<?xml version="1.0" encoding="UTF-8"?>
<rss xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:dc="http://purl.org/dc/elements/1.1/" version="2.0">
  <channel>
    <title>blog</title>
    <link>https://blog.xplt.com/de/blog</link>
    <description />
    <language>de</language>
    <pubDate>Wed, 08 Jul 2026 22:57:53 GMT</pubDate>
    <dc:date>2026-07-08T22:57:53Z</dc:date>
    <dc:language>de</dc:language>
    <item>
      <title>Interner Penetrationstest 2026: Strategien gegen Insider-Threats und Ransomware</title>
      <link>https://blog.xplt.com/de/blog/interner-penetrationstest-2026-strategien-gegen-insider-threats-und-ransomware</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/interner-penetrationstest-2026-strategien-gegen-insider-threats-und-ransomware?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660195_1783488267.jpg" alt="Interner Penetrationstest 2026: Strategien gegen Insider-Threats und Ransomware" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Was nützt Ihnen die massivste Firewall, wenn der Gegner bereits im Haus ist? Ein einziger unbedachter Klick auf einen Phishing-Link reicht oft aus, um Ihren gesamten Perimeter wertlos zu machen. Im Jahr 2026 ist die Frage nicht mehr, ob ein Angreifer eindringt, sondern wie schnell er sich von einem einfachen Endpunkt zum Domänen-Administrator hochstufen kann. Ein professioneller &lt;strong&gt;Interner Penetrationstest&lt;/strong&gt; ist unter diesen Vorzeichen kein optionaler Luxus mehr. Er ist die notwendige Verteidigungslinie vor der totalen Verschlüsselung durch Ransomware.&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/interner-penetrationstest-2026-strategien-gegen-insider-threats-und-ransomware?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660195_1783488267.jpg" alt="Interner Penetrationstest 2026: Strategien gegen Insider-Threats und Ransomware" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Was nützt Ihnen die massivste Firewall, wenn der Gegner bereits im Haus ist? Ein einziger unbedachter Klick auf einen Phishing-Link reicht oft aus, um Ihren gesamten Perimeter wertlos zu machen. Im Jahr 2026 ist die Frage nicht mehr, ob ein Angreifer eindringt, sondern wie schnell er sich von einem einfachen Endpunkt zum Domänen-Administrator hochstufen kann. Ein professioneller &lt;strong&gt;Interner Penetrationstest&lt;/strong&gt; ist unter diesen Vorzeichen kein optionaler Luxus mehr. Er ist die notwendige Verteidigungslinie vor der totalen Verschlüsselung durch Ransomware.&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Finterner-penetrationstest-2026-strategien-gegen-insider-threats-und-ransomware&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Wed, 08 Jul 2026 11:06:03 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/interner-penetrationstest-2026-strategien-gegen-insider-threats-und-ransomware</guid>
      <dc:date>2026-07-08T11:06:03Z</dc:date>
    </item>
    <item>
      <title>OWASP AISVS: Der Standard für sichere KI-Anwendungen</title>
      <link>https://blog.xplt.com/de/blog/owasp-aisvs-der-standard-fur-sichere-ki-anwendungen</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/owasp-aisvs-der-standard-fur-sichere-ki-anwendungen?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2762992_1783401068.jpg" alt="OWASP AISVS: Der Standard für sichere KI-Anwendungen" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;73 Prozent der produktiven KI-Deployments sind im Jahr 2026 anfällig für Prompt Injection. Diese Zahl ist kein Zufall; sie ist das Resultat einer rasanten Entwicklung, die methodische Sicherheit oft als optionales Hindernis betrachtet hat. Sie stehen vor der Herausforderung, Ihre Systeme gegen reale Angreifer zu härten und gleichzeitig die strengen Anforderungen des EU AI Acts zu erfüllen, der ab dem 2. August 2026 für Hochrisiko-Anwendungen verbindlich wird. Die Sorge vor Datenlecks und intransparenten Algorithmen bleibt begründet, solange kein messbarer technischer Maßstab existiert.&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/owasp-aisvs-der-standard-fur-sichere-ki-anwendungen?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2762992_1783401068.jpg" alt="OWASP AISVS: Der Standard für sichere KI-Anwendungen" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;73 Prozent der produktiven KI-Deployments sind im Jahr 2026 anfällig für Prompt Injection. Diese Zahl ist kein Zufall; sie ist das Resultat einer rasanten Entwicklung, die methodische Sicherheit oft als optionales Hindernis betrachtet hat. Sie stehen vor der Herausforderung, Ihre Systeme gegen reale Angreifer zu härten und gleichzeitig die strengen Anforderungen des EU AI Acts zu erfüllen, der ab dem 2. August 2026 für Hochrisiko-Anwendungen verbindlich wird. Die Sorge vor Datenlecks und intransparenten Algorithmen bleibt begründet, solange kein messbarer technischer Maßstab existiert.&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Fowasp-aisvs-der-standard-fur-sichere-ki-anwendungen&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Tue, 07 Jul 2026 21:45:08 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/owasp-aisvs-der-standard-fur-sichere-ki-anwendungen</guid>
      <dc:date>2026-07-07T21:45:08Z</dc:date>
    </item>
    <item>
      <title>Pentest 2026: Mythos vs. Realität professioneller Penetrationstests</title>
      <link>https://blog.xplt.com/de/blog/pentest-2026-mythos-vs-realitat-professioneller-penetrationstests</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/pentest-2026-mythos-vs-realitat-professioneller-penetrationstests?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660191_1783077618.jpg" alt="Pentest 2026: Mythos vs. Realität professioneller Penetrationstests" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Ein automatisierter Schwachstellenscan ist kein Pentest; er ist lediglich eine digitale Beruhigungspille ohne echte Schutzwirkung. Während Scanner bekannte Signaturen abgleichen, scheitern sie kläglich an der kreativen Zerstörungskraft eines menschlichen Angreifers. Sie spüren den Druck der Geschäftsführung, Kosten zu optimieren, während regulatorische Rahmenbedingungen wie DORA und TIBER-DE seit Januar 2025 unmissverständliche Anforderungen an Ihre Cyber-Resilienz stellen. Die Angst vor unentdeckten Lücken bleibt trotz grüner Dashboards in den Scannern bestehen. Das ist kein Zufall, sondern ein methodisches Defizit.&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/pentest-2026-mythos-vs-realitat-professioneller-penetrationstests?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660191_1783077618.jpg" alt="Pentest 2026: Mythos vs. Realität professioneller Penetrationstests" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Ein automatisierter Schwachstellenscan ist kein Pentest; er ist lediglich eine digitale Beruhigungspille ohne echte Schutzwirkung. Während Scanner bekannte Signaturen abgleichen, scheitern sie kläglich an der kreativen Zerstörungskraft eines menschlichen Angreifers. Sie spüren den Druck der Geschäftsführung, Kosten zu optimieren, während regulatorische Rahmenbedingungen wie DORA und TIBER-DE seit Januar 2025 unmissverständliche Anforderungen an Ihre Cyber-Resilienz stellen. Die Angst vor unentdeckten Lücken bleibt trotz grüner Dashboards in den Scannern bestehen. Das ist kein Zufall, sondern ein methodisches Defizit.&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Fpentest-2026-mythos-vs-realitat-professioneller-penetrationstests&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Tue, 07 Jul 2026 20:57:41 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/pentest-2026-mythos-vs-realitat-professioneller-penetrationstests</guid>
