Wie unterscheidet sich die Multi-Step-Angriffsketten-Simulation von einem Schwachstellenscanner?

Scanner finden einzelne Schwachstellen und melden sie unabhängig voneinander. Die Angriffsketten-Simulation kartiert, wie diese Schwachstellen sich zu Ausnutzungspfaden kombinieren – und zeigt, was ein Angreifer tatsächlich erreichen kann, indem er sie verkettet. Ein Scanner meldet zehn mittelschwere Funde. Die Kettensimulation zeigt, dass drei davon einen kritischen Pfad zu Ihrer Datenbank bilden.

Ersetzt dies Breach-and-Attack-Simulation (BAS)-Tools?

Sie dienen unterschiedlichen Zwecken. BAS-Tools spielen bekannte Angriffsszenarien ab, um Ihre Erkennungs- und Reaktionsfähigkeiten zu testen. Die Multi-Step-Angriffsketten-Simulation entdeckt neuartige Angriffspfade, die spezifisch für Ihre Anwendung sind – einschließlich Ketten, die noch niemand zuvor dokumentiert hat. Viele Teams nutzen beides: BAS für die Abwehrvalidierung, Penetrify für die Risikoentdeckung.

Wie gehen Sie mit False Positives in der Kettenanalyse um?

Jede Kette wird durch tatsächliche Ausnutzung validiert, nicht durch theoretische Analyse. Penetrify führt jede Kette von Ende zu Ende aus, um zu bestätigen, dass sie das vorhergesagte Ergebnis liefert. Theoretische Ketten, die in der Praxis nicht funktionieren, werden automatisch herausgefiltert, was zu deutlich weniger False Positives führt als bei musterbasierenden Scannern.

Was ist, wenn unsere Anwendung Hunderte von Microservices hat?

Penetrify skaliert für jede Architekturgröße. Die Angriffsgraph-Engine verarbeitet große Topologien nativ, und die Engpassanalyse wird im großen Maßstab noch wertvoller – sie identifiziert die kleine Anzahl von Korrekturen, die die meisten Ketten in einem komplexen Service-Mesh unterbrechen.

Können wir den vollständigen Ausnutzungspfad sehen, nicht nur den Fund?

Ja. Jede Kette enthält den vollständigen Schritt-für-Schritt-Pfad: Einstiegspunkt → zwischenliegende Exploits → Ziel. Jeder Schritt zeigt die spezifische Schwachstelle, den Endpunkt, was der Schritt ermöglicht und wie er mit dem nächsten Schritt verbunden ist. PR-Kommentare enthalten die vollständige Kettenvisualisierung.

Multi-Step-Angriffsketten-Simulation

Ihr Scanner hat 200 Schwachstellen gefunden. Den einen Angriffspfad, der wirklich zählt, hat er übersehen.

Schwachstellenscanner melden einzelne Funde. Angreifer verknüpfen sie miteinander. Beim Ivanti-CSA-Angriff wurden vier mittelschwere Schwachstellen gekettet – keine davon allein als kritisch eingestuft –, um die vollständige Systemkompromittierung zu erreichen. Penetrify simuliert mehrstufige Angriffsketten so, wie echte Angreifer vorgehen: eine Schwachstelle entdecken, sie für tieferen Zugriff nutzen und Exploits verketten, bis die sensibelsten Daten erreicht sind.

Ihre Angriffsketten anzeigen Demo buchen

4

mittlere Schwachstellen in der Ivanti-Angriffskette

80%

der kritischen Pfade durch Behebung von Engpässen unterbrochen

2–5 min

schnelle Kettenverbindungsprüfung pro PR

Attack chain simulation: from flat vulnerability list to connected attack graph

Das Problem

Flache Schwachstellenlisten verbergen das tatsächliche Risiko

Angreifer nutzen keine einzelnen Schwachstellen aus

Sie verketten sie. Ein Informationsleck gibt einen internen Endpunkt preis. Eine fehlerhafte Autorisierungsprüfung an diesem Endpunkt legt Zugangsdaten offen. Diese Zugangsdaten öffnen ein Admin-Panel mit einer Code-Ausführungslücke. Drei mittelschwere Funde. Ein kritischer Angriffspfad. Ihr Scanner hat alle drei gemeldet. Er hat sie nie miteinander verbunden.

CVSS-Werte täuschen ohne Kontext

Eine CVSS-5.0-Informationsoffenlegung ist mittel. Ein CVSS-4.0-Autorisierungsbypass ist mittel. Kombiniert ergeben sie einen kritischen Pfad zu Ihrer Produktionsdatenbank. Schweregradbewertungen betrachten Funde isoliert. Angreifer betrachten sie in Kombination.

Sie beheben die falschen Dinge zuerst

Ohne Kettenanalyse folgt die Behebung der CVSS-Reihenfolge. Aber der mittelschwere Fund, der am Engpass von fünf Angriffsketten sitzt, ist wichtiger als der hochschwere Fund an einem unerreichbaren internen Endpunkt. Flache Listen können Ihnen nicht sagen, welcher welcher ist.

