40 % der Assets waren unbekannt

Ein europäisches Energieunternehmen wusste nicht, dass 40 % seiner internetexponierten Assets für das IT-Team unsichtbar waren. Hier ist, was Discovero fand — und was hätte passieren können.

Buchen Sie Ihr Assessment

Die Herausforderung

Womit wir konfrontiert waren

Ein mittelständisches europäisches Energieunternehmen beauftragte Discovero mit einer routinemäßigen Bewertung der externen Angriffsfläche. Ihr IT-Team war überzeugt, vollständige Transparenz über die öffentliche Infrastruktur zu haben — etwa 10 internetexponierte Dienste über zwei Domains.

Sie lagen falsch.

Was Discovero fand

Bewertungsergebnisse

caseStudies.energy.metrics.

Wichtigste Befunde

Remote Code Execution über Legacy-SSH (CVSS 9.8)

Ein internetexponierter Server betrieb eine veraltete Version von OpenSSH (7.4p1), anfällig für CVE-2024-6387 (regreSSHion). Diese Race-Condition-Schwachstelle ermöglicht unauthentifizierte Remote Code Execution als Root. Der Server war eine vergessene Staging-Umgebung aus dem Jahr 2019, die noch mit dem internen Netzwerk verbunden war.

Unauthentifiziertes Kubernetes Dashboard (CVSS 10.0)

Ein Kubernetes Dashboard war auf Port 443 ohne Authentifizierung exponiert. Service-Account-Tokens konnten extrahiert werden und gewährten vollen Clusterzugriff. Über gemountete IAM-Rollen ermöglichte dies Zugriff auf die Cloud-Infrastruktur einschließlich Datenbanken und Speicher. Das Dashboard wurde beim initialen Setup mit --enable-skip-login deployt und nie abgesichert.

Schwachstellen in der Webanwendung (CVSS 7.8)

Das Hauptkundenportal enthielt eine Stored-XSS-Schwachstelle über den Datei-Upload-Mechanismus, und die REST-API hatte eine IDOR-Schwachstelle, die Benutzerdatensätze offenlegte. Beide Probleme bestanden in der Produktionsanwendung, die externe Kunden bedient.

Fehlende Security-Header auf allen Webpräsenzen

Keine der 16 entdeckten Subdomains implementierte Content-Security-Policy oder Strict-Transport-Security. Durchschnittlicher Security-Header-Score: 7 %. Mehrere Server legten Versionsinformationen über X-Powered-By-Header offen.

Die Auswirkung

Was hätte passieren können

Szenario	Geschätzte Auswirkung
Ransomware-Angriff (wahrscheinlichstes Szenario)	EUR 160.000 – 600.000
Sicherheitsvorfall + DSGVO-Bußgelder	EUR 500.000 – 2.000.000
Kompromittierung der Cloud-Infrastruktur	EUR 200.000 – 800.000
Discovero-Bewertung	EUR 4.900

Die Behebung war 20-mal günstiger als die konservativste Schätzung eines Sicherheitsvorfalls.

Das Ergebnis

Was unternommen wurde

91,3 % der Webdienste hatten keine kritischen Security-Header — alle wurden innerhalb von 2 Wochen behoben.
Der veraltete SSH-Server wurde innerhalb von 24 Stunden nach Erhalt des Berichts außer Betrieb genommen.
Das Kubernetes Dashboard wurde hinter VPN mit OIDC-Authentifizierung gesichert.
Die XSS- und IDOR-Schwachstellen wurden im nächsten Sprint-Zyklus behoben.
Der Kunde etablierte einen vierteljährlichen Bewertungsrhythmus zur Aufrechterhaltung der Transparenz.

Kernaussage

Sie können nicht schützen, was Sie nicht sehen können. Dieses Energieunternehmen hatte 4-mal mehr internetexponierte Dienste als bekannt — und eine CVSS 10.0-Schwachstelle auf einem davon.

Möchten Sie wissen, was sich in
Ihrer Angriffsfläche verbirgt?

Keine Agenten. Keine Zugangsdaten. Nur Ihre Domain. Erste Ergebnisse in 48 Stunden.

Kostenlose Beratung buchen Preise ansehen