      <dc:date>2026-07-07T20:57:41Z</dc:date>
    </item>
    <item>
      <title>Von Null auf Domain Admin: Neue YouTube-Serie zu Active Directory Hacking mit Kali Linux und GOAD</title>
      <link>https://blog.xplt.com/de/blog/von-null-auf-domain-admin-neue-youtube-serie-zu-active-directory-hacking-mit-kali-linux-und-goad</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/von-null-auf-domain-admin-neue-youtube-serie-zu-active-directory-hacking-mit-kali-linux-und-goad?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://blog.xplt.com/hubfs/johannes_xplt_a_game_of_thrones_white_walker_holding_up_an_rj45_c39cd267-c63b-4b24-b1ee-b1eed4fb5d42.png" alt="Von Null auf Domain Admin: Neue YouTube-Serie zu Active Directory Hacking mit Kali Linux und GOAD" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;&lt;span style="color: #000000;"&gt;Active Directory ist der Kern jedes Unternehmens-IT-Betriebs im deutschsprachigen Raum. Und trotzdem ist AD-Hacking oft eine Spezialisierung, mit der man nichts zu tun haben will.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Aber so kompliziert ist es ja gar nicht.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;In dieser Serie arbeiten wir uns durch Game of Active Directory (GOAD)-&amp;nbsp; das derzeit anspruchsvollste öffentliche AD-Lab - und zeigen nicht nur die Angriffe, sondern die Denkweise. Was passiert unter der Haube? Warum funktioniert dieser Angriff hier und nicht in der nächsten Umgebung? Was übersieht ein Junior-Pentester, und was macht ein Senior-Operator anders?&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Das ist kein OSCP-Cheatsheet-Content. Das ist der Kurs, den ich mir selbst vor zehn Jahren gewünscht hätte.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000; font-weight: bold;"&gt;Was ist GOAD&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Game of Active Directory ist ein Open-Source-Lab, das eine Game of Thrones-themed Multi-Domain-Windows-Umgebung nachbaut: mehrere Domain Controller, Member Server, MSSQL-Instanzen, ADCS-Certificate-Services, Cross-Domain-Trusts, Kerberos-Delegation-Konfigurationen: alles was du in einer echten Corporate-Umgebung findest, verpackt in eine Vagrant-basierte Infrastruktur, die auf deinem eigenen Rechner läuft.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Der Clou: GOAD ist absichtlich verwundbar auf realistische Weise. Keine CTF-Tricks. Keine künstlichen Backdoors. Nur die Misskonfigurationen, die auch in echten Kundenumgebungen existieren — LLMNR aktiv, Passwörter im Description-Feld, Constrained Delegation auf privilegierte Konten, Kerberoastable Service Accounts. Wer GOAD durcharbeitet, versteht den echten Angriffsalltag im internen Pentesting sehr viel besser.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000; font-weight: bold;"&gt;Was dich in Staffel 1 erwartet&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Wir starten mit dem Sub-Domain `north.sevenkingdoms.local` — der Nordwelt aus Game of Thrones nachempfunden, mit Winterfell als Domain Controller und Castle Black als MSSQL-Member-Server. Über die Staffel arbeiten wir uns systematisch durch den gesamten Kill Chain:&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- Recon ohne Credentials - was verrät dir eine Windows-Domain, bevor du überhaupt authentifiziert bist?&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- LLMNR-Poisoning mit Responder - die immer noch produktivste Initial-Access-Technik in internen Netzen&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- AS-REP Roasting und Kerberoasting - Offline-Cracking von Kerberos-Tickets, sauber erklärt&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- SYSVOL Credential Hunting - der Ort, an dem alte Admin-Skripte für immer ruhen&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- SAM- und LSA-Dump - was steht da wirklich drin, und welcher dieser Werte ist Gold wert&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- Constrained Delegation Abuse - die S4U2self/S4U2proxy-Kombination, die stille Domain Admins produziert&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- Silver und Golden Tickets -&amp;nbsp; Kerberos-Ticket-Forgery als Persistenz-Layer&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- Cross-Domain-Pivoting - von der Sub-Domain zur Forest-Root&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Jede Episode ist so gebaut, dass sie eigenständig funktioniert — aber die Serie ergibt einen zusammenhängenden Angriffspfad, wenn du sie in Reihenfolge schaust.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000; font-weight: bold;"&gt;Wir sprechen über mehrere Pfade zum selben Ziel&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Castle Black lässt sich in unserer Serie über **drei komplett unabhängige Angriffspfade** kompromittieren: über Jeor Mormonts nested-group-Membership, über die MSSQL-Instanz per `sql_svc`-Credentials, und über Silver-Ticket-Forgery mit dem Machine-Account-Hash.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Die Frage ist nicht „welcher Pfad ist der richtige" — sondern „welcher Pfad ist für dein aktuelles Engagement der richtige". Stealth versus Geschwindigkeit versus Persistenz. Diese Entscheidung ist das, was du als Operator dem Kunden verkaufst.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000; font-weight: bold;"&gt;Wir bauen die Verteidiger-Sicht immer mit ein&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Jede Angriffs-Episode endet mit einem Defender Lens - was hätte diese Attacke verhindert, welche Detection-Möglichkeiten gibt es, und was macht der Angriff für ein Blue Team so schwer zu erkennen. Denn ein Pentester, der die Verteidigerseite nicht versteht, schreibt schlechte Berichte.&lt;/span&gt;&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/von-null-auf-domain-admin-neue-youtube-serie-zu-active-directory-hacking-mit-kali-linux-und-goad?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://blog.xplt.com/hubfs/johannes_xplt_a_game_of_thrones_white_walker_holding_up_an_rj45_c39cd267-c63b-4b24-b1ee-b1eed4fb5d42.png" alt="Von Null auf Domain Admin: Neue YouTube-Serie zu Active Directory Hacking mit Kali Linux und GOAD" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;&lt;span style="color: #000000;"&gt;Active Directory ist der Kern jedes Unternehmens-IT-Betriebs im deutschsprachigen Raum. Und trotzdem ist AD-Hacking oft eine Spezialisierung, mit der man nichts zu tun haben will.