von den Sicherheitsvorteilen der Passkeys.

Indem du auf Passkeys wechselst, kannst du Sicherheitsrisiken reduzieren, Kosten senken und den Arbeitsalltag deiner Kolleg:innen vereinfachen.

Du möchtest wissen, wie Passkeys deine IT-Sicherheit verbessern können?

Lass uns drüber sprechen!

Wie kannst du Passkeys erfolgreich in dein Unternehmen integrieren?

Die Einführung von Passkeys erfordert eine durchdachte Strategie, um technische Hürden zu überwinden und die Nutzerakzeptanz zu fördern. Wichtige Aspekte sind dabei:

Technische Integration:
Ältere Systeme unterstützen oft keine passwortlose Authentifizierung. Hier können Middleware-Systeme helfen, Passkeys in bestehende IT-Umgebungen einzubinden. Langfristig empfiehlt sich der Aufbau einer FIDO2-kompatiblen Infrastruktur.

Interoperabilität:
Passkeys müssen auf unterschiedlichen Geräten und Plattformen nahtlos funktionieren. Standards wie FIDO2 und die Unterstützung großer Anbieter erleichtern die Umsetzung.

Nutzerakzeptanz:
Viele Nutzer empfinden den neuen Login-Prozess anfangs als „zu einfach“ und unsicher. Hier hilft eine klare Kommunikation und Aufklärung über die Vorteile von Passkeys, z.B. in Form von regelmäßigen Schulungen.

Backup-Lösungen:
Passkeys sind oft gerätegebunden – Dein Unternehmen sollte hierfür Alternativen bereitstellen. Möglichkeiten hierfür sind Zweitgeräte, Recovery-Codes oder Cloud-Synchronisierung.

Eine Hybridlösung aus Passkeys und klassischen Authentifizierungsverfahren kann den Übergang erleichtern und die Sicherheit schrittweise erhöhen.

Unser Fazit: Passkeys sind ein strategischer Vorteil für dein Unternehmen

Passkeys bieten Unternehmen klare strategische Vorteile in der modernen Authentifizierung:

1. Höhere Sicherheit & Compliance: Passkeys minimieren Cyberrisiken, erleichtern die Einhaltung von Compliance-Vorgaben und schützen Unternehmen vor Cyber-Bedrohungen.
2. Kostensenkung & Effizienz: Weniger Passwort-Resets entlasten den IT-Support, sparen Kosten und steigern die Produktivität, da Mitarbeitende nicht durch vergessene Passwörter ausgebremst werden.
3. Einfache Implementierung ohne zusätzliche Kosten: Passkeys funktionieren mit vorhandener Hardware wie Laptops und Smartphones, so dass keine teuren Hardware- oder Software-Token benötigt werden.

Für IT-Leiter und CISOs ist die Einführung von Passkeys eine strategische Entscheidung, um das Unternehmen langfristig abzusichern. Sie reduzieren Angriffsflächen, verbessern die Benutzerfreundlichkeit und sorgen für eine zukunftssichere Authentifizierungsstrategie.

Ausblick: Die Zukunft ist passwortfrei

Die Entwicklung geht eindeutig in Richtung einer durchgängigen, passwortlosen Identifikation. Unternehmen, die frühzeitig auf Passkeys setzen, profitieren von erhöhter Sicherheit, reduzierten IT-Kosten und einer verbesserten Nutzerfahrung. Passwortlose Accounts werden bald Standard sein – und Passkeys sind der Schlüssel zu dieser Zukunft.

Wie sieht die Passkeys-Strategie für dein Unternehmen aus?

Möchtest du mehr über Passkey und die Integration in deine Systeme wissen?

Lass uns über Deine Anforderungen sprechen.

Ein Abend, bei dem der offene Austausch im Mittelpunkt steht.
Am 26. Juni 2025 treffen sich in Köln Menschen aus der IT Security mit unterschiedlichen Hintergründen. Was sie verbindet, ist die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community.
Beim nächsten friends of carmasec Event erwarten dich anregende Gespräche, neue Denkanstöße und viele Gelegenheiten, dich mit anderen zu vernetzen – in einer offenen und persönlichen Atmosphäre..

Ablauf:

Ablauf:

18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

• Dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
• Neue Perspektiven und Impulse für Deine Arbeit zu gewinnen.
• Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 2:
Compliance & Cloud Governance

Datum: 19.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Dominik Sturm

Wie sorgst du in Deiner AWS Cloud für Governance und Compliance?

Viele Unternehmen denken: „Die Cloud Service Provider kümmern sich um Sicherheit, ich muss nichts tun.“ Doch ohne klare Prozesse und Regeln kann es schnell kritisch werden.

In diesem Webinar erfährst du:

• Welche Compliance-Vorgaben du auch in der Cloud beachten musst
• Wie du den für dein Unternehmen passenden Cloud Dienstleister findest
• Wie du dein Unternehmen vor Datenverlust schützt
• Warum Backups und eine Exit-Strategie wichtig sind

Dein Mehrwert:

Wir zeigen, wie du Verantwortlichkeiten klärst und vermeidest, dass dir Sicherheitsrisiken oder rechtliche Probleme später auf die Füße fallen.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie Du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 1:
Wie baue ich eine sichere AWS-Umgebung auf?

