Initial Access Assessments

Warum Initial Access die entscheidende Phase ist

Die meisten erfolgreichen Angriffe beginnen gleich: mit einer überzeugenden E-Mail, einem glaubwürdigen Anruf oder einem von außen erreichbaren Dienst. Der erste Zugriff, der Initial Access, ist die Phase, in der sich entscheidet, ob aus einem Angriffsversuch ein Sicherheitsvorfall wird.

Die entscheidende Frage ist dabei nicht, ob jemand in deiner Organisation auf eine gut gemachte Phishing-Mail klickt. Bei ausreichend überzeugenden Kampagnen passiert genau das. Die Frage ist, was dann passiert: Greifen deine technischen Kontrollen? Funktionieren die Meldewege? Wie lange dauert es, bis jemand den Angriff bemerkt?

Awareness-Trainings, Mail-Filter und Richtlinien sind wichtige Bausteine. Ob sie im Zusammenspiel tatsächlich halten, zeigt sich aber erst, wenn jemand sie unter realistischen Bedingungen herausfordert. Genau dafür ist ein Initial Access Assessment da: Es macht aus Annahmen über deine erste Verteidigungslinie überprüfbare Ergebnisse.

Wir beantworten diese Fragen mit denselben Methoden, die echte Angreifer verwenden - kontrolliert, dokumentiert und ohne Schaden für deine Organisation.

Welche Angriffsvektoren wir einsetzen

Wir kombinieren die Kanäle, über die Angreifer heute tatsächlich in Organisationen eindringen. Welche davon zum Einsatz kommen, legen wir gemeinsam im Scoping fest:

• E-Mail-Phishing: maßgeschneiderte Kampagnen mit täuschend echten Domains und Landing Pages, zugeschnitten auf deine Organisation statt aus der Vorlagenbibliothek.
• Vishing: telefonische Manipulation mit gefälschter Anrufer-ID, etwa als IT-Support oder externer Dienstleister.
• CEO Fraud: Identitätsmissbrauch hochrangiger Personen, um Mitarbeitende zu Handlungen zu bewegen, die sie sonst hinterfragen würden.
• USB-Drops und präparierte Hardware: Verteilung manipulierter Datenträger und Geräte.
• Externe Perimeter-Angriffe: Angriffe auf von außen erreichbare Dienste deiner Infrastruktur, der zweite große Weg ins Netzwerk neben dem Faktor Mensch.
• Physischer Zutritt: optional, auf Wunsch kombiniert mit einem Physical Security Assessment.

Die Stärke liegt in der Kombination: Eine Phishing-Mail wirkt deutlich glaubwürdiger, wenn kurz darauf ein angeblicher IT-Mitarbeiter anruft und auf genau diese Mail verweist. Solche mehrstufigen Szenarien bilden das Vorgehen echter Angreifer realistischer ab als jeder einzelne Kanal für sich.

Auf Wunsch erweitern wir das Assessment um Kontaktaufnahme über soziale Medien mit gefälschten Identitäten, präparierte Einreichungen über Online-Formulare wie Bewerbungsportale oder eigens entwickelte Custom Malware, um die Effektivität deines XDR-Systems zu prüfen.

So läuft ein Initial Access Assessment ab

Ein Initial Access Assessment ist kein Tool, das man einschaltet, sondern ein geführtes Engagement. Jedes Assessment durchläuft vier Schritte, vom gemeinsamen Scoping bis zur Auswertung - eng abgestimmt, damit dein laufender Betrieb nicht gestört wird.

1. Scoping und Rules of Engagement

Wir definieren gemeinsam Ziele, erlaubte Vektoren, Zeiträume und Eskalationswege. Hier klären wir auch organisatorische Fragen wie die Einbindung von Betriebsrat und Datenschutz sowie den Umgang mit erbeuteten Zugangsdaten. Nur ein kleiner Kreis in deiner Organisation weiß vom Assessment, damit die Ergebnisse aussagekräftig bleiben.

2. Recon und OSINT

Wie ein echter Angreifer sammeln wir öffentlich verfügbare Informationen über deine Organisation: exponierte Dienste, eingesetzte Technologien, Organisationsstruktur und öffentlich sichtbare Profile. Auf dieser Basis entstehen glaubwürdige Szenarien, passende Domains und überzeugende Landing Pages.

3. Kampagnendurchführung

Die Kampagnen laufen gestaffelt und kontrolliert. Statt einer einzelnen Massenmail arbeiten wir mit gezielten Wellen und passen das Vorgehen laufend an, so wie es ein realer Angreifer tun würde. Jede Interaktion wird dokumentiert, jederzeit nachvollziehbar und über die vereinbarten Eskalationswege stoppbar.

4. Analyse und Auswertung

Wir werten alle Ergebnisse aggregiert aus, rekonstruieren die möglichen Angriffspfade und übersetzen sie in konkrete Maßnahmen. Dabei interessiert uns nicht nur, was für uns als Angreifer funktioniert hat, sondern auch, welche Kontrollen gegriffen haben und wo Erkennung und Meldung gut funktioniert haben. Im Debrief gehen wir die Erkenntnisse gemeinsam durch.