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Aber so kompliziert ist es ja gar nicht.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;In dieser Serie arbeiten wir uns durch Game of Active Directory (GOAD)-&amp;nbsp; das derzeit anspruchsvollste öffentliche AD-Lab - und zeigen nicht nur die Angriffe, sondern die Denkweise. Was passiert unter der Haube? Warum funktioniert dieser Angriff hier und nicht in der nächsten Umgebung? Was übersieht ein Junior-Pentester, und was macht ein Senior-Operator anders?&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Das ist kein OSCP-Cheatsheet-Content. Das ist der Kurs, den ich mir selbst vor zehn Jahren gewünscht hätte.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000; font-weight: bold;"&gt;Was ist GOAD&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Game of Active Directory ist ein Open-Source-Lab, das eine Game of Thrones-themed Multi-Domain-Windows-Umgebung nachbaut: mehrere Domain Controller, Member Server, MSSQL-Instanzen, ADCS-Certificate-Services, Cross-Domain-Trusts, Kerberos-Delegation-Konfigurationen: alles was du in einer echten Corporate-Umgebung findest, verpackt in eine Vagrant-basierte Infrastruktur, die auf deinem eigenen Rechner läuft.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Der Clou: GOAD ist absichtlich verwundbar auf realistische Weise. Keine CTF-Tricks. Keine künstlichen Backdoors. Nur die Misskonfigurationen, die auch in echten Kundenumgebungen existieren — LLMNR aktiv, Passwörter im Description-Feld, Constrained Delegation auf privilegierte Konten, Kerberoastable Service Accounts. Wer GOAD durcharbeitet, versteht den echten Angriffsalltag im internen Pentesting sehr viel besser.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000; font-weight: bold;"&gt;Was dich in Staffel 1 erwartet&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Wir starten mit dem Sub-Domain `north.sevenkingdoms.local` — der Nordwelt aus Game of Thrones nachempfunden, mit Winterfell als Domain Controller und Castle Black als MSSQL-Member-Server. Über die Staffel arbeiten wir uns systematisch durch den gesamten Kill Chain:&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- Recon ohne Credentials - was verrät dir eine Windows-Domain, bevor du überhaupt authentifiziert bist?&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- LLMNR-Poisoning mit Responder - die immer noch produktivste Initial-Access-Technik in internen Netzen&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- AS-REP Roasting und Kerberoasting - Offline-Cracking von Kerberos-Tickets, sauber erklärt&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- SYSVOL Credential Hunting - der Ort, an dem alte Admin-Skripte für immer ruhen&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- SAM- und LSA-Dump - was steht da wirklich drin, und welcher dieser Werte ist Gold wert&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- Constrained Delegation Abuse - die S4U2self/S4U2proxy-Kombination, die stille Domain Admins produziert&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- Silver und Golden Tickets -&amp;nbsp; Kerberos-Ticket-Forgery als Persistenz-Layer&lt;/span&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;- Cross-Domain-Pivoting - von der Sub-Domain zur Forest-Root&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Jede Episode ist so gebaut, dass sie eigenständig funktioniert — aber die Serie ergibt einen zusammenhängenden Angriffspfad, wenn du sie in Reihenfolge schaust.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000; font-weight: bold;"&gt;Wir sprechen über mehrere Pfade zum selben Ziel&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Castle Black lässt sich in unserer Serie über **drei komplett unabhängige Angriffspfade** kompromittieren: über Jeor Mormonts nested-group-Membership, über die MSSQL-Instanz per `sql_svc`-Credentials, und über Silver-Ticket-Forgery mit dem Machine-Account-Hash.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Die Frage ist nicht „welcher Pfad ist der richtige" — sondern „welcher Pfad ist für dein aktuelles Engagement der richtige". Stealth versus Geschwindigkeit versus Persistenz. Diese Entscheidung ist das, was du als Operator dem Kunden verkaufst.&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000; font-weight: bold;"&gt;Wir bauen die Verteidiger-Sicht immer mit ein&lt;/span&gt;&lt;br&gt;&lt;br&gt;&lt;span style="color: #000000;"&gt;Jede Angriffs-Episode endet mit einem Defender Lens - was hätte diese Attacke verhindert, welche Detection-Möglichkeiten gibt es, und was macht der Angriff für ein Blue Team so schwer zu erkennen. Denn ein Pentester, der die Verteidigerseite nicht versteht, schreibt schlechte Berichte.&lt;/span&gt;&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Fvon-null-auf-domain-admin-neue-youtube-serie-zu-active-directory-hacking-mit-kali-linux-und-goad&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Tue, 07 Jul 2026 18:34:39 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/von-null-auf-domain-admin-neue-youtube-serie-zu-active-directory-hacking-mit-kali-linux-und-goad</guid>
      <dc:date>2026-07-07T18:34:39Z</dc:date>
    </item>
    <item>
      <title>Ransomware braucht keine Malware mehr.</title>
      <link>https://blog.xplt.com/de/blog/ransomware-braucht-keine-malware-mehr</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/ransomware-braucht-keine-malware-mehr?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://blog.xplt.com/hubfs/AI-Generated%20Media/Images/Cybersecurity%20Analyst%20in%20HighTension%20Office%20Setup.png" alt="Ransomware braucht keine Malware mehr." class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;&lt;span style="color: #000000;"&gt;Sicherheitsteams verteidigen arbeiten mit veralteten Playbooks. Aktuelle Analysen zeigen einen KI-generierten Blueprint für "Browser-Only" Ransomware. Dieser Ansatz benötigt keine ausführbaren Dateien, keine Root-Rechte, keine klassischen Exploits und keine lokalen Installationen.&lt;/span&gt;&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/ransomware-braucht-keine-malware-mehr?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://blog.xplt.com/hubfs/AI-Generated%20Media/Images/Cybersecurity%20Analyst%20in%20HighTension%20Office%20Setup.png" alt="Ransomware braucht keine Malware mehr." class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;&lt;span style="color: #000000;"&gt;Sicherheitsteams verteidigen arbeiten mit veralteten Playbooks. Aktuelle Analysen zeigen einen KI-generierten Blueprint für "Browser-Only" Ransomware. Dieser Ansatz benötigt keine ausführbaren Dateien, keine Root-Rechte, keine klassischen Exploits und keine lokalen Installationen.&lt;/span&gt;&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Fransomware-braucht-keine-malware-mehr&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Tue, 07 Jul 2026 18:15:08 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/ransomware-braucht-keine-malware-mehr</guid>
      <dc:date>2026-07-07T18:15:08Z</dc:date>
    </item>
    <item>