Datum: 05.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Information Security Consultant Robin Südkamp

Viele Unternehmen nutzen AWS, ohne sich Gedanken über Sicherheit zu machen. In diesem Webinar erklären wir, was eine Landing Zone ist, wie du Managed Services integrierst und mit welchen Tools du eine stabile, sichere Cloud Umgebung aufbaust.

Das nimmst du mit:

• Wie eine klare Cloud-Architektur aussieht
• Welche Sicherheitsmechanismen du von Anfang an brauchst
• Wie du Security Tools richtig einrichtest

Dein Mehrwert:

Lerne Strategien und Tools kennen, mit denen du deine AWS Cloud von Anfang an sicher gestaltest.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 3:
Risks, Fuckups & Best Practices

Datum: 02.04.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Patrick Brooks

Welche Fehler können in der AWS-Cloud passieren – und wie kannst du sie verhindern?

Viele Unternehmen stolpern über die gleichen Probleme:

• Zu viele Berechtigungen → Ungewollte Sicherheitslücken
• Falsch konfigurierte Dienste → Teure Überraschungen
• Unklare Verantwortlichkeiten → Sicherheitsrisiken

Dein Mehrwert:

Wir zeigen dir anhand realer Fälle, was in der AWS Cloud schiefgehen kann – und wie du es von Anfang an besser machst.
Mit Hilfe einer Live Demo und unseren Best Practices weißt du, wie du deine AWS-Umgebung absicherst und typische Fehler vermeidest.

Unser Team besteht aus vielen unterschiedlichen Charakteren mit spannenden Karrierewegen. Heute stellen wir Euch unsere Kollegin Stefanie Koß vor. Im Interview sprachen wir mit dem Multitalent über ihren Karriereweg, den Wechsel aus der Wissenschaft in die Beratung und fragten, was sie antreibt.

Generell interessierte ich mich dafür, wie Dinge funktionieren. In letzter Zeit habe ich mich mehr mit dem Küchenbau beschäftigt. Ich hatte immer mehr Ideen, wie die Küche besser nach meinen Wünschen gebaut werden könnte und wollte diese auch selbst umsetzen können. Ähnlich verhält es sich mit meinem Fahrrad, das ich gerne als Fortbewegungsmittel benutze und gelegentlich reparieren muss. Außerdem spiele ich sehr gerne Gesellschaftsspiele mit meinen Freund:innen und singe gerne im Chor.

Wie bist du zur IT-Sicherheit gekommen?

Eigentlich durch einen Zufall. Ich habe mein Informatikstudium in Aachen mit einem Master abgeschlossen. Während des Studiums habe ich mich hauptsächlich mit Themen der theoretischen Informatik beschäftigt. Meinen ersten Kontakt zur IT-Sicherheit hatte ich während eines Auslandssemesters in Edinburgh. Dort belegte ich das Fach Computer Security. Besonders begeisterten mich die vielen praktischen Übungen. Nach dem Studium nahm ich zunächst eine Stelle am Fraunhofer-Institut für Sichere Informationstechnologie an. Dort arbeitete ich unter anderem an der Weiterentwicklung und Optimierung eines Schwachstellenscanners, der mittels statischer Analyse Sicherheitslücken in Android-Apps und Java-Anwendungen findet – mein Interesse an der IT-Security war geweckt.

Was hat dich dazu bewogen in die Industrie zu gehen?

Ich wollte neue Erfahrungen sammeln, vor allem eigene Projekte entwickeln und mit unterschiedlichen Menschen zusammenarbeiten. Am Anfang wusste ich nicht genau, in welche Richtung ich gehen wollte. Ich konnte mir mehrere Möglichkeiten vorstellen: Softwareentwicklerin, etwas explizit mit IT-Sicherheit oder sogar eine Lehrtätigkeit.

Wie hast du deine Entscheidung schlussendlich getroffen?

Ich habe mich im Internet informiert und bin auf den Beruf des Consultant gestoßen. Das hat mir sofort gefallen, weil ich an verschiedenen Kundenprojekten arbeiten und unterschiedliche Branchen kennenlernen kann. Außerdem suchte ich einen Job, den ich mit meinem Interesse für IT-Sicherheit und Projektmanagement verbinden konnte.

Wieso hast du dich für die carmasec entschieden?

Bei carmasec kann ich mich nach meinen Wünschen weiterentwickeln und an verschiedenen Themen arbeiten. Als Beraterin finde ich es wichtig, dass man nicht einfach irgendeinen Kunden oder irgendein Projekt zugeteilt bekommt, sondern dass es zu einem passt und einen interessiert. Genau das bekomme ich hier geboten.

Weißt du schon, was die Zukunft für dich bereithält?

