<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Blog on Penetrationstests &amp; Security Audits | VidraSec</title><link>https://www.vidrasec.com/de/blog/</link><description>Recent content in Blog on Penetrationstests &amp; Security Audits | VidraSec</description><generator>Hugo</generator><language>de</language><atom:link href="https://www.vidrasec.com/de/blog/index.xml" rel="self" type="application/rss+xml"/><item><title>Was kostet ein Penetrationstest?</title><link>https://www.vidrasec.com/de/blog/penetration-test-cost/</link><pubDate>Wed, 08 Jul 2026 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/penetration-test-cost/</guid><description>&lt;p&gt;„Was kostet ein Pentest?“ ist die Frage, die ich am häufigsten höre, und die ehrliche Antwort ist immer „das kommt drauf an“. Das ist keine Ausrede. Ein Pentest wird nach Aufwand abgerechnet, nicht als fertiges Produkt verkauft, also lautet die eigentliche Frage dahinter: Was entscheidet darüber, wie viel Aufwand ein konkretes Projekt tatsächlich braucht? Genau das erklärt dieser Beitrag.&lt;/p&gt;</description></item><item><title>VidraCrypt: Zero-Knowledge-Dateifreigabe im Browser</title><link>https://www.vidrasec.com/de/blog/vidracrypt/</link><pubDate>Mon, 06 Jul 2026 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/vidracrypt/</guid><description>&lt;p&gt;Bei einem Pentest muss ich Kunden regelmäßig Dinge schicken, die niemand gerne im Postfach liegen hat: den finalen Bericht, extrahierte Zugangsdaten, einen Dump als Nachweis für eine Schwachstelle. E-Mail und generische Filesharing-Tools eignen sich dafür schlecht. Deshalb habe ich &lt;a href="https://github.com/VidraSec/VidraCrypt" target="_blank" rel="noopener noreferrer"&gt;VidraCrypt&lt;span class="sr-only"&gt; (öffnet in neuem Tab)&lt;/span&gt;&lt;/a&gt; gebaut, ein kleines Open-Source-Tool, das Dateien vollständig im Browser entschlüsselt, ohne dass der Server jemals Passphrase oder Klartext zu sehen bekommt.&lt;/p&gt;</description></item><item><title>Checkliste zur Wahl eines Pentest-Anbieters für KMU in der DACH-Region</title><link>https://www.vidrasec.com/de/blog/pentest-provider-checklist-dach-smb/</link><pubDate>Sat, 13 Jun 2026 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/pentest-provider-checklist-dach-smb/</guid><description>&lt;p&gt;Einen Penetrationstest-Anbieter zu wählen ist schwer, wenn du selbst kein Sicherheitsspezialist bist, und in dieser Lage sind die meisten KMU. Der Markt ist voll selbstbewusster Verkaufsversprechen, und der Unterschied zwischen einem wirklich nützlichen Test und einem teuren Compliance-Häkchen ist aus einer Broschüre nicht erkennbar. Diese Checkliste gibt dir die konkreten Fragen und sagt dir, wie gute Antworten klingen.&lt;/p&gt;</description></item><item><title>Wie ein NIS2-tauglicher Pentest für ein Unternehmen mit 50 bis 500 Mitarbeitenden aussieht</title><link>https://www.vidrasec.com/de/blog/nis2-ready-pentest-smb/</link><pubDate>Thu, 11 Jun 2026 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/nis2-ready-pentest-smb/</guid><description>&lt;p&gt;NIS2 hat tausende mittelständische Unternehmen in ein Compliance-Regime gezogen, über das sie nie nachdenken mussten. Wenn du die IT in einem Unternehmen mit 50 bis 500 Mitarbeitenden in der DACH-Region verantwortest, hat man dir wahrscheinlich gesagt, du müsstest &amp;ldquo;etwas wegen NIS2 tun&amp;rdquo;, und ein Penetrationstest gehöre dazu. Dieser Artikel erklärt schlicht, wie ein NIS2-tauglicher Pentest tatsächlich aussieht und was Auditoren sehen wollen.