Zwei Gestalten in dunkler Kleidung schleichen nachts durch die leeren Flure eines Labors. Eine Überwachungskamera schwenkt vorbei, ohne sie zu bemerken. Was wie eine Szene aus einem Spionage-Thriller wirkt, ist tatsächlich ein geplanter Sicherheitstest: Wir sind ein beauftragtes Red-Team, das die Abwehrfähigkeit der MediPharm AG (fiktives Unternehmen) in Bayern auf die Probe stellt. Doch bevor wir uns zu später Stunde Zugang zum Labor und zum Serverraum verschaffen konnten, lagen Wochen der Vorbereitung. Im Folgenden berichten wir, wie unser Team Schritt für Schritt vorging, von der ersten Absprache im Vorstandsbüro bis zum finalen Erfolg im Datenarchiv.

Phase 1: Kickoff – Auftrag und Zielsetzung

Alles begann mit einem vertraulichen Kickoff-Meeting auf Vorstandsebene. Der CEO und der CIO von MediPharm AG beauftragten uns, eine umfassende Angriffssimulation durchzuführen. Unser Auftrag: Als externes Red-Team sollten wir die Widerstandsfähigkeit ihres Unternehmens gegen einen hochkarätigen Cyber-Angriff testen. Das Szenario wurde gemeinsam festgelegt. Wir würden einen professionellen Angreifer nachahmen – sei es eine kriminelle Ransomware-Gruppe oder ein staatlich gestützter Industriespion –, der es auf die Kronjuwelen des Unternehmens abgesehen hat.

In diesem Fall bedeutete das: die sensiblen Forschungs- und Entwicklungsdaten eines neuen Medikaments.

Die Rahmenbedingungen waren klar umrissen. Wir würden als externer Angreifer ohne bestehenden internen Zugang von außen starten, also wie ein echter Hacker, der sich erst Zutritt verschaffen muss. Die hauseigenen IT-Sicherheitsmitarbeiter:innen sollten über den Test nicht informiert werden, um ihre Reaktionen realitätsnah beobachten zu können.
Lediglich der CIO wusste als „White Team“ Bescheid und diente uns als interner Ansprechpartner sowie Notfall-Kontakt. Er würde eingreifen, falls wir versehentlich Schaden anrichten oder kurz davor sein sollten, aufzufliegen. Das Management betonte außerdem, dass wir so weit wie möglich gehen durften. Selbst ein Zugriff auf die kritischsten Labordaten war erlaubt, vorausgesetzt, der Geschäftsbetrieb würde dabei nicht nachhaltig gestört. Mit diesen Zielen und Spielregeln im Gepäck machten wir uns ans Werk.

Phase 2: Aufklärung – Schwachstellen finden

Bevor wir zum Angriff übergehen konnten, stand intensive Aufklärungsarbeit (Reconnaissance) auf dem Plan. Unser Team sammelte systematisch offen verfügbare Informationen über MediPharm AG (Open Source Intelligence, OSINT). Wir durchforsteten das Internet nach Hinweisen: Pressemitteilungen, technische Blogposts von Mitarbeitern, LinkedIn-Profile, Branchenverzeichnisse – jede Quelle, die uns Details über das Unternehmen liefern konnte.
Sogar im Darknet und in Untergrund-Foren hielten wir Ausschau nach Erwähnungen der Firma oder nach geleakten Zugangsdaten. Tatsächlich stießen wir in einer veröffentlichten Passwort-Datenbank auf mehrere dienstliche E-Mail-Adressen von MediPharm-Mitarbeiter:innen, gekoppelt mit älteren, geleakten Passworthashes. Ein erster potenzieller Ansatzpunkt!
Parallel dazu identifizierten wir die nach außen sichtbare IT-Infrastruktur. Ein Netzwerkscan ergab mehrere unternehmenseigene Server und Dienste, die über das Internet erreichbar waren: darunter ein VPN-Gateway, ein Outlook-Webmail-Portal und eine veraltete Webanwendung für Lieferanten. Wir notierten uns sorgfältig die Versionen dieser Systeme und verglichen sie mit bekannten Sicherheitslücken. Ebenso sammelten wir E-Mail-Adressen und Telefonnummern öffentlicher Ansprechpartner, um später zielgerichtete Phishing-E-Mails und betrügerische Telefonanrufe (Vishing) vorbereiten zu können.