Aktuell habe ich noch keine langfristigen Pläne. Im Moment konzentriere ich mich weiterhin auf das Projektmanagement. Ich kann mir aber auch vorstellen, Abschlussarbeiten zu betreuen und möchte mich auch noch tiefer in das Informationssicherheitsmanagement einarbeiten. Generell möchte ich noch viel lernen und sehen.

Wir beschäftigen uns viel mit dem Thema Diversität und wir wissen bereits, dass Frauen in technischen Berufen unterrepräsentiert sind. Gibt es negative Erfahrungen die du machen musstest?

Bisher habe ich keine großen negativen Erfahrungen gemacht. Ich finde es aber schade, wenn veraltete Phrasen wie “die Jungs aus der IT” verwendet werden. Damit werden definitiv nicht alle Menschen angesprochen und das vermittelt ein falsches Bild. Ich habe auch schon erlebt, dass manche Leute ihren normalen Sprachgebrauch ändern, nur weil ich im Raum bin. Mein Tipp: Wenn Ihr wollt, dass sich die Personen in Eurem Umfeld mit Euch wohlfühlen, reflektiert gelegentlich Euren eigenen Sprachgebrauch.

Danke für das Interview!

Das carmasec-Redaktionsteam erläutert in diesem Beitrag, warum es sinnvoll sein kann, gezielt Ausnahmen für Sicherheitssysteme wie IPS und WAFs mittels Allow Listing zu definieren und wie diese Methode Pentester:innen ermöglicht, effizient und störungsfrei zu arbeiten.

Wann ist der Einsatz von Allow Lists bei Pentests sinnvoll?

Eine Einordnung: Welche Aufgabe haben IPS und WAFs und warum können sie einen Pentest verzögern?

IPS-Systeme und WAFs sollen Angriffe erkennen und blockieren – etwa durch die Erkennung von Port-Scans, SQL-Injections oder massenhaften automatisierten Anfragen. Wenn diese Systeme eine als „verdächtig“ eingestufte Aktivität aufspüren, reagieren sie oft mit einer Drosselung des Datenverkehrs oder der Sperrung der Quell-IP-Adresse, manchmal für eine gewisse Zeit – manchmal sogar komplett. Im Alltag ist dies ein erwünschtes Verhalten. Im Falle eines Pentests können diese Sicherheitsmaßnahmen jedoch das eigentliche Testziel stark beeinträchtigen.

Zeit ist der entscheidende Faktor

IPS und WAFs sind darauf ausgelegt, Angreifer abzuwehren und dir Zeit zu verschaffen, bei einem Angriff angemessen zu reagieren. Doch bei einem Penetrationstest können diese Schutzmaßnahmen den Ablauf erheblich stören. Ein Security Assessment ist auf ein festes Zeitfenster begrenzt. Erkennen die Security-Systeme Pentester fälschlicherweise als Angreifer, könnten beispielsweise ihre IP-Adressen blockiert werden. Das führt zu Verzögerungen im Testablauf, wodurch Schwachstellen übersehen werden und die Effizienz des Tests sinkt.

Am Ende zahlst du als Kunde für ein Assessment, das nicht sein volles Potenzial entfalten konnte.

Bei realen Angriffen hingegen haben die Hacker alle Zeit der Welt. Sie können ihre Aktionen verlangsamen und ein paar Anfragen über Tage oder Wochen hinweg senden, um unentdeckt zu bleiben.

Eine Allow List ermöglicht es den Pentestern, ohne Unterbrechung zu arbeiten und Schwachstellen direkt und effizient zu analysieren. So bleibt der Fokus auf der eigentlichen Aufgabe: Deine Systeme auf Herz und Nieren zu prüfen.

Der Testfokus liegt auf deinen Systemen, nicht auf der Sicherheitsperipherie

In den meisten Fällen hat ein Pentest zum Ziel, die Sicherheit deiner Applikationen oder Infrastruktur zu überprüfen – nicht die vorgelagerten IPS- oder WAFs-Systeme. Diese Schutzmaßnahmen erschweren es Angreifern, in dein System einzudringen.

Pentester, die direkten Zugriff haben, können deine tatsächlichen Assets auf Schwachstellen testen – und nicht nur die Security-Systeme davor.

Natürlich kann das Testen von IPS oder WAFs selbst sinnvoll sein, aber das ist ein gesondertes Ziel, das separat beauftragt und im Scope entsprechend festgehalten werden sollte.

Sind Allow Lists auch für interne Pentests sinnvoll?

Allow Lists sind nicht nur für externe Pentests nützlich. Auch bei internen Tests kann es sinnvoll sein, einzelne Ordner oder Systeme für Antivirenprogramme (AV) und für die Endpoint Detection and Response Systeme (EDR) gezielt auszuschließen. Das hängt vom Testziel ab: Wenn du beispielsweise Deine SIEM-Erkennungsmechanismen oder die Reaktion auf Sicherheitsvorfälle evaluieren möchtest, kannst du mit Allow Lists wertvolle Zeit sparen, da sich deine Pentester auf die wesentlichen Aufgaben konzentrieren können.