Assumed Breach Assessments

Die Annahme hinter Assumed Breach: Der Angreifer ist schon drin

Die initiale Kompromittierung ist für motivierte Angreifer selten die größte Hürde. Ein unbedachter Klick in einer Phishing-Mail, eine kompromittierte Komponente in der Lieferkette oder ein einziges schwaches Passwort genügen, und der erste Fuß ist in der Tür. Die entscheidende Frage lautet deshalb nicht, ob jemand hineinkommt, sondern: Was kann er anrichten, wenn er drin ist? Moderne Sicherheitsstrategien tragen dem längst Rechnung: Assume Breach ist als Denkweise etabliert. Ein Assumed Breach Assessment macht aus der Denkweise einen konkreten, messbaren Test.

Genau diese Frage beantwortet ein Assumed Breach Assessment. Wir nehmen die Kompromittierung als gegeben an, überspringen die initiale Angriffsphase und konzentrieren die gesamte Testzeit auf das, was danach zählt: laterale Bewegung im Netzwerk, Rechteausweitung und den Weg zu deinen geschäftskritischen Systemen. So wird der Blast Radius einer einzigen kompromittierten Workstation messbar, bevor ein echter Vorfall ihn dir zeigt.

Wie Angreifer den ersten Zugang überhaupt bekommen, testen wir in einem eigenen Initial Access Assessment. Beim Assumed Breach lassen wir diese Phase bewusst aus und investieren die Zeit dort, wo die meisten Erkenntnisse warten: in deinem internen Netzwerk.

Die Startposition: ein Standardbenutzer auf einem Standard-Client

Wir beginnen mit derselben Ausgangslage wie ein echter Angreifer nach einer erfolgreichen Phishing-Kampagne: ein Standardbenutzerkonto ohne besondere Berechtigungen und ein regulärer Client aus deinem Standard-Image. Keine Adminrechte, keine Ausnahmen, keine Sonderkonfiguration.

Diese Startposition ist bewusst so gewählt, weil sie exakt dem Szenario einer übernommenen Mitarbeiter-Workstation entspricht. Alles, was wir von dort aus erreichen, kann auch ein echter Angreifer erreichen, der eine einzige Person in deiner Organisation erfolgreich getäuscht hat.

Für dich bedeutet das minimalen Vorbereitungsaufwand: Du stellst ein Benutzerkonto und ein Gerät bereit, wie sie jede neue Mitarbeiterin am ersten Tag bekommen würde. Mehr braucht es nicht, damit wir starten können.

Was wir prüfen

Von dieser Position aus arbeiten wir uns systematisch durch deine interne Infrastruktur, so wie es ein Angreifer tun würde:

• Privilege Escalation: Ausgehend vom Standardbenutzer versuchen wir, erweiterte Berechtigungen zu erlangen, lokal am Client und in der Domäne.
• Active Directory: Angriffspfade in deiner zentralen Identitätsinfrastruktur, von Fehlkonfigurationen bis zu zu weit vergebenen Berechtigungen.
• Netzwerksegmentierung: Hält die Trennung zwischen Client-, Server- und Gästenetzen einem Angreifer stand, der aktiv nach Übergängen sucht?
• Server- und Client-Infrastruktur: Schwachstellen in beiden Bereichen, von verwundbaren Diensten bis zu unsicheren Konfigurationen.
• Netzwerkfreigaben: Analyse auf sensible, ungeschützte Daten, die einem Angreifer den nächsten Schritt ermöglichen.
• WLAN-Sicherheit: Bewertung deiner drahtlosen Infrastruktur.
• AV/EDR-Effektivität: Konfiguration und Wirksamkeit deiner Endpoint-Schutzlösungen unter realen Angriffsbedingungen.

Das Ziel ist dabei keine möglichst lange Liste isolierter Schwachstellen, sondern der zusammenhängende Angriffspfad: Welche Findings lassen sich zu einem Weg verketten, der bei deinen Kronjuwelen endet, also bei den Systemen und Daten, deren Verlust dein Geschäft wirklich treffen würde? Genau diese Pfade kannst du nach dem Assessment priorisiert schließen, bevor jemand anderes sie findet.

Zwei Testmodi: Detection messen oder Findings maximieren

Ein Assumed Breach Assessment läuft in einem von zwei Modi, je nachdem, welche Frage du beantwortet haben willst.

Offensiv gegen aktives XDR und SOC

Wir testen gegen deine scharf geschaltete Verteidigung: XDR aktiv, SOC im Regelbetrieb. So misst du, wie effektiv deine Detection wirklich ist. Welche unserer Schritte werden erkannt, wie schnell, und was löst tatsächlich eine Reaktion aus? Auf Wunsch simulieren wir dabei die Vorgehensweisen bekannter APT-Gruppen, damit das Ergebnis dem Bedrohungsbild deiner Branche entspricht. Am Ende steht eine ehrliche Standortbestimmung deiner Detection-and-Response-Fähigkeit, gemessen an einem echten Angriff statt an einem Tabletop-Szenario.