Doch nicht alle Informationen fanden wir online. Wir nutzten auch Social-Engineering-Techniken, um mehr zu erfahren. Ein Teammitglied rief beispielsweise unter falschem Vorwand bei der zentralen IT-Hotline von MediPharm an. Er gab sich als entfernter Mitarbeiter aus, der angeblich Probleme mit dem VPN-Zugang hat. Im Gespräch entlockte er der hilfsbereiten Support-Mitarbeiterin einige Details zur IT-Umgebung (zum Beispiel welche Antivirus-Software im Einsatz ist und wo sich der Serverraum befindet). Solche Hinweise waren Gold wert, denn sie halfen uns, unsere Malware später gezielt so zu entwickeln, dass sie vom betreffenden Virenscanner nicht entdeckt wird.

Wir führten außerdem eine Ortsbegehung durch, um die physische Sicherheit zu prüfen. Bei einem unauffälligen Besuch im Gewerbegebiet fiel uns auf, dass das Hauptgebäude von einem Zaun umgeben ist, jedoch morgens und vormittags zahlreiche Lieferanten und Handwerker ein- und ausgingen. Wir beobachteten, wann die Pforte besetzt war und wie konsequent Zugangskontrollen durchgeführt wurden. Dabei entdeckten wir eine mögliche Lücke: In der Mittagspause ließ ein Mitarbeiter die Seitentür mit seinem Zugangschip unverschlossen, während er kurz zu seinem Auto ging. Solche Momente könnten wir potenziell ausnutzen.
Am Ende der Recon-Phase hatten wir ein klares Bild von der Angriffsfläche des Unternehmens. Mehrere denkbare Angriffsvektoren taten sich auf: von der klassischen Phishing-Mail bis zur offenen Seitentür am Gebäude. Diese Erkenntnisse flossen direkt in die nächste Phase ein.

Phase 3: Angriffsplanung – der Plan entsteht

Aus den Erkenntnissen der Aufklärung entwickelten wir einen mehrgleisigen Angriffsplan. Wir identifizierten mehrere vielversprechende Ansätze, um uns Zugang zu verschaffen, und bewerteten deren Erfolgschancen sowie Risiken. In einem internen Meeting stellten wir dem CIO (unserem White-Team-Kontakt) die geplanten Angriffsmethoden vor. Folgende Optionen kamen auf den Tisch:

  1. Spear-Phishing per E-Mail: Zielgerichtete Phishing-Mails an ausgewählte Mitarbeiter:innen, beispielsweise mit einem präparierten Anhang oder einem Link zu einer gefälschten Login-Seite, um Malware einzuschleusen oder Zugangsdaten abzugreifen.
  2. Telefonisches Social Engineering (Vishing): Anrufe bei Mitarbeiter:innen, etwa im Namen der IT, um Passwörter oder andere vertrauliche Informationen zu erfragen.
  3. Physisches Eindringen: Auftreten als externer Dienstleister (z.B. ein:e Elektriker:in oder Techniker:in), um Zutritt zu Büroräumen oder sogar zum Serverraum zu erhalten.
  4. Technische Exploits gegen externe Systeme: Ausnutzen gefundener Schwachstellen in extern erreichbaren Diensten (falls vorhanden), um direkt in das Netzwerk einzudringen.

Der CIO überprüfte jede vorgeschlagene Maßnahme unter den Gesichtspunkten Sicherheit und Compliance. Gemeinsam entschieden wir, welche Schritte freigegeben wurden. In diesem Fall genehmigte der Kunde alle oben genannten Ansätze – unter der Maßgabe, dass wir umsichtig vorgehen und keine bleibenden Schäden verursachen. Damit hatten wir grünes Licht, unser mehrstufiges Angriffsszenario in die Tat umzusetzen.

Phase 4: Vorbereitung – Werkzeuge und Köder

Im nächsten Schritt machte sich unser Team an die Bereitstellung der Ressourcen für jeden freigegebenen Angriffsvektor. Wir richteten eine komplette Infrastruktur ein, um unsere Attacken so realistisch wie möglich wirken zu lassen:

Für die Phishing-Kampagne registrierten wir eine Internetadresse, die der echten Web-Domain des Unternehmens zum Verwechseln ähnlich sah. Darauf richteten wir eine gefälschte Login-Seite ein (inklusive Firmenlogo), um eingegebene Anmeldedaten abfangen zu können. Außerdem entwickelten wir eine maßgeschneiderte Schadsoftware, getarnt als scheinbar harmloses PDF-Dokument, die beim Öffnen unbemerkt unseren Zugriff ins Netzwerk etablieren würde. Wir stellten sicher, dass diese Malware von der in Phase 2 identifizierten Antivirensoftware nicht erkannt wird. Dazu testeten wir sie vorab gezielt gegen genau dieses Virenschutzprogramm.