      <title>AI LLM Penetration Test: Offensive Security für die künstliche Intelligenz 2026</title>
      <link>https://blog.xplt.com/de/blog/ai-llm-penetration-test-offensive-security-fur-die-kunstliche-intelligenz-2026</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/ai-llm-penetration-test-offensive-security-fur-die-kunstliche-intelligenz-2026?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660192_1783163686.jpg" alt="AI LLM Penetration Test: Offensive Security für die künstliche Intelligenz 2026" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;73 Prozent aller KI-Implementierungen weisen im Jahr 2026 mindestens eine kritische, ausnutzbare Schwachstelle auf. Diese Zahl markiert kein statistisches Rauschen, sondern das systemische Versagen herkömmlicher Sicherheitskonzepte gegenüber probabilistischen Systemen. Klassische Infrastruktur-Scans versagen dort, wo ein spezialisierter AI LLM Penetration Test ansetzt, um Prompt Injection oder System Prompt Leakage zu identifizieren. Wer KI-Modelle ohne offensive Validierung betreibt, agiert im Blindflug.&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/ai-llm-penetration-test-offensive-security-fur-die-kunstliche-intelligenz-2026?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660192_1783163686.jpg" alt="AI LLM Penetration Test: Offensive Security für die künstliche Intelligenz 2026" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;73 Prozent aller KI-Implementierungen weisen im Jahr 2026 mindestens eine kritische, ausnutzbare Schwachstelle auf. Diese Zahl markiert kein statistisches Rauschen, sondern das systemische Versagen herkömmlicher Sicherheitskonzepte gegenüber probabilistischen Systemen. Klassische Infrastruktur-Scans versagen dort, wo ein spezialisierter AI LLM Penetration Test ansetzt, um Prompt Injection oder System Prompt Leakage zu identifizieren. Wer KI-Modelle ohne offensive Validierung betreibt, agiert im Blindflug.&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Fai-llm-penetration-test-offensive-security-fur-die-kunstliche-intelligenz-2026&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Mon, 06 Jul 2026 10:33:04 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/ai-llm-penetration-test-offensive-security-fur-die-kunstliche-intelligenz-2026</guid>
      <dc:date>2026-07-06T10:33:04Z</dc:date>
    </item>
    <item>
      <title>Penetration Test 2026: Strategische Offensive Security für Unternehmen</title>
      <link>https://blog.xplt.com/de/blog/penetration-test-2026-strategische-offensive-security-fur-unternehmen</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/penetration-test-2026-strategische-offensive-security-fur-unternehmen?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660189_1782988005.jpg" alt="Penetration Test 2026: Strategische Offensive Security für Unternehmen" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Hält Ihre Verteidigung den Anforderungen eines realen Angriffs stahnd oder ist sie lediglich eine Ansammlung von Mindestvorgaben einer Compliance-Checkliste? Im Jahr 2026 ist die Antwort auf diese Frage überlebenswichtig für die Kontinuität der Geschäftsprozesse. Angreifer nutzen heute gezielt die Komplexität von Cloud-nativen Umgebungen und Schatten-KI aus, während viele Unternehmen noch mit veralteten Sicherheitskonzepten operieren. Ein professioneller &lt;strong&gt;Penetrationstest&lt;/strong&gt;&amp;nbsp;darf kein bloßes Abhaken von Standard-Checks sein; er muss die methodisch Sicherheitslücken aufdecken, die den Betrieb gefährden.&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/penetration-test-2026-strategische-offensive-security-fur-unternehmen?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660189_1782988005.jpg" alt="Penetration Test 2026: Strategische Offensive Security für Unternehmen" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Hält Ihre Verteidigung den Anforderungen eines realen Angriffs stahnd oder ist sie lediglich eine Ansammlung von Mindestvorgaben einer Compliance-Checkliste? Im Jahr 2026 ist die Antwort auf diese Frage überlebenswichtig für die Kontinuität der Geschäftsprozesse. Angreifer nutzen heute gezielt die Komplexität von Cloud-nativen Umgebungen und Schatten-KI aus, während viele Unternehmen noch mit veralteten Sicherheitskonzepten operieren. Ein professioneller &lt;strong&gt;Penetrationstest&lt;/strong&gt;&amp;nbsp;darf kein bloßes Abhaken von Standard-Checks sein; er muss die methodisch Sicherheitslücken aufdecken, die den Betrieb gefährden.&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Fpenetration-test-2026-strategische-offensive-security-fur-unternehmen&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Sun, 05 Jul 2026 13:23:36 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/penetration-test-2026-strategische-offensive-security-fur-unternehmen</guid>
      <dc:date>2026-07-05T13:23:36Z</dc:date>
    </item>
    <item>
      <title>Hacker werden lernen: Der ultimative Guide zum Ethical Hacker [2026]</title>
      <link>https://blog.xplt.com/de/blog/hacker-werden-lernen-der-ultimative-guide-zum-ethical-hacker-2026</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/hacker-werden-lernen-der-ultimative-guide-zum-ethical-hacker-2026?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660190_1782988112.jpg" alt="Hacker werden lernen: Der ultimative Guide zum Ethical Hacker [2026]" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Bis 2026 fehlen in Deutschland über 106.000 Experten für Cybersicherheit. Ein massives Defizit. Wer heute fundiert hacker werden lernen möchte, sieht sich oft einer Wand aus Tools und Plattformen gegenüber, die mehr verwirren als helfen. Professionalität entsteht nicht durch das bloße Auswendiglernen von Metasploit-Befehlen. Sie entsteht durch methodische Exzellenz und das tiefe Verständnis komplexer Infrastrukturen unter realem regulatorischem Druck wie der NIS2-Richtlinie.&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/hacker-werden-lernen-der-ultimative-guide-zum-ethical-hacker-2026?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660190_1782988112.jpg" alt="Hacker werden lernen: Der ultimative Guide zum Ethical Hacker [2026]" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Bis 2026 fehlen in Deutschland über 106.000 Experten für Cybersicherheit. Ein massives Defizit. Wer heute fundiert hacker werden lernen möchte, sieht sich oft einer Wand aus Tools und Plattformen gegenüber, die mehr verwirren als helfen. Professionalität entsteht nicht durch das bloße Auswendiglernen von Metasploit-Befehlen. Sie entsteht durch methodische Exzellenz und das tiefe Verständnis komplexer Infrastrukturen unter realem regulatorischem Druck wie der NIS2-Richtlinie.&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Fhacker-werden-lernen-der-ultimative-guide-zum-ethical-hacker-2026&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Sat, 04 Jul 2026 12:13:08 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/hacker-werden-lernen-der-ultimative-guide-zum-ethical-hacker-2026</guid>
      <dc:date>2026-07-04T12:13:08Z</dc:date>
    </item>
    <item>
