
Sign up to save your podcasts
Or


In dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Andreas Krüger, Gründer und Geschäftsführer von Laokoon SecurITy, über ein Thema, bei dem in der Praxis ständig Begriffe durcheinandergeworfen werden: Penetrationstests, und warum gerade im OT- und Hardware-Umfeld vieles anders läuft als in der klassischen IT. Andreas kommt selbst aus dem Bundeswehr-Umfeld, hat dort das Hacken von der Pike auf gelernt und betreibt heute ein eigenes Labor für Hardware- und OT-Pentests.
Zum Einstieg räumt Andreas mit dem „bunten Blumenstrauß" aus Pentest, Schwachstellenscan, Red Teaming und Hardware-Hacking auf. Sein Bild dafür ist eine Pyramide: Sie beginnt unten bei der konzeptionellen Absicherung, also klaren Dokumenten, Prozessen und einem sauberen Asset-Management. Darauf folgen der breit angelegte Schwachstellenscan, der nur bereits bekannte Muster findet, dann der fokussierte Pentest, der bewusst die Angreiferperspektive einnimmt und auch unbekannte Lücken sucht, und schließlich das Red Teaming, das eher Prozesse prüft und im besten Fall als Purple Teaming gemeinsam mit dem Verteidiger-Team läuft. Seine klare Botschaft an Unternehmen: Überspringt keine Stufe der Pyramide, und beginnt mit dem Fundament statt mit der spektakulären Übung.
Besonders ehrlich wird das Gespräch beim Unterschied zwischen IT und OT. Ein OT-Pentest ist für Andreas eine „Operation am offenen Herzen": Man kann nicht einfach einen automatisierten Scanner über eine laufende Produktionsanlage jagen, sondern braucht echtes Prozessverständnis, Referenz- oder Laborsysteme und oft auch den Blick auf physische Sicherheit und Social Engineering. Genau hier sieht er ein Marktproblem: Immer mehr IT-Beratungen drängen ohne echte Expertise in den OT-Markt und machen mit „grünen Häkchen" den Preis kaputt. Wie man einen wirklich kompetenten Anbieter erkennt, woran man Scharlatane entlarvt und warum Pentests, die aus Compliance-Gründen unbedingt „grün" sein müssen, das eigentliche Ziel sabotieren, diskutieren die drei sehr offen.
Im Gespräch geht es außerdem um:
Eine sehr praxisnahe Folge für IT- und OT-Verantwortliche, Sicherheitsbeauftragte, Hersteller und alle, die wissen wollen, was ein Pentest wirklich leistet, und die nicht erst im Ernstfall merken wollen, dass „Häkchen grün" eben nicht „sicher" bedeutet.
____________________________________________
👤 Mehr Informationen
Andreas Krüger - LinkedIn Profil
____________________________________________
🎧 Reinschauen lohnt sich!
🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache
🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority
🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber
Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.
____________________________________________
Du findest mich auf folgenden Social Media Kanälen:
📸 Instagram: cybersec_ist_chefsache
🕺 TikTok: cybersec_ist_chefsache
🤝 LinkedIn - Nico: nicofreitag
🤝 LinkedIn - Ann-Katrin: annkatrin
📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache
____________________________________________
Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.
By Nico Freitag & Ann-Katrin LangeIn dieser Folge von „Cyber Security ist Chefsache" sprechen Nico und Ann-Kathrin mit Andreas Krüger, Gründer und Geschäftsführer von Laokoon SecurITy, über ein Thema, bei dem in der Praxis ständig Begriffe durcheinandergeworfen werden: Penetrationstests, und warum gerade im OT- und Hardware-Umfeld vieles anders läuft als in der klassischen IT. Andreas kommt selbst aus dem Bundeswehr-Umfeld, hat dort das Hacken von der Pike auf gelernt und betreibt heute ein eigenes Labor für Hardware- und OT-Pentests.
Zum Einstieg räumt Andreas mit dem „bunten Blumenstrauß" aus Pentest, Schwachstellenscan, Red Teaming und Hardware-Hacking auf. Sein Bild dafür ist eine Pyramide: Sie beginnt unten bei der konzeptionellen Absicherung, also klaren Dokumenten, Prozessen und einem sauberen Asset-Management. Darauf folgen der breit angelegte Schwachstellenscan, der nur bereits bekannte Muster findet, dann der fokussierte Pentest, der bewusst die Angreiferperspektive einnimmt und auch unbekannte Lücken sucht, und schließlich das Red Teaming, das eher Prozesse prüft und im besten Fall als Purple Teaming gemeinsam mit dem Verteidiger-Team läuft. Seine klare Botschaft an Unternehmen: Überspringt keine Stufe der Pyramide, und beginnt mit dem Fundament statt mit der spektakulären Übung.
Besonders ehrlich wird das Gespräch beim Unterschied zwischen IT und OT. Ein OT-Pentest ist für Andreas eine „Operation am offenen Herzen": Man kann nicht einfach einen automatisierten Scanner über eine laufende Produktionsanlage jagen, sondern braucht echtes Prozessverständnis, Referenz- oder Laborsysteme und oft auch den Blick auf physische Sicherheit und Social Engineering. Genau hier sieht er ein Marktproblem: Immer mehr IT-Beratungen drängen ohne echte Expertise in den OT-Markt und machen mit „grünen Häkchen" den Preis kaputt. Wie man einen wirklich kompetenten Anbieter erkennt, woran man Scharlatane entlarvt und warum Pentests, die aus Compliance-Gründen unbedingt „grün" sein müssen, das eigentliche Ziel sabotieren, diskutieren die drei sehr offen.
Im Gespräch geht es außerdem um:
Eine sehr praxisnahe Folge für IT- und OT-Verantwortliche, Sicherheitsbeauftragte, Hersteller und alle, die wissen wollen, was ein Pentest wirklich leistet, und die nicht erst im Ernstfall merken wollen, dass „Häkchen grün" eben nicht „sicher" bedeutet.
____________________________________________
👤 Mehr Informationen
Andreas Krüger - LinkedIn Profil
____________________________________________
🎧 Reinschauen lohnt sich!
🎙Podcast - Cybersecurity ist Chefsache: @cybersec_ist_chefsache
🎙Podcast - Cybersecurity shall be C-Level priority: @cybersec_clevel_priority
🎙Podcast - Die Zwei Auftrag: Cybersicherheit: @diezweicyber
Schließe dich uns an, um tiefer in die Welt der digitalen Sicherheit einzutauchen.
____________________________________________
Du findest mich auf folgenden Social Media Kanälen:
📸 Instagram: cybersec_ist_chefsache
🕺 TikTok: cybersec_ist_chefsache
🤝 LinkedIn - Nico: nicofreitag
🤝 LinkedIn - Ann-Katrin: annkatrin
📌 Kontaktaufnahme - Podcast: Cybersecurity ist Chefsache
____________________________________________
Deine Reise in die Welt der Cyber Security startet hier – ich freue uns darauf, mich mit dir zu vernetzen.

20 Listeners

178 Listeners

81 Listeners

0 Listeners

305 Listeners