Zeitgleich bereitete ein anderer Teil des Teams das physische Szenario vor. Wir organisierten realistisch aussehende Arbeitskleidung und Ausweise eines fiktiven Wartungsdienstleisters. Ein Teammitglied sollte in die Rolle eines Elektrikers schlüpfen, der angeblich für Wartungsarbeiten ins Gebäude bestellt wurde. Dazu gehörten eine Warnweste, ein Werkzeugkoffer und ein täuschend echt wirkender Arbeitsauftrag auf offiziellem Firmenbriefpapier, den wir eigens erstellt hatten. Wir packten außerdem technische Hilfsmittel ein, unter anderem einen kleinen präparierten Mini-Computer (vergleichbar mit einem Raspberry Pi), den wir vor Ort unauffällig an das Netzwerk anschließen konnten, um eine zweite, versteckte Zugriffsmöglichkeit zu erhalten.

Nicht zuletzt präparierten wir einige USB-Sticks mit unserer Malware und versahen sie mit verlockenden Beschriftungen wie „Projektplan Q3“. Diese Datenträger konnten wir bei Gelegenheit auf dem Parkplatz oder in der Lobby „verlieren“, in der Hoffnung, dass neugierige Mitarbeiter sie an ihren Rechner anschließen würden. Als alle Vorbereitungen abgeschlossen waren, verfügten wir über ein breitgefächertes Arsenal an Werkzeugen. Die eigentlichen Angriffe konnten beginnen.

Phase 5: Initialer Zugriff – der Fuß in der Tür

An einem Dienstagmorgen gegen 9:30 Uhr war es soweit: Wir verschickten unsere vorbereiteten Phishing-E-Mails an ausgewählte MediPharm-Mitarbeiter. Unter anderem erhielt ein Forschungsleiter der Virologie-Abteilung eine Mail, die scheinbar von einem bekannten Konferenzveranstalter stammte. In perfektem Deutsch wurde darin gebeten, an einer „kurzfristigen Online-Umfrage zur Laborsicherheit“ teilzunehmen. Der beigefügte Link führte natürlich zu unserer präparierten Website.
Kaum eine Stunde später registrierten wir den ersten Erfolg: Unser Server empfing eine Verbindung von einem internen Firmenrechner. Jemand hatte geklickt und sich auf unserer gefälschten Seite angemeldet. Mit den erbeuteten Zugangsdaten und dem unbemerkten Einschleusen unserer Malware hatten wir unseren ersten Fuß in der Tür.

Über die installierte Hintertür konnten wir nun unbemerkt auf den Rechner des Mitarbeiters zugreifen. Es handelte sich um den Laptop eines Wissenschaftlers, der an einem laufenden Wirkstoff-Projekt arbeitete. Unsere Malware lief im Hintergrund und blieb vom Virenscanner unentdeckt. Sie verschaffte uns dauerhaften Zugriff auf das System. Selbst nach einem Neustart oder dem Wechsel ins Firmen-WLAN blieb unsere Verbindung bestehen. Zugleich tarnte das Schadprogramm seinen Datenverkehr so geschickt als normaler Internet-Traffic, dass weder Firewalls noch Sicherheitstools Alarm schlugen.
Während wir diesen ersten Zugriffspunkt sicherten, machten wir uns parallel daran, auch den physischen Angriffsvektor auszuspielen. Am nächsten Tag fuhr einer unserer Mitarbeiter, verkleidet in der Montur des angeblichen Elektriker-Dienstleisters, zum Hauptstandort von MediPharm. Bewaffnet mit Klemmbrett und unserem gefälschten Auftragsschein meldete er sich am Empfang. Man habe ihn geschickt, um „dringend die Klimaanlage im Serverraum zu prüfen“. Dank unseres professionellen Auftretens (und vielleicht einer Portion gespielter Hektik) kaufte man ihm die Geschichte ab.
Die Empfangsmitarbeiterin versuchte zwar, die auf dem Auftrag vermerkte Telefonnummer zu erreichen – doch diese führte zu unserem eigens eingerichteten „Call Center“, das den Wartungseinsatz umgehend bestätigte. Damit war der Weg frei: Unser Mann bekam einen Besucherausweis und wurde von einem hilfsbereiten Azubi in Richtung Serverraum geführt.