      <title>TIBER-DE 2026: Wenn's ein wenig mehr sein darf als "nur" ein Pentest. Threat Intelligence-based Red Teaming</title>
      <link>https://blog.xplt.com/de/blog/tiber-de-assessments-2026-der-leitfaden-fur-bedrohungsgesteuerte-resilienz</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/tiber-de-assessments-2026-der-leitfaden-fur-bedrohungsgesteuerte-resilienz?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660188_1782988011.jpg" alt="TIBER-DE Assessments 2026: Der Leitfaden für bedrohungsgesteuerte Resilienz" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Hält Ihre Verteidigung einem Angriff stand, der exakt auf Ihre Schwachstellen zugeschnitten ist? Die meisten Institute wiegen sich in trügerischer Sicherheit, bis ein TIBER-DE Assessment die Realität offenlegt. Der regulatorische Druck durch BaFin und EZB lässt keinen Raum für Mittelmäßigkeit. Sie wissen, dass Standard-Audits nicht ausreichen, um den TIBER-Rahmenbedingungen und der DORA-Compliance wirklich gerecht zu werden. Die Sorge vor Betriebsunterbrechungen während einer Simulation ist verständlich, darf aber nicht zur Lähmung führen.&lt;/p&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/tiber-de-assessments-2026-der-leitfaden-fur-bedrohungsgesteuerte-resilienz?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://getautoseo.com/storage/hero_images/article_2660188_1782988011.jpg" alt="TIBER-DE Assessments 2026: Der Leitfaden für bedrohungsgesteuerte Resilienz" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;p&gt;Hält Ihre Verteidigung einem Angriff stand, der exakt auf Ihre Schwachstellen zugeschnitten ist? Die meisten Institute wiegen sich in trügerischer Sicherheit, bis ein TIBER-DE Assessment die Realität offenlegt. Der regulatorische Druck durch BaFin und EZB lässt keinen Raum für Mittelmäßigkeit. Sie wissen, dass Standard-Audits nicht ausreichen, um den TIBER-Rahmenbedingungen und der DORA-Compliance wirklich gerecht zu werden. Die Sorge vor Betriebsunterbrechungen während einer Simulation ist verständlich, darf aber nicht zur Lähmung führen.&lt;/p&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Ftiber-de-assessments-2026-der-leitfaden-fur-bedrohungsgesteuerte-resilienz&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <pubDate>Thu, 02 Jul 2026 12:15:17 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/tiber-de-assessments-2026-der-leitfaden-fur-bedrohungsgesteuerte-resilienz</guid>
      <dc:date>2026-07-02T12:15:17Z</dc:date>
    </item>
    <item>
      <title>One-Off vs. Managed Pentesting: Was Finanzinstitute wissen müssen</title>
      <link>https://blog.xplt.com/de/blog/one-off-vs-managed-penetration-testing-was-finanzinstitute-wissen-muessen</link>
      <description>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/one-off-vs-managed-penetration-testing-was-finanzinstitute-wissen-muessen?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://blog.xplt.com/hubfs/AI-Generated%20Media/Images/The%20image%20depicts%20a%20sleek%20modern%20office%20environment%20within%20a%20financial%20institution%20In%20the%20foreground%20a%20diverse%20group%20of%20professionals%20including%20men%20and%20women%20of%20various%20ethnicities%20are%20engaged%20in%20a%20collaborative%20discussion%20around%20a%20large%20conference%20t-1.jpeg" alt="One-Off vs. Managed Pentesting: Was Finanzinstitute wissen müssen" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;div&gt; 
 &lt;div&gt; 
  &lt;p&gt;&lt;strong&gt;Banken und große Unternehmen bestehen längst nicht mehr nur aus einer Website oder einer App.&lt;/strong&gt;&lt;br&gt;Eine moderne Bank betreibt oft &lt;strong&gt;Hunderte von vernetzten Services&lt;/strong&gt; – von Kundenportalen und mobilen Banking-Apps über APIs bis hin zu Gebäudeleittechnik und IoT-basierten CCTV-Systemen. Jeder dieser Services ist ein potenzielles Einfallstor für Angreifer – und jeder muss im Rahmen der Compliance-Anforderungen getestet werden.&lt;/p&gt; 
  &lt;p&gt;&lt;strong&gt;Die Frage lautet:&lt;/strong&gt; Reicht ein einmaliger Pentest aus – oder braucht es ein Managed Pentesting Service (MPS), um den Überblick zu behalten?&lt;/p&gt; 
  &lt;h2&gt;&lt;strong&gt;Die Grenzen von einmaligen Pentests&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Ein klassischer Pentest ist eine &lt;strong&gt;Momentaufnahme&lt;/strong&gt;. Ein Dienstleister wird beauftragt, ein bestimmtes System oder eine Anwendung zu prüfen, erstellt einen Bericht – und das war’s.&lt;br&gt;Für Unternehmen mit komplexen Infrastrukturen hat dieses Modell jedoch klare Schwächen:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Fehlender Kontext:&lt;/strong&gt; Ein One-Off-Test beleuchtet nur einen einzelnen Ausschnitt – nicht das gesamte Angriffsszenario.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Hoher Koordinationsaufwand:&lt;/strong&gt; Für jede neue Prüfung müssen Sie mit verschiedenen Anbietern angebote einholen und mit internen und externen&amp;nbsp;Teams Release-Zyklen abstimmen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Compliance-Lücken:&lt;/strong&gt; Vorschriften wie &lt;strong&gt;NIS2, ISO27001, NIST, &lt;/strong&gt;&lt;strong&gt;DORA&lt;/strong&gt; oder &lt;strong&gt;TIBER-EU&lt;/strong&gt; erfordern regelmäßige Tests kritischer Assets. Ohne zentrale Planung verliert man schnell den Überblick, ob alle Anforderungen erfüllt werden.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Kein Follow-up:&lt;/strong&gt; Wer prüft, ob die Findings wirklich umgesetzt und behoben wurden? Hier fehlen oft Prozesse zur Integration der Ergebnisse in Risk-, GRC- oder Entwicklerteams.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h2&gt;&lt;strong&gt;Was ein Managed Pentesting Service anders macht&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Ein &lt;strong&gt;Managed Pentesting Service (MPS)&lt;/strong&gt; geht weit über den klassischen „Scan-und-Report“-Ansatz hinaus. Er ist ein &lt;strong&gt;kontinuierliches Sicherheitsprogramm&lt;/strong&gt;, das die gesamte IT-Landschaft und regulatorische Anforderungen abdeckt.&lt;/p&gt; 
  &lt;h3&gt;&lt;strong&gt;Die wichtigsten Vorteile von MPS:&lt;/strong&gt;&lt;/h3&gt; 
  &lt;h4&gt;1. &lt;strong&gt;Risikobasierte Priorisierung&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Nicht alle Systeme sind gleich kritisch.&lt;br&gt;Eine Core-Banking-Anwendung erfordert z. B. &lt;strong&gt;jährliche oder quartalsweise Tests&lt;/strong&gt;, während eine interne Facility-Lösung alle zwei bis drei Jahre geprüft werden kann. &lt;strong&gt;MPS priorisiert nach Kritikalität&lt;/strong&gt; und Compliance-Vorgaben.&lt;/p&gt; 
  &lt;h4&gt;2. &lt;strong&gt;Zentrale Koordination&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Schluss mit dem Jonglieren von 800 Ansprechpartnern.&lt;br&gt;Ein Managed Service übernimmt:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Abstimmung der Testfenster&lt;/strong&gt; mit Entwicklerteams.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Planung entlang von Release-Zyklen&lt;/strong&gt; (z. B. neue Major-Versionen).&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Vendor-Management&lt;/strong&gt; für Drittanbietersysteme.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h4&gt;3. &lt;strong&gt;Kontinuierliches Testing &amp;amp; Retesting&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Gefundene Schwachstellen werden nicht nur dokumentiert, sondern &lt;strong&gt;regelmäßig nachgeprüft&lt;/strong&gt; – ein Feature, das bei Einmaltests oft teuer dazugekauft werden muss.&lt;/p&gt; 