White-Box ohne Gegenmaßnahmen

Wir arbeiten ohne aktive Gegenmaßnahmen und mit offenem Informationsaustausch. Der Fokus liegt vollständig auf dem Aufdecken technischer Schwachstellen: maximale Findings pro Testtag statt Tarnung und Geduld. Dieser Modus eignet sich, wenn du deine interne Infrastruktur so gründlich wie möglich härten willst. So entsteht in kurzer Zeit ein vollständiges Bild der technischen Angriffsfläche deines internen Netzwerks.

Welcher Modus passt, hängt von deiner Zielsetzung ab: Willst du wissen, ob dein SOC einen echten Angriff erkennt, oder willst du möglichst viele Schwachstellen beheben? Beide Modi nutzen dieselbe Startposition und dieselbe Methodik, unterscheiden sich aber im Vorgehen: offensiv arbeiten wir leise und geduldig, im White-Box-Modus schnell und in der Breite. Was zu deiner Zielsetzung passt, klären wir gemeinsam im Scoping.

Der effizienteste Einstieg ins Red Teaming

Ein vollständiges Red Teaming Assessment beginnt mit der Initial-Access-Phase: Phishing-Kampagnen, täuschend echte Domains, präparierte Hardware. Das ist maximal realistisch, kostet aber Zeit, die nicht in die Analyse deiner internen Verteidigung fließt.

Assumed Breach dreht dieses Verhältnis um. Weil die Erstkompromittierung übersprungen wird, fließt jeder Testtag direkt in Ergebnisse: mehr aufgedeckte Angriffspfade, mehr konkrete Maßnahmen pro investiertem Tag. Deshalb ist Assumed Breach für viele Organisationen der effizienteste Einstieg ins Red Teaming, und oft der logische erste Schritt, bevor ein vollständiges Assessment über alle Vektoren sinnvoll wird.

Wo ein klassischer Penetrationstest endet und Red Teaming beginnt, erklären wir ausführlich in unserem Überblick zum Pentesting im DACH-Raum.

Was du bekommst

Ein Assumed Breach Assessment endet nicht mit rohem Tool-Output, sondern mit Ergebnissen, mit denen Technik und Management direkt arbeiten können:

• Detaillierter Bericht: alle Angriffspfade mit Risikobewertung, nachvollziehbar dokumentiert für Technik und Management.
• Priorisierte Handlungsempfehlungen: konkrete Maßnahmen, sortiert nach Wirkung und Aufwand.
• Management-Debrief: persönliche Präsentation der wichtigsten Erkenntnisse für Geschäftsführung und CISO.
• Replay-Workshop: auf Wunsch gemeinsame Nachstellung der Angriffe mit deinem Blue Team zur Schließung der Lücken.

Häufige Fragen

Assumed Breach oder vollständiges Red Teaming: Was passt wann?

Ein vollständiges Red Teaming testet die gesamte Angriffskette inklusive Initial Access über Phishing, Social Engineering oder physischen Zutritt und misst dabei auch die Reaktion deines Blue Teams. Ein Assumed Breach Assessment überspringt die Erstkompromittierung und konzentriert sich auf alles, was danach passiert. Wenn du zum ersten Mal offensiv testen lässt oder möglichst viele interne Findings pro Testtag willst, ist Assumed Breach der effizientere Einstieg. Ist deine Verteidigung bereits gereift, liefert ein vollständiges Red Teaming das realistischere Gesamtbild.

Was unterscheidet ein Assumed Breach Assessment von einem internen Pentest?

Ein interner Penetrationstest katalogisiert möglichst viele Schwachstellen in der internen Infrastruktur, Breite vor Tiefe. Ein Assumed Breach Assessment nimmt konsequent die Angreiferperspektive ein: Wir starten von einer realistischen Kompromittierung, verketten einzelne Schwachstellen zu vollständigen Angriffspfaden in Richtung deiner kritischsten Systeme und prüfen auf Wunsch zusätzlich, ob dein SOC die Angriffe erkennt.

Welchen Zugang braucht ihr von uns?

In der Regel genügen ein Standardbenutzerkonto ohne besondere Berechtigungen und ein Standard-Client, wie ihn auch deine Mitarbeitenden verwenden. Das entspricht exakt der Ausgangslage einer real kompromittierten Workstation. Die technischen Details der Bereitstellung klären wir gemeinsam im Scoping.

Wie lange dauert ein Assumed Breach Assessment?

In der Regel ein bis drei Wochen, abhängig von der Größe der Umgebung, dem gewählten Testmodus und der Zielsetzung. Den genauen Rahmen legen wir im Scoping gemeinsam fest.

Wird unser SOC bzw. Blue Team vorab informiert?

Das hängt vom gewählten Modus ab. Beim offensiven Test gegen aktives XDR bleibt das SOC bewusst uninformiert, nur ein kleiner Kreis ist eingeweiht, damit die Detection-Messung aussagekräftig ist. Im White-Box-Modus arbeiten wir transparent mit deinem Team zusammen. Wer wann informiert wird, legen wir im Scoping fest.