Im Gebäude nutzte unser Teammitglied die erste kurze Gelegenheit, in der es unbeobachtet war. Rasch steckte er den kleinen präparierten Mini-Computer hinter einer frei zugänglichen Netzwerkdose im Flur ein. Innerhalb weniger Sekunden nahm das unscheinbare Gerät über das Mobilfunknetz Kontakt zu unserem Server auf. Damit hatten wir einen zweiten Zugang ins interne Netz des Unternehmens. Kurz darauf verließ der falsche Elektriker, freundlich zum Abschied winkend, das Gelände, ohne dass jemand Verdacht schöpfte.
Somit verfügten wir nach Phase 5 über zwei unabhängige Einstiegswege in das Unternehmensnetzwerk: einen digitalen Zugang über die kompromittierte Mitarbeiter-Workstation sowie einen physischen Zugangspunkt über das eingeschleuste Gerät. Jetzt galt es, von diesen Ausgangsbasen tiefer ins Unternehmensnetz vorzudringen.

Phase 6: Laterale Bewegung und Ausweitung der Zugriffsrechte

Nun begann der systematische Vorstoß ins Innere des Netzwerks. Über unseren initialen Zugang – insbesondere den kompromittierten Laptop – sammelten wir zunächst so viele Informationen wie möglich über die interne Umgebung. Wir durchforsteten das interne Netz nach weiteren Rechnern, Servern und Freigaben. Schnell zeigte sich das vertraute Bild einer Windows-Domäne: zahlreiche Mitarbeitenden-PCs, mehrere Server für Dateien, E-Mails und Datenbanken sowie ein Domänencontroller als zentrales Herzstück der Infrastruktur.
Um an die wirklich sensiblen Systeme zu gelangen, mussten wir unsere Berechtigungen erweitern. Zunächst verschafften wir uns auf dem bereits gehackten Laptop volle Administrationsrechte, um ohne Einschränkungen Aktionen ausführen zu können. Dazu nutzten wir eine Schwachstelle in einer installierten Software aus. Eine veraltete PDF-Anwendung auf dem Rechner ließ sich mit einem frei verfügbaren Exploit überlisten, sodass wir uns lokale Systemrechte beschaffen konnten.
Mit administrativem Zugriff auf den Rechner waren wir in der Lage, auch Anmeldeinformationen auszulesen. Tatsächlich stießen wir im Arbeitsspeicher des kompromittierten Laptops auf Zugangsdaten eines Domänen-Administrators. Offenbar hatte ein IT-Administrator sich früher einmal an diesem PC angemeldet (möglicherweise für Wartungsarbeiten) und dabei sein Passwort hinterlassen. Bewaffnet mit diesen hohen Berechtigungen standen uns praktisch alle Türen offen.

In den folgenden Stunden breiteten wir uns Schritt für Schritt im Netzwerk aus, von System zu System. Wir nutzten die frisch erlangten Admin-Zugangsdaten, um uns auf verschiedenen Servern umzusehen. Auf einem Fileserver fanden wir Verzeichnisse mit vielsagenden Namen wie „Forschung“ und „Klinische Studien“. Auch ein Datenbankserver für Laborinformationen geriet in unseren Fokus. Wir achteten darauf, unauffällig zu bleiben. So führten wir unsere Netzwerkscans nur mit geringer Intensität durch und vermieden auffälligen Datenverkehr, um keine Sicherheitsalarme auszulösen.

Nach und nach gewannen wir ein klares Bild der internen Sicherheitsmaßnahmen. Das Netzwerk war zwar segmentiert: Die Forschungsabteilung war vom restlichen Büronetz getrennt. Doch unsere platzierte Hardware-Backdoor befand sich praktischerweise in genau diesem Forschungsnetz, sodass wir auch diese Hürde umgehen konnten. Zudem fiel uns auf, dass kein flächendeckendes Multi-Faktor-Authentifizierungsverfahren für administrative Zugriffe eingerichtet war, was unseren Vormarsch erheblich erleichterte.

Schließlich hatten wir ausreichend Rechte und Zugriff, um unser Endziel ins Visier zu nehmen.

Phase 7: Ziel erreicht – Zugriff auf die Kronjuwelen

In den späten Abendstunden des letzten Testtages war es soweit: Wir konnten erfolgreich auf die heikelsten Daten zugreifen, die MediPharm zu bieten hat. Auf dem Fileserver der Forschungsabteilung stießen wir in einem tief verschachtelten Verzeichnis auf die Unterlagen zu einem neuen Medikament. Darin fanden sich umfangreiche Labordokumente, Rezepturen und Zwischenergebnisse klinischer Studien, also genau die Art von Informationen, die für Konkurrenten oder Erpresser unbezahlbar wären.