  &lt;h4&gt;4. &lt;strong&gt;Compliance-gerechte Reports&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Standards wie &lt;strong&gt;ISO 27001, PCI DSS, DORA oder TIBER-EU&lt;/strong&gt; erfordern strukturierte Dokumentationen. Ein Pentest as a Service&amp;nbsp;liefert:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Auditfertige Reports&lt;/strong&gt; nach regulatorischen Vorgaben.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;SLA-basierte Testzyklen&lt;/strong&gt; entsprechend der Asset-Kritikalität.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Evidenz für interne und externe Audits.&lt;/strong&gt;&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h4&gt;5. &lt;strong&gt;Integration in GRC und Risikomanagement&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Statt eines isolierten Berichts werden Ergebnisse direkt verknüpft mit:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Risikoregister und GRC-Prozessen.&lt;/strong&gt;&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Management-Summaries für die Führungsebene.&lt;/strong&gt;&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Automatisierter Nachverfolgung und Remediation.&lt;/strong&gt;&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h2&gt;&lt;strong&gt;Ein Praxisbeispiel: Eine Bank mit 800 Services&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Eine europäische Bank betreibt:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;50+ Kundenanwendungen (Web &amp;amp; Mobile Banking).&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;200+ interne Systeme.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;100+ Gebäude- und IoT-Systeme (CCTV, Zutrittskontrollen).&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Hunderte von APIs und Microservices.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;p&gt;&lt;strong&gt;Brauchen all diese Assets jährliche Tests?&lt;/strong&gt;&lt;br&gt;Nein, aber alle müssen nach einem &lt;strong&gt;kritikalitätsbasierten Rhythmus&lt;/strong&gt; geprüft und dokumentiert werden.&lt;/p&gt; 
  &lt;p&gt;Mit einem One-Off-Ansatz bedeutet das:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;Unzählige Einzelverträge.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Manuelles Tracking und Chaos bei Release-Absprachen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Getrennte Berichte und fehlende Übersicht.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;p&gt;Mit einem &lt;strong&gt;Managed Service eines Managed Security Service Provider (MSSP)&lt;/strong&gt;&amp;nbsp;bedeutet es:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Ein zentraler Partner (Exploit Labs)&lt;/strong&gt; koordiniert alle Tests.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Dynamische Priorisierung&lt;/strong&gt; – kritische Systeme werden häufiger geprüft.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Dashboards &amp;amp; KPIs&lt;/strong&gt; für Board-Reports und Compliance.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h2&gt;&lt;strong&gt;Wann ist der richtige Zeitpunkt für Tests?&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Ein Pentest sollte nicht nur nach Zeitplan erfolgen, sondern auch bei &lt;strong&gt;Veränderungen in der Infrastruktur&lt;/strong&gt;:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;Neue Versionen oder Major Releases.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Cloud-Migrationen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Compliance Deadlines oder Audits.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;p&gt;Ein &lt;strong&gt;MSSP überwacht diese Trigger automatisch&lt;/strong&gt;, damit keine sicherheitskritische Änderung ungetestet bleibt.&lt;/p&gt; 
  &lt;h2&gt;&lt;strong&gt;Wie Exploit Labs Managed Pentesting liefert&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Exploit Labs kombiniert &lt;strong&gt;erstklassige Red-Teaming &amp;amp; Pentest-Expertise&lt;/strong&gt; mit &lt;strong&gt;skalierbaren Pentesting-Operations&lt;/strong&gt;.&lt;/p&gt; 
  &lt;p&gt;&lt;strong&gt;Unser Ansatz:&lt;/strong&gt;&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Adversary Emulation:&lt;/strong&gt; Realistische Angriffs-Szenarien basierend auf aktuellen Bedrohungsdaten.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Risk-Based Testing:&lt;/strong&gt; Fokus auf die Systeme, die Angreifer zuerst ins Visier nehmen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Purple-Team-Integration:&lt;/strong&gt; Ergebnisse fließen direkt an Blue Teams für Sofortmaßnahmen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Compliance Mapping:&lt;/strong&gt; Alle Findings sind mit DORA, ISO 27001 &amp;amp; TIBER-EU verknüpft.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Globaler Scope:&lt;/strong&gt; Wir arbeiten für regulierte Unternehmen in der EU, GCC und weltweit.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h2&gt;&lt;strong&gt;One-Off vs. Managed Pentesting – im Vergleich&lt;/strong&gt;&lt;/h2&gt; 
  &lt;div&gt; 
   &lt;div&gt; 
    &lt;table style="border-collapse: collapse; table-layout: fixed; margin-left: auto; margin-right: auto; border: 1px solid #99acc2;"&gt; 
     &lt;thead&gt; 
      &lt;tr&gt; 
       &lt;th&gt;&lt;strong&gt;Feature&lt;/strong&gt;&lt;/th&gt; 
       &lt;th&gt;&lt;strong&gt;One-Off Pentest&lt;/strong&gt;&lt;/th&gt; 
       &lt;th&gt;&lt;strong&gt;Managed Pentesting Service&lt;/strong&gt;&lt;/th&gt; 
      &lt;/tr&gt; 
     &lt;/thead&gt; 
     &lt;tbody&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Umfang&lt;/td&gt; 
       &lt;td&gt;Einzelnes System&lt;/td&gt; 
       &lt;td&gt;Gesamte Infrastruktur mit Priorität&lt;/td&gt; 
      &lt;/tr&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Frequenz&lt;/td&gt; 
       &lt;td&gt;Einmalig&lt;/td&gt; 
       &lt;td&gt;Kontinuierlich &amp;amp; SLA-basiert&lt;/td&gt; 
      &lt;/tr&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Compliance&lt;/td&gt; 
       &lt;td&gt;Nur bedingt&lt;/td&gt; 
       &lt;td&gt;Voll integriert&lt;/td&gt; 
      &lt;/tr&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Integration&lt;/td&gt; 
       &lt;td&gt;Manuell&lt;/td&gt; 
       &lt;td&gt;Automatisiert &amp;amp; zentralisiert&lt;/td&gt; 
      &lt;/tr&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Retesting&lt;/td&gt; 
       &lt;td&gt;Zusatzkosten&lt;/td&gt; 
       &lt;td&gt;Inklusive Lifecycle-Testing&lt;/td&gt; 
      &lt;/tr&gt; 
     &lt;/tbody&gt; 
    &lt;/table&gt; 
   &lt;/div&gt; 
  &lt;/div&gt; 
 &lt;/div&gt; 
 &lt;h2&gt;&amp;nbsp;&lt;/h2&gt; 
 &lt;h2&gt;&lt;strong&gt;Fazit&lt;/strong&gt;&lt;/h2&gt; 
