SSL/TLS Cipher Suites – Prüfung und Bewertung im Penetrationstest
Die Prüfung von SSL- beziehungsweise TLS-Cipher Suites ist ein fester Bestandteil jedes professionellen Infrastruktur-Penetrationstests. Verschlüsselung ist heute Standard, doch „HTTPS aktiv“ bedeutet noch lange nicht, dass eine Konfiguration dem aktuellen Stand der Technik entspricht. In der Praxis finden sich regelmäßig veraltete Protokollversionen, schwache Verschlüsselungsalgorithmen oder unsauber priorisierte Cipher Suites, die unnötige Angriffsfläche bieten.
Eine TLS Cipher Suite definiert, wie eine verschlüsselte Verbindung technisch umgesetzt wird. Sie legt fest, welches Verfahren für den Schlüsselaustausch genutzt wird, wie die Authentifizierung erfolgt, welcher symmetrische Algorithmus die Daten verschlüsselt und welches Verfahren die Integrität sicherstellt. Moderne und sichere Konfigurationen basieren auf TLS 1.2 oder TLS 1.3, nutzen Verfahren wie ECDHE für Perfect Forward Secrecy und setzen auf Algorithmen wie AES-GCM oder ChaCha20-Poly1305. Problematisch sind hingegen noch aktivierte Altlasten wie SSL 3.0, TLS 1.0, RC4 oder 3DES sowie statische RSA-Key-Exchange-Verfahren.
Die Relevanz dieser Prüfung ist keineswegs theoretisch. Falsch konfigurierte TLS-Stacks können Downgrade-Angriffe ermöglichen, Man-in-the-Middle-Szenarien begünstigen oder regulatorische Anforderungen verletzen. Standards und Vorgaben wie PCI DSS, ISO 27001 oder NIS2 erwarten ausdrücklich, dass kryptografische Verfahren dem Stand der Technik entsprechen. Eine bloße Aktivierung von Verschlüsselung genügt daher nicht, entscheidend ist die konkrete technische Ausgestaltung.
Im Rahmen eines Penetrationstests analysieren wir angebotene Protokollversionen, unterstützte Cipher Suites, Zertifikatsketten, Schlüssellängen, die Umsetzung von Perfect Forward Secrecy sowie ergänzende Schutzmechanismen wie HSTS oder OCSP Stapling. Automatisierte Tools liefern dabei erste Indikatoren, doch die eigentliche Bewertung erfolgt kontextbezogen. Ein gutes Rating in einem Scanner bedeutet nicht automatisch, dass die Konfiguration im individuellen Bedrohungsmodell sinnvoll oder zukunftssicher ist.
Wer eine erste Einschätzung seiner öffentlich erreichbaren Systeme erhalten möchte, kann diese beispielsweise über den TLS/SSL-Check unter https://binsec.tools/check/tls-ssl/ durchführen. Solche Online-Checks geben einen schnellen Überblick über unterstützte Protokolle, Cipher Suites und offensichtliche Fehlkonfigurationen. Sie ersetzen jedoch keine tiefgehende sicherheitstechnische Bewertung im Rahmen eines strukturierten Penetrationstests.
Typische Schwachstellen entstehen häufig durch gewachsene Infrastruktur. Alte Protokolle bleiben „für Legacy-Clients“ aktiviert, schwache Cipher Suites werden vorsorglich nicht deaktiviert oder Loadbalancer übernehmen veraltete Standardkonfigurationen. Auch interne Systeme sind hiervon nicht ausgenommen, obwohl gerade dort oft sensible Daten übertragen werden.
Die Prüfung von TLS-Cipher Suites ist daher kein formaler Checklistenpunkt, sondern eine technische Sicherheitsbewertung mit direktem Einfluss auf die Angriffsfläche eines Unternehmens. Moderne Kryptografie ist kein Selbstläufer, sondern das Ergebnis bewusster Konfiguration, regelmäßiger Überprüfung und klarer Sicherheitsstrategie.