&lt;/p&gt;</description></item><item><title>Boutique-Pentest (Einzelperson) vs. große Firma vs. PTaaS: Wie du dich entscheidest</title><link>https://www.vidrasec.com/de/blog/boutique-vs-large-firm-vs-ptaas/</link><pubDate>Tue, 09 Jun 2026 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/boutique-vs-large-firm-vs-ptaas/</guid><description>&lt;p&gt;Du brauchst einen Penetrationstest, und der Markt bietet drei sehr unterschiedliche Anbietertypen: die Boutique-Einzelperson, die große Sicherheitsfirma und die PTaaS-Plattform. Sie sind unterschiedlich bepreist, liefern unterschiedlich und sind nicht austauschbar. Dieser Ratgeber vergleicht sie anhand der Faktoren, die das Ergebnis wirklich beeinflussen.&lt;/p&gt;</description></item><item><title>Phishing-Abwehr: Warum Awareness-Training nicht ausreicht (und was stattdessen hilft)</title><link>https://www.vidrasec.com/de/blog/phishing-defense-beyond-awareness-training/</link><pubDate>Mon, 08 Jun 2026 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/phishing-defense-beyond-awareness-training/</guid><description>&lt;p&gt;&lt;a href="https://www.vidrasec.com/de/services/security-awareness-training/"&gt;Security Awareness Training&lt;/a&gt; ist wertvoll. Verdächtige E-Mails erkennen, unerwartete Login-Anfragen hinterfragen, wissen wie Phishing aussieht: all das macht Angriffe schwieriger.&lt;/p&gt;
&lt;p&gt;Aber hier ist die ehrliche Wahrheit: Mit genug Aufwand kann jeder gephisht werden. Ich führe regelmäßig simulierte Phishing-Kampagnen für Kunden durch, im Rahmen von &lt;a href="https://www.vidrasec.com/de/services/cyber-attack-simulation/"&gt;Simulationen von Cyberangriffen&lt;/a&gt;, und habe dabei noch nie weniger als einige wenige Nutzer erwischt, egal wie gut das Training war.&lt;/p&gt;</description></item><item><title>Der Penetrationstest-Käuferratgeber: Richtig scopen, Budget sinnvoll einsetzen</title><link>https://www.vidrasec.com/de/blog/penetration-testing-buyers-guide/</link><pubDate>Tue, 02 Jun 2026 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/penetration-testing-buyers-guide/</guid><description>&lt;p&gt;Du hast entschieden, dass du einen Penetrationstest brauchst. Gute Entscheidung. Aber bevor du einen Auftrag unterzeichnest, kann vieles schiefgehen: falscher Scope, falsche Methodik, falsche Erwartungen. Das Ergebnis ist ein Bericht, der in der Schublade verstaubt, und ein Budget, das verschwendet wurde.&lt;/p&gt;
&lt;p&gt;Dieser Ratgeber richtet sich an die Menschen, die Pentests kaufen, nicht an jene, die sie durchführen. Er erklärt, was ein Pentest wirklich ist, wann man ihn durchführen sollte, was man erwarten kann und wie man die häufigsten und teuersten Fehler vermeidet.&lt;/p&gt;</description></item><item><title>BitLocker umgehen ohne Schraubenzieher: bitpixie und was du dagegen tun kannst</title><link>https://www.vidrasec.com/de/blog/bitlocker-bitpixie/</link><pubDate>Tue, 10 Mar 2026 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/bitlocker-bitpixie/</guid><description>&lt;p&gt;BitLocker ist bei &lt;a href="https://www.vidrasec.com/de/services/internal-it-infrastructure-penetration-test/"&gt;Windows-Client-Pentests&lt;/a&gt; immer ein Thema. Damit die Vollverschlüsselung nicht einfach umgangen werden kann, muss BitLocker sicher konfiguriert sein.&lt;/p&gt;