 &lt;p&gt;&lt;strong&gt;Einmalige Pentests sind taktisch – Managed Pentesting ist strategisch.&lt;/strong&gt;&lt;br&gt;Für &lt;strong&gt;Banken, Versicherungen und kritische Infrastrukturen&lt;/strong&gt; sind kontinuierliche, compliance-konforme Tests unverzichtbar.&lt;/p&gt; 
 &lt;p&gt;&lt;strong&gt;Exploit Labs&lt;/strong&gt; bietet genau diese Integration von &lt;strong&gt;Red Teaming und Pentesting&lt;/strong&gt; – als vollwertiger Offensive Security Partner.&lt;/p&gt; 
 &lt;h3&gt;&lt;strong&gt;Bereit, auf Managed Pentesting umzusteigen?&lt;/strong&gt;&lt;/h3&gt; 
 &lt;p&gt;&lt;strong&gt;Kontaktieren Sie Exploit Labs&lt;/strong&gt; und erfahren Sie, wie wir Ihre Tests optimieren und Compliance sicherstellen.&lt;/p&gt; 
 &lt;br&gt; 
 &lt;p&gt;&amp;nbsp;&lt;/p&gt; 
&lt;/div&gt;</description>
      <content:encoded>&lt;div class="hs-featured-image-wrapper"&gt; 
 &lt;a href="https://blog.xplt.com/de/blog/one-off-vs-managed-penetration-testing-was-finanzinstitute-wissen-muessen?hsLang=de" title="" class="hs-featured-image-link"&gt; &lt;img src="https://blog.xplt.com/hubfs/AI-Generated%20Media/Images/The%20image%20depicts%20a%20sleek%20modern%20office%20environment%20within%20a%20financial%20institution%20In%20the%20foreground%20a%20diverse%20group%20of%20professionals%20including%20men%20and%20women%20of%20various%20ethnicities%20are%20engaged%20in%20a%20collaborative%20discussion%20around%20a%20large%20conference%20t-1.jpeg" alt="One-Off vs. Managed Pentesting: Was Finanzinstitute wissen müssen" class="hs-featured-image" style="width:auto !important; max-width:50%; float:left; margin:0 15px 15px 0;"&gt; &lt;/a&gt; 
&lt;/div&gt; 
&lt;div&gt; 
 &lt;div&gt; 
  &lt;p&gt;&lt;strong&gt;Banken und große Unternehmen bestehen längst nicht mehr nur aus einer Website oder einer App.&lt;/strong&gt;&lt;br&gt;Eine moderne Bank betreibt oft &lt;strong&gt;Hunderte von vernetzten Services&lt;/strong&gt; – von Kundenportalen und mobilen Banking-Apps über APIs bis hin zu Gebäudeleittechnik und IoT-basierten CCTV-Systemen. Jeder dieser Services ist ein potenzielles Einfallstor für Angreifer – und jeder muss im Rahmen der Compliance-Anforderungen getestet werden.&lt;/p&gt; 
  &lt;p&gt;&lt;strong&gt;Die Frage lautet:&lt;/strong&gt; Reicht ein einmaliger Pentest aus – oder braucht es ein Managed Pentesting Service (MPS), um den Überblick zu behalten?&lt;/p&gt; 
  &lt;h2&gt;&lt;strong&gt;Die Grenzen von einmaligen Pentests&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Ein klassischer Pentest ist eine &lt;strong&gt;Momentaufnahme&lt;/strong&gt;. Ein Dienstleister wird beauftragt, ein bestimmtes System oder eine Anwendung zu prüfen, erstellt einen Bericht – und das war’s.&lt;br&gt;Für Unternehmen mit komplexen Infrastrukturen hat dieses Modell jedoch klare Schwächen:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Fehlender Kontext:&lt;/strong&gt; Ein One-Off-Test beleuchtet nur einen einzelnen Ausschnitt – nicht das gesamte Angriffsszenario.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Hoher Koordinationsaufwand:&lt;/strong&gt; Für jede neue Prüfung müssen Sie mit verschiedenen Anbietern angebote einholen und mit internen und externen&amp;nbsp;Teams Release-Zyklen abstimmen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Compliance-Lücken:&lt;/strong&gt; Vorschriften wie &lt;strong&gt;NIS2, ISO27001, NIST, &lt;/strong&gt;&lt;strong&gt;DORA&lt;/strong&gt; oder &lt;strong&gt;TIBER-EU&lt;/strong&gt; erfordern regelmäßige Tests kritischer Assets. Ohne zentrale Planung verliert man schnell den Überblick, ob alle Anforderungen erfüllt werden.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Kein Follow-up:&lt;/strong&gt; Wer prüft, ob die Findings wirklich umgesetzt und behoben wurden? Hier fehlen oft Prozesse zur Integration der Ergebnisse in Risk-, GRC- oder Entwicklerteams.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h2&gt;&lt;strong&gt;Was ein Managed Pentesting Service anders macht&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Ein &lt;strong&gt;Managed Pentesting Service (MPS)&lt;/strong&gt; geht weit über den klassischen „Scan-und-Report“-Ansatz hinaus. Er ist ein &lt;strong&gt;kontinuierliches Sicherheitsprogramm&lt;/strong&gt;, das die gesamte IT-Landschaft und regulatorische Anforderungen abdeckt.&lt;/p&gt; 
  &lt;h3&gt;&lt;strong&gt;Die wichtigsten Vorteile von MPS:&lt;/strong&gt;&lt;/h3&gt; 
  &lt;h4&gt;1. &lt;strong&gt;Risikobasierte Priorisierung&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Nicht alle Systeme sind gleich kritisch.&lt;br&gt;Eine Core-Banking-Anwendung erfordert z. B. &lt;strong&gt;jährliche oder quartalsweise Tests&lt;/strong&gt;, während eine interne Facility-Lösung alle zwei bis drei Jahre geprüft werden kann. &lt;strong&gt;MPS priorisiert nach Kritikalität&lt;/strong&gt; und Compliance-Vorgaben.&lt;/p&gt; 
  &lt;h4&gt;2. &lt;strong&gt;Zentrale Koordination&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Schluss mit dem Jonglieren von 800 Ansprechpartnern.&lt;br&gt;Ein Managed Service übernimmt:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Abstimmung der Testfenster&lt;/strong&gt; mit Entwicklerteams.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Planung entlang von Release-Zyklen&lt;/strong&gt; (z. B. neue Major-Versionen).&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Vendor-Management&lt;/strong&gt; für Drittanbietersysteme.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h4&gt;3. &lt;strong&gt;Kontinuierliches Testing &amp;amp; Retesting&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Gefundene Schwachstellen werden nicht nur dokumentiert, sondern &lt;strong&gt;regelmäßig nachgeprüft&lt;/strong&gt; – ein Feature, das bei Einmaltests oft teuer dazugekauft werden muss.&lt;/p&gt; 
  &lt;h4&gt;4. &lt;strong&gt;Compliance-gerechte Reports&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Standards wie &lt;strong&gt;ISO 27001, PCI DSS, DORA oder TIBER-EU&lt;/strong&gt; erfordern strukturierte Dokumentationen. Ein Pentest as a Service&amp;nbsp;liefert:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Auditfertige Reports&lt;/strong&gt; nach regulatorischen Vorgaben.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;SLA-basierte Testzyklen&lt;/strong&gt; entsprechend der Asset-Kritikalität.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Evidenz für interne und externe Audits.&lt;/strong&gt;&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h4&gt;5. &lt;strong&gt;Integration in GRC und Risikomanagement&lt;/strong&gt;&lt;/h4&gt; 