FAQ
Häufig gestellte Fragen
Ein Ethical Hacker ist jemand, der Systeme angreift – mit Erlaubnis und mit einem klaren Ziel: Sicherheitslücken finden, bevor sie ausgenutzt werden.
Ethical Hacker denken wie echte Angreifer. Sie suchen nicht nach theoretischen Problemen, sondern nach Wegen, um wirklich einzudringen, Daten abzugreifen oder Kontrolle zu erlangen. Der Unterschied zum Kriminellen ist nicht die Technik, sondern der Auftrag.
Bei Hackeroo heißt das: keine Show, kein Buzzword-Bingo. Wir testen gezielt, verantwortungsvoll und nachvollziehbar. Alles, was wir finden, wird sauber dokumentiert, bewertet und so erklärt, dass man es beheben kann.
Kurz gesagt: Ethical Hacker brechen ein, damit es später niemand anderes kann.
Ein Penetrationstest ist ein kontrollierter Angriff auf deine IT-Systeme – mit einem klaren Ziel: Schwachstellen finden, bevor es echte Angreifer tun.
Wir denken und handeln wie Angreifer. Wir scannen nicht nur oberflächlich, sondern versuchen gezielt, Sicherheitslücken auszunutzen: in Web-Anwendungen, APIs, Netzwerken, Cloud-Umgebungen oder internen Systemen. Dabei kombinieren wir automatisierte Tools mit viel manueller Analyse, Erfahrung und Kreativität.
Das Ergebnis ist kein Buzzword-Report, sondern eine klare Antwort auf die entscheidende Frage: Wie würde man wirklich bei euch reinkommen – und wie verhindert man genau das?
Ein Penetrationstest zeigt reale Risiken, priorisiert sie verständlich und liefert konkrete Handlungsempfehlungen. Kein Marketing, keine Checkliste. Echte Sicherheit.
Red Teaming ist ein realistischer Angriff auf dein Unternehmen – nicht auf ein einzelnes System, sondern auf das gesamte Sicherheitskonzept.
Im Gegensatz zu klassischen Penetrationstests folgt Red Teaming keinem festen Scope und keiner Checkliste. Ziel ist es, mit echten Angreifer-Taktiken unentdeckt so weit wie möglich zu kommen: technische Angriffe, Missbrauch von Prozessen, Umgehung von Kontrollen. Genau so, wie es reale Angreifer tun würden.
Der Fokus liegt nicht auf einzelnen Schwachstellen, sondern auf der Frage: Wie gut erkennt, verhindert und stoppt eure Organisation einen echten Angriff? Technik, Menschen und Prozesse werden dabei gemeinsam getestet.
Red Teaming zeigt gnadenlos ehrlich, wo Sicherheitsmaßnahmen greifen – und wo sie nur auf dem Papier existieren.
Der Unterschied liegt darin, wie viele Informationen der Pentester vor Testbeginn erhält.
Blackbox:
Keine Vorabinformationen. Der Pentester startet nahezu ohne Wissen – vergleichbar mit einem externen Angreifer.
Das ist realistisch, aber ineffizient, da viel Zeit in reine Informationsbeschaffung fließt statt in die strukturierte Prüfung der gesamten Angriffsoberfläche.
Mehr Informationen zum Blackbox Pentest.
Greybox:
Der Pentester erhält alle relevanten Informationen wie Netzwerkbereiche, Subdomains oder Test-Accounts.
Dadurch kann effizient und strukturiert getestet werden.
In der Praxis ist das meist der sinnvollste und wirtschaftlichste Ansatz.
Mehr Informationen zum Greybox Pentest.
Whitebox:
Volle Transparenz. Dokumentation, Konfigurationen und oft auch der Quellcode werden bereitgestellt.
Das ermöglicht maximale technische Tiefe, kann jedoch audit-ähnlich werden und ist nicht immer effizienter.
Mehr Informationen zum Whitebox Pentest.
Unsere Empfehlung:
Ein gut vorbereiteter Greybox Pentest bietet in den meisten Fällen die beste Balance aus Realismus, Tiefe und Effizienz.