Als Beweis unseres Erfolgs extrahierten wir exemplarisch einige besonders sensible Dateien. Unter anderem öffneten wir ein Dokument mit der detaillierten chemischen Formel des Wirkstoffkandidaten. Wir erstellten einen Screenshot und sicherten die Datei verschlüsselt auf unserem eigenen System. Selbstverständlich verzichteten wir darauf, irgendetwas an den Daten zu verändern oder sie zu entwenden. Schließlich war unser Auftrag das Aufzeigen von Sicherheitslücken, nicht das Verursachen echten Schadens. Doch dieser Test zeigte eindrucksvoll, dass ein echter Angreifer in diesem Moment beliebige Mengen streng vertraulicher Informationen hätte abziehen oder mit Ransomware sämtliche Forschungsdaten verschlüsseln können.

Unser primäres Ziel war damit erreicht. Wir hatten uns Zugang zu den Kronjuwelen der Firma verschafft.
Weitere Schritte wären unnötig oder zu riskant gewesen, also beendeten wir hier das aktive Angriffsszenario. Nun galt es, die Ergebnisse aufzubereiten und das Unternehmen über unsere Erkenntnisse zu informieren.

Phase 8: Auswertung und Schlussfolgerungen

In der abschließenden Phase fassten wir sämtliche Erkenntnisse und Beweise in einem ausführlichen Bericht zusammen. Wir dokumentierten jeden Schritt unseres Angriffswegs von den ersten OSINT-Funden bis zum erfolgreichen Zugriff auf die sensiblen Daten und erläuterten alle Aktionen in verständlicher Form. Jede ausgenutzte Schwachstelle wurde detailliert beschrieben, inklusive Zeitpunkt, Methode und welche Verteidigungsmechanismen den Angriff hätten erkennen oder verhindern können. Dazu lieferten wir konkrete Vorschläge, wie die entdeckten Sicherheitslücken zu schließen sind. Zum Beispiel empfahlen wir:

  1. Multi-Faktor-Authentifizierung für alle administrativen Zugriffe einzuführen.
  2. Sicherheitsupdates (Patches) konsequent und zeitnah einzuspielen.
  3. Mitarbeitende regelmäßig im Erkennen von Phishing-Versuchen zu schulen.
  4. Physische Zutrittskontrollen zu verschärfen, beispielsweise indem keine Türen unbeaufsichtigt offen bleiben.

Auch unseren eingeschleusten Mini-Computer im Forschungsnetz holten wir natürlich wieder heraus – er diente im Bericht als Anschauungsobjekt dafür, wie leicht sich ungesicherte Netzwerkanschlüsse ausnutzen ließen. Wenige Tage später präsentierten wir unsere Ergebnisse der Geschäftsführung und den leitenden IT-Verantwortlichen von MediPharm. In dieser Nachbesprechung ging unser Team gemeinsam mit dem CIO Schritt für Schritt das gesamte Szenario durch. Man konnte den Anwesenden die Mischung aus Staunen und Erschrecken ansehen, als ihnen klar wurde, wie weit wir es unentdeckt gebracht hatten.

Das unternehmenseigene Security-Team hatte während unseres Einsatzes nur sehr wenige verdächtige Indizien bemerkt. Einmal schlug zwar der Virenscanner kurz Alarm, doch der Vorfall wurde als Fehlalarm verbucht. Kein Mitarbeitender hinterfragte den falschen Elektriker, und auch das unbemerkte Ausschleusen vertraulicher Daten aus dem Netzwerk blieb unentdeckt. Diese Befunde waren zwar ernüchternd, aber sie wurden im geschützten Rahmen eines Tests gewonnen und konnten nun als wertvolle Lehren genutzt werden.

Abschließend hoben wir auch die positive Seite hervor: Die MediPharm AG hatte nun die Chance, all diese Schwachstellen zu beheben, bevor ein echter Angreifer sie ausnutzen könnte. Der CEO zeigte sich dankbar für den deutlichen Weckruf und kündigte an, verstärkt in die Verbesserung der Sicherheitsmaßnahmen zu investieren. Unser Red-Team-Einsatz hatte damit seinen Zweck erfüllt.
Er zeigte klar auf, wo die Risiken lagen, und lieferte zugleich einen konkreten Fahrplan, um die Widerstandsfähigkeit des Unternehmens deutlich zu erhöhen.