← Alle Beiträge
6 Min.

Die 5 häufigsten Findings im Mittelstand

Aus über Pentests destilliert: die Schwachstellen, die ich im deutschen Mittelstand immer wieder finde — und wie du sie in einem Nachmittag entschärfst.

MittelstandOWASPQuick-Wins

Egal ob Maschinenbauer, Steuerkanzlei oder Logistiker — bestimmte Schwachstellen tauchen bei fast jedem ersten Pentest auf. Das ist keine Schande, sondern normal: Niemand baut IT mit dem Angreifer im Kopf, wenn das Tagesgeschäft drückt. Hier sind die fünf Befunde, die ich am häufigsten sehe — von kritisch bis ärgerlich.

1. Veraltete Komponenten mit bekannter Lücke

Der Klassiker. Eine Bibliothek, ein CMS-Plugin, eine Appliance-Firmware — drei Jahre nicht aktualisiert, und für genau diese Version existiert ein öffentlicher Exploit. Angreifer scannen das vollautomatisch.

Fix: Software-Inventar führen (SBOM), Patch-Fenster definieren, automatisiertes Dependency-Scanning in die Pipeline. Kein Hexenwerk, aber Disziplin.

2. Fehlende E-Mail-Authentifizierung (SPF/DMARC)

Ohne DMARC kann praktisch jeder E-Mails in deinem Namen versenden. Für CEO-Fraud und Rechnungsbetrug ist das die offene Eingangstür.

Fix: SPF auf -all, DKIM signieren, DMARC schrittweise von p=none über quarantine auf reject ziehen. Den Status siehst du in Sekunden im Domain-Check.

3. Schwache oder wiederverwendete Passwörter im AD

Ein Sommer2024! im Active Directory, und Password-Spraying erledigt den Rest. Oft reicht ein einziges schwaches Konto für den Weg zum Domain-Admin.

Fix: Passwort-Policy + verbotene Begriffe, MFA für alles Wichtige, Tiering der Admin-Konten.

4. Fehlende Security-Header

CSP, HSTS, X-Frame-Options — kosten nichts, fehlen aber fast immer. Sie machen aus einer kleinen XSS-Lücke schnell eine große.

Fix: Zentral am Reverse Proxy setzen. Eine Konfigurationszeile pro Header.

5. Zu viel Angriffsfläche

Vergessene Subdomains, ein altes Test-System, ein offenes Management-Interface. Was du nicht mehr auf dem Schirm hast, findet der Angreifer trotzdem.

Fix: Regelmäßige Inventur der nach außen sichtbaren Systeme. Certificate Transparency (crt.sh) ist ein guter Startpunkt — genau das nutzt auch mein Domain-Check.

Keiner dieser Punkte braucht ein Großprojekt. Die meisten sind in Tagen behoben. Der schwierige Teil ist, sie überhaupt zu sehen — und genau dafür gibt es den Test.