Deine Mitarbeitenden werden nicht vorgeführt

Ein Initial Access Assessment testet deine Organisation, nicht einzelne Personen. Alle Ergebnisse werden anonymisiert und aggregiert ausgewertet: Im Bericht stehen Quoten und Muster, keine Namen. Wir berichten, dass geklickt wurde und was dadurch möglich geworden wäre - nicht, wer geklickt hat.

Das ist eine bewusste Entscheidung. Eine Sicherheitskultur, in der Mitarbeitende fürchten müssen, für einen Klick an den Pranger gestellt zu werden, meldet Vorfälle später oder gar nicht. Wer dagegen ohne Schuldzuweisung lernen darf, meldet schneller - und genau diese Meldebereitschaft ist eine der wichtigsten Verteidigungslinien deiner Organisation.

Wie und wann die Belegschaft nach Abschluss informiert wird, stimmen wir im Scoping mit dir ab. Richtig kommuniziert wird aus dem Assessment ein Lernmoment für die gesamte Organisation statt einer Misstrauenserklärung.

Initial Access als Teil eines Red Teamings - oder eigenständig

In einem vollständigen Red Teaming Assessment ist Initial Access die erste Phase: Der erlangte Zugang ist dort der Ausgangspunkt für laterale Bewegung, Privilege Escalation und das Erreichen definierter Ziele.

Als eigenständiges Assessment endet der Test an einem vorab definierten Punkt, etwa beim Nachweis, dass Codeausführung oder der Zugriff auf Zugangsdaten möglich gewesen wäre. Das macht Initial Access Assessments zu einem guten Einstieg: weniger aufwendig als ein vollständiges Red Teaming, aber mit einem realistischen Bild deiner ersten Verteidigungslinie. Willst du später tiefer gehen, lassen sich die Ergebnisse direkt in ein Red Teaming überführen - und du hast eine fundierte Grundlage für die Entscheidung, wo sich weitere Investitionen in deine Verteidigung am meisten lohnen.

Was du bekommst

Am Ende steht nicht nur die Antwort auf die Frage, ob wir hineingekommen wären, sondern ein Paket, mit dem du konkret weiterarbeiten kannst:

• Detaillierter Bericht: alle Kampagnen, Szenarien und möglichen Angriffspfade nachvollziehbar dokumentiert, für Technik und Management.
• Kennzahlen aus dem Engagement: Klick-, Eingabe- und Meldequoten deiner Organisation als konkrete Messwerte, anonymisiert und aggregiert.
• Priorisierte Handlungsempfehlungen: technische und organisatorische Maßnahmen, sortiert nach Wirkung und Aufwand.
• Debrief: persönliche Präsentation der wichtigsten Erkenntnisse, auf Wunsch getrennt für Management und Technik.

Häufige Fragen

Was unterscheidet ein Initial Access Assessment von einem Phishing-Simulationstool?

Ein Simulationstool verschickt vorgefertigte Massenmails und misst Klickquoten, vor allem als Baustein für Awareness-Trainings. Ein Initial Access Assessment ist ein manuell geführter Angriff: Wir recherchieren deine Organisation, registrieren täuschend echte Domains, bauen individuelle Landing Pages und kombinieren auf Wunsch mehrere Vektoren. So zeigt sich nicht nur, wer klickt, sondern was ein echter Angreifer aus diesem Klick machen würde.

Werden Mitarbeitende im Bericht namentlich genannt?

Nein. Alle Ergebnisse werden aggregiert und anonymisiert ausgewertet. Im Bericht stehen Quoten, Muster und Angriffspfade, keine Namen. Ziel ist es, Technik, Prozesse und Meldewege zu verbessern, nicht, einzelne Personen bloßzustellen.

Ist so ein Assessment rechtlich zulässig?

Ja, im gemeinsam vereinbarten Rahmen. Vor dem Start legen wir in den Rules of Engagement fest, welche Vektoren erlaubt sind, wann getestet wird und wie mit erbeuteten Daten umgegangen wird. Themen wie Betriebsrat und Datenschutz klären wir vorab, sodass das Assessment auf einer sauberen Grundlage steht.

Wie lange dauert ein Initial Access Assessment?

Das hängt von der Anzahl der Vektoren und Kampagnen ab. Ein fokussiertes Assessment dauert von Scoping bis Debrief in der Regel zwei bis vier Wochen, kombinierte Szenarien entsprechend länger. Den genauen Rahmen legen wir im Scoping gemeinsam fest.

Was passiert, wenn niemand auf die Kampagne hereinfällt?

Auch das ist ein wertvolles Ergebnis, aber selten ein Grund zur Entwarnung. Wir werten dann aus, wie schnell gemeldet wurde, ob die Meldewege funktioniert haben und wie deine Filter reagiert haben. Eine einzelne Kampagne ohne Klicks belegt keine Immunität, und der externe Perimeter bleibt als Angriffsfläche unabhängig davon bestehen.