&lt;p&gt;Es gibt tatsächlich eine Schwachstelle, über die sich BitLocker ohne Spezial-Hardware ausnutzen lässt, und die kann im Prinzip jeder anwenden. In diesem Beitrag geht es um den Angriff &lt;strong&gt;bitpixie&lt;/strong&gt;, warum der Standardmodus von BitLocker anfällig ist und was du dagegen tun kannst.&lt;/p&gt;</description></item><item><title>Hashes auslesen in Windows 11 24H2</title><link>https://www.vidrasec.com/de/blog/dump-hashes-in-windows-11-24h2/</link><pubDate>Sun, 02 Mar 2025 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/dump-hashes-in-windows-11-24h2/</guid><description>&lt;p&gt;In diesem Blogpost beschreibe ich, wie ich es in Windows 11 24H2 geschafft habe, Passwort-Hashes aus dem &lt;code&gt;lsass.exe&lt;/code&gt; Prozessspeicher auszulesen. Da diese Version beim Schreiben dieses Posts noch sehr neu war, sind manche der Probleme auch der fehlenden Tool-Unterstützung geschuldet und sollten in Zukunft behoben sein. Dieser Post kann aber auch helfen, die Tools für spätere Windows-Versionen anzupassen.&lt;/p&gt;</description></item><item><title>Kerberos: Wie funktioniert das Authentifizierungsprotokoll</title><link>https://www.vidrasec.com/de/blog/kerberos/</link><pubDate>Wed, 15 Jan 2025 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/kerberos/</guid><description>&lt;p&gt;Kerberos funktioniert ähnlich wie ein Reisepass: Eine Passbehörde stellt den Pass aus, nachdem sich die Person identifiziert hat. Mit diesem Pass kann man dann zur Grenze gehen und sich dort ausweisen.&lt;/p&gt;</description></item><item><title>Active Directory Tiering: Terminalserver und Helpdesk</title><link>https://www.vidrasec.com/de/blog/active-directory-tiering/</link><pubDate>Tue, 15 Oct 2024 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/active-directory-tiering/</guid><description>&lt;p&gt;In diesem Blogpost werde ich kurz auf 2 oft übersehene Schwachstellen und Fehlkonfigurationen im Active Directory Tiering Modell eingehen. Konkret werde ich auf die Fehlbehandlung von Terminalserver und Helpdesk Usergruppe eingehen.&lt;/p&gt;</description></item><item><title>UAC Bypass</title><link>https://www.vidrasec.com/de/blog/uac-bypass/</link><pubDate>Wed, 07 Aug 2024 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/uac-bypass/</guid><description>&lt;p&gt;Was sehen wir in dem Foto? Die Einstellungen für User Account Control (UAC). Aber was ist das eigentlich und wie kann man es umgehen?&lt;/p&gt;</description></item><item><title>BloodHound Einführung für Admins</title><link>https://www.vidrasec.com/de/blog/bloodhound-intro/</link><pubDate>Thu, 04 Jul 2024 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/bloodhound-intro/</guid><description>&lt;p&gt;BloodHound ist ein Tool, das von Pentestern und Red Teamern entwickelt wurde, um Angriffswege im Active Directory besser zu finden und zu visualisieren. Das heißt aber nicht, dass es nicht auch von Admins oder dem Blue Team sinnvoll verwendet werden kann.&lt;/p&gt;</description></item><item><title>CheckPoint Schwachstelle mit einem einfachen Kommando ausnutzen</title><link>https://www.vidrasec.com/de/blog/checkpoint-cve/</link><pubDate>Fri, 31 May 2024 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/checkpoint-cve/</guid><description>&lt;p&gt;Diese Woche wurde eine Schwachstelle im CheckPoint VPN Gateway bekannt (CVE-2024-24919). Leider gibt CheckPoint uns nur wenige Informationen über die Auswirkungen der Schwachstelle. Das möchte ich ändern! Ich werde zeigen, wie die Schwachstelle ausgenutzt werden kann und welche Informationen ein Angreifer auslesen kann.