So funktioniert es

Wie Penetrify Multi-Step-Angriffsketten simuliert

Vollständige Oberflächen-Kartierung

Penetrify kartiert Ihre gesamte Angriffsoberfläche – dokumentierte Endpunkte, Shadow-APIs, Legacy-Routen, interne Dienste und externe Integrationen. Es erstellt einen Topologiegraphen, wie Komponenten verbunden sind, welche Daten zwischen ihnen fließen und welche Kontrollen jede einzelne schützen. Sie können keine Ketten zwischen Komponenten finden, von deren Existenz Sie nichts wissen.

Mehrschichtige Schwachstellenerkennung

Vier Testschichten laufen gleichzeitig: statische Analyse (SAST) für Schwachstellen auf Codeebene, dynamisches Testen (DAST) für Laufzeit-Schwachstellen, Abhängigkeits-Scanning (SCA) für bekannte CVEs und Konfigurationsanalyse für Fehlkonfigurationen. Jeder Fund wird seiner Position in der Anwendungstopologie zugeordnet – nicht als flache Liste gesammelt.

KI-gestützte Kettenentdeckung

Die KI-Engine analysiert den Schwachstellengraphen und fragt: „Wenn ich Fund A ausnutze, was wird dadurch freigeschaltet? Kann der Zugriff oder die Daten aus A genutzt werden, um Fund B auszunutzen?" Sie theoretisiert nicht nur – sie führt es aus. Wenn die Engine eine Informationsoffenlegungslücke ausnutzt und eine interne API-Route entdeckt, prüft sie diese Route auf Schwachstellen und erstellt Ausnutzungsketten in Echtzeit.

Engpassidentifikation

Engpässe sind einzelne Funde, die in mehreren Angriffsketten vorkommen. Die Behebung eines Engpasses kann fünf oder zehn Ketten gleichzeitig unterbrechen. Penetrify bewertet jeden Fund nach seinem Engpasseinfluss und verwandelt die Behebung von „200 Funde beheben" in „diese 3 Engpässe beheben, um 80% der kritischen Pfade zu eliminieren".

MITRE ATT&CK-Zuordnung

Jede entdeckte Kette wird MITRE ATT&CK-Techniken zugeordnet – initialer Zugriff, Zugriff auf Zugangsdaten, laterale Bewegung, Privilege Escalation, Exfiltration. Sicherheitsteams erhalten eine standardisierte Sprache zur Kommunikation von Risiken an Stakeholder, und Lücken in der defensiven Abdeckung werden sofort sichtbar.

Attack chain chokepoint analysis: one fix breaks multiple attack paths

Was es findet

Was Scanner übersehen, findet Penetrify

Verkettete Autorisierungs-Exploits

Ein API-Endpunkt gibt interne Benutzer-IDs durch ausführliche Fehlermeldungen preis. Ein separater Endpunkt hat eine fehlerhafte objektbasierte Autorisierung, die jede Benutzer-ID ohne Validierung akzeptiert. Keiner der Funde ist allein kritisch. Zusammen legen sie Ihre gesamte Benutzerdatenbank offen. Penetrify entdeckt diese Kette, indem er den ersten Fund tatsächlich ausnutzt und die geleakten IDs verwendet, um den zweiten zu testen.

Dienstübergreifende laterale Bewegung

Ein Microservice mit einer niedrigschweren SSRF-Schwachstelle kann einen internen Dienst ohne Authentifizierung erreichen. Dieser interne Dienst hat Lesezugriff auf einen Konfigurationsspeicher mit Datenbankzugangsdaten. Drei Dienste, drei separate Funde, ein Pfad zu Ihren Produktionsdaten. Scanner testen jeden Dienst unabhängig. Penetrify folgt dem Pfad über Dienstgrenzen hinweg.

Framework-Angriffsketten

Die 2025er Craft-CMS-Zero-Day-Kette nutzte eine Schwachstelle in Craft CMS selbst und eine separate Schwachstelle im zugrundeliegenden Yii-Framework aus. Angreifer nutzten die Schwachstelle auf Anwendungsebene, um die auf Framework-Ebene zu erreichen – eine Verbindung, die Scanner, die jede Schicht unabhängig testen, niemals entdecken würden.

Exploitation-Sequenzen in der Geschäftslogik

Eine Race Condition im Session-Management legt kurzzeitig das Session-Token eines anderen Benutzers offen. Die meisten Endpunkte validieren den Mandantenkontext, daher ist das gestohlene Token allein nicht nützlich. Aber ein veralteter Reporting-Endpunkt überspringt die Mandantenvalidierung. Die Kette: Race Condition ausnutzen, mandantenübergreifendes Token abfangen, den Legacy-Endpunkt treffen – vollständiger mandantenübergreifender Datenzugriff.

Pipeline-Integration

Kontinuierliche Kettenanalyse in Ihrer CI/CD-Pipeline

Jeder PR

Verbindungsprüfung (2–5 min)

Prüft, ob geänderte Endpunkte neue Verbindungen im Angriffsgraphen erzeugen. Wenn ein neuer Endpunkt zwei zuvor getrennte verwundbare Komponenten verbindet, wird der Fund sofort als PR-Kommentar angezeigt.

Jeder Merge

Kettenvalidierung (10–20 min)

Führt gezielte Kettensimulation an betroffenen Dienstgrenzen durch. Validiert, dass bestehende Ketten noch funktionieren (oder bestätigt, dass eine Behebung sie unterbrochen hat), und testet auf neue