  &lt;p&gt;Statt eines isolierten Berichts werden Ergebnisse direkt verknüpft mit:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Risikoregister und GRC-Prozessen.&lt;/strong&gt;&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Management-Summaries für die Führungsebene.&lt;/strong&gt;&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Automatisierter Nachverfolgung und Remediation.&lt;/strong&gt;&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h2&gt;&lt;strong&gt;Ein Praxisbeispiel: Eine Bank mit 800 Services&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Eine europäische Bank betreibt:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;50+ Kundenanwendungen (Web &amp;amp; Mobile Banking).&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;200+ interne Systeme.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;100+ Gebäude- und IoT-Systeme (CCTV, Zutrittskontrollen).&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Hunderte von APIs und Microservices.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;p&gt;&lt;strong&gt;Brauchen all diese Assets jährliche Tests?&lt;/strong&gt;&lt;br&gt;Nein, aber alle müssen nach einem &lt;strong&gt;kritikalitätsbasierten Rhythmus&lt;/strong&gt; geprüft und dokumentiert werden.&lt;/p&gt; 
  &lt;p&gt;Mit einem One-Off-Ansatz bedeutet das:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;Unzählige Einzelverträge.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Manuelles Tracking und Chaos bei Release-Absprachen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Getrennte Berichte und fehlende Übersicht.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;p&gt;Mit einem &lt;strong&gt;Managed Service eines Managed Security Service Provider (MSSP)&lt;/strong&gt;&amp;nbsp;bedeutet es:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Ein zentraler Partner (Exploit Labs)&lt;/strong&gt; koordiniert alle Tests.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Dynamische Priorisierung&lt;/strong&gt; – kritische Systeme werden häufiger geprüft.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Dashboards &amp;amp; KPIs&lt;/strong&gt; für Board-Reports und Compliance.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h2&gt;&lt;strong&gt;Wann ist der richtige Zeitpunkt für Tests?&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Ein Pentest sollte nicht nur nach Zeitplan erfolgen, sondern auch bei &lt;strong&gt;Veränderungen in der Infrastruktur&lt;/strong&gt;:&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;Neue Versionen oder Major Releases.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Cloud-Migrationen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;Compliance Deadlines oder Audits.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;p&gt;Ein &lt;strong&gt;MSSP überwacht diese Trigger automatisch&lt;/strong&gt;, damit keine sicherheitskritische Änderung ungetestet bleibt.&lt;/p&gt; 
  &lt;h2&gt;&lt;strong&gt;Wie Exploit Labs Managed Pentesting liefert&lt;/strong&gt;&lt;/h2&gt; 
  &lt;p&gt;Exploit Labs kombiniert &lt;strong&gt;erstklassige Red-Teaming &amp;amp; Pentest-Expertise&lt;/strong&gt; mit &lt;strong&gt;skalierbaren Pentesting-Operations&lt;/strong&gt;.&lt;/p&gt; 
  &lt;p&gt;&lt;strong&gt;Unser Ansatz:&lt;/strong&gt;&lt;/p&gt; 
  &lt;ul&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Adversary Emulation:&lt;/strong&gt; Realistische Angriffs-Szenarien basierend auf aktuellen Bedrohungsdaten.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Risk-Based Testing:&lt;/strong&gt; Fokus auf die Systeme, die Angreifer zuerst ins Visier nehmen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Purple-Team-Integration:&lt;/strong&gt; Ergebnisse fließen direkt an Blue Teams für Sofortmaßnahmen.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Compliance Mapping:&lt;/strong&gt; Alle Findings sind mit DORA, ISO 27001 &amp;amp; TIBER-EU verknüpft.&lt;/p&gt; &lt;/li&gt; 
   &lt;li&gt; &lt;p&gt;&lt;strong&gt;Globaler Scope:&lt;/strong&gt; Wir arbeiten für regulierte Unternehmen in der EU, GCC und weltweit.&lt;/p&gt; &lt;/li&gt; 
  &lt;/ul&gt; 
  &lt;h2&gt;&lt;strong&gt;One-Off vs. Managed Pentesting – im Vergleich&lt;/strong&gt;&lt;/h2&gt; 
  &lt;div&gt; 
   &lt;div&gt; 
    &lt;table style="border-collapse: collapse; table-layout: fixed; margin-left: auto; margin-right: auto; border: 1px solid #99acc2;"&gt; 
     &lt;thead&gt; 
      &lt;tr&gt; 
       &lt;th&gt;&lt;strong&gt;Feature&lt;/strong&gt;&lt;/th&gt; 
       &lt;th&gt;&lt;strong&gt;One-Off Pentest&lt;/strong&gt;&lt;/th&gt; 
       &lt;th&gt;&lt;strong&gt;Managed Pentesting Service&lt;/strong&gt;&lt;/th&gt; 
      &lt;/tr&gt; 
     &lt;/thead&gt; 
     &lt;tbody&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Umfang&lt;/td&gt; 
       &lt;td&gt;Einzelnes System&lt;/td&gt; 
       &lt;td&gt;Gesamte Infrastruktur mit Priorität&lt;/td&gt; 
      &lt;/tr&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Frequenz&lt;/td&gt; 
       &lt;td&gt;Einmalig&lt;/td&gt; 
       &lt;td&gt;Kontinuierlich &amp;amp; SLA-basiert&lt;/td&gt; 
      &lt;/tr&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Compliance&lt;/td&gt; 
       &lt;td&gt;Nur bedingt&lt;/td&gt; 
       &lt;td&gt;Voll integriert&lt;/td&gt; 
      &lt;/tr&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Integration&lt;/td&gt; 
       &lt;td&gt;Manuell&lt;/td&gt; 
       &lt;td&gt;Automatisiert &amp;amp; zentralisiert&lt;/td&gt; 
      &lt;/tr&gt; 
      &lt;tr&gt; 
       &lt;td&gt;Retesting&lt;/td&gt; 
       &lt;td&gt;Zusatzkosten&lt;/td&gt; 
       &lt;td&gt;Inklusive Lifecycle-Testing&lt;/td&gt; 
      &lt;/tr&gt; 
     &lt;/tbody&gt; 
    &lt;/table&gt; 
   &lt;/div&gt; 
  &lt;/div&gt; 
 &lt;/div&gt; 
 &lt;h2&gt;&amp;nbsp;&lt;/h2&gt; 
 &lt;h2&gt;&lt;strong&gt;Fazit&lt;/strong&gt;&lt;/h2&gt; 
 &lt;p&gt;&lt;strong&gt;Einmalige Pentests sind taktisch – Managed Pentesting ist strategisch.&lt;/strong&gt;&lt;br&gt;Für &lt;strong&gt;Banken, Versicherungen und kritische Infrastrukturen&lt;/strong&gt; sind kontinuierliche, compliance-konforme Tests unverzichtbar.&lt;/p&gt; 
 &lt;p&gt;&lt;strong&gt;Exploit Labs&lt;/strong&gt; bietet genau diese Integration von &lt;strong&gt;Red Teaming und Pentesting&lt;/strong&gt; – als vollwertiger Offensive Security Partner.&lt;/p&gt; 
 &lt;h3&gt;&lt;strong&gt;Bereit, auf Managed Pentesting umzusteigen?&lt;/strong&gt;&lt;/h3&gt; 
 &lt;p&gt;&lt;strong&gt;Kontaktieren Sie Exploit Labs&lt;/strong&gt; und erfahren Sie, wie wir Ihre Tests optimieren und Compliance sicherstellen.&lt;/p&gt; 
 &lt;br&gt; 
 &lt;p&gt;&amp;nbsp;&lt;/p&gt; 
&lt;/div&gt;  
&lt;img src="https://track.hubspot.com/__ptq.gif?a=48715716&amp;amp;k=14&amp;amp;r=https%3A%2F%2Fblog.xplt.com%2Fde%2Fblog%2Fone-off-vs-managed-penetration-testing-was-finanzinstitute-wissen-muessen&amp;amp;bu=https%253A%252F%252Fblog.xplt.com%252Fde%252Fblog&amp;amp;bvt=rss" alt="" width="1" height="1" style="min-height:1px!important;width:1px!important;border-width:0!important;margin-top:0!important;margin-bottom:0!important;margin-right:0!important;margin-left:0!important;padding-top:0!important;padding-bottom:0!important;padding-right:0!important;padding-left:0!important; "&gt;</content:encoded>
      <category>Cybersecurity</category>
      <pubDate>Sat, 26 Jul 2025 08:43:59 GMT</pubDate>
      <author>johannes@xplt.com (Johannes Schönborn)</author>
      <guid>https://blog.xplt.com/de/blog/one-off-vs-managed-penetration-testing-was-finanzinstitute-wissen-muessen</guid>
      <dc:date>2025-07-26T08:43:59Z</dc:date>
    </item>
  </channel>
</rss>