&lt;/p&gt;</description></item><item><title>Active Directory Passwortrichtlinie</title><link>https://www.vidrasec.com/de/blog/ad-password-policy/</link><pubDate>Mon, 29 Apr 2024 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/ad-password-policy/</guid><description>&lt;p&gt;Eine gute Passwortrichtlinie für das Active Directory festzulegen, ist leider schwierig. Dies liegt auch daran, dass es mehrere Best Practices gibt, die sich teilweise widersprechen. In diesem Beitrag werde ich versuchen, auf die verschiedenen Best Practices einzugehen und meine eigene Empfehlung abzugeben.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Kernaussagen:&lt;/strong&gt; NIST empfiehlt mindestens 8 Zeichen, keine Komplexitätsregeln und keine erzwungene Rotation; Microsofts AD-Empfehlung weicht davon ab. VidraSec-Empfehlung: Minimum 10 Zeichen, Komplexität aus, maximale Passwortalter auf „Unbegrenzt“, Passworthistorie aus; zusätzlich Blockliste schwacher Passwörter und wo möglich MFA (z. B. Windows Hello for Business).&lt;/p&gt;</description></item><item><title>Built-in Misconfigurations - Pre-Windows 2000 Compatible Access</title><link>https://www.vidrasec.com/de/blog/built-in-insecurities-win2k/</link><pubDate>Mon, 22 Apr 2024 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/built-in-insecurities-win2k/</guid><description>&lt;p&gt;Dies ist der erste Teil einer Serie zu unsicheren Standardeinstellungen in Active Directory. Dieser Teil behandelt die &lt;em&gt;Pre-Windows 2000 Compatible Access&lt;/em&gt;-Gruppe. Was ist das? Welche Risiken gibt es? Und was kannst du dagegen tun?&lt;/p&gt;</description></item><item><title>Hyper-V und Kali Linux: Performance von Linux-Guests verbessern</title><link>https://www.vidrasec.com/de/blog/hyperv/</link><pubDate>Wed, 03 Apr 2024 00:00:00 +0000</pubDate><guid>https://www.vidrasec.com/de/blog/hyperv/</guid><description>&lt;p&gt;Despite Hyper-V&amp;rsquo;s impressive performance, its GUI can feel sluggish compared to direct interaction on your host. Finding a solution to this was challenging, as resources were scarce. This post outlines how to configure Hyper-V and Linux virtual machines for a more responsive UI, achieving a performance level comparable to VMware Workstation.&lt;/p&gt;</description></item><item><title>BitLocker absichern: Initiales Setup und Absicherung gegen Angriffe</title><link>https://www.vidrasec.com/de/blog/setup-bitlocker/</link><pubDate>Fri, 15 Mar 2024 10:46:31 +0200</pubDate><guid>https://www.vidrasec.com/de/blog/setup-bitlocker/</guid><description>&lt;p&gt;Erstens: Was genau ist BitLocker? BitLocker ist die Vollfestplattenverschlüsselung von Microsoft. Es gibt zwar alternative Lösungen von anderen Unternehmen, aber meine Erfahrung zeigt, dass BitLocker für die meisten Unternehmen heute die bevorzugte Wahl ist. Die Gründe dafür sind einfach: Es ist gratis und lässt sich nahtlos in Active Directory und EntraID integrieren.&lt;/p&gt;
&lt;p&gt;Dieser Artikel führt durch die Einrichtung von BitLocker und befasst sich auch mit einigen potenziellen Angriffen auf BitLocker und bietet Einblicke in seine Sicherheitsfunktionen.&lt;/p&gt;</description></item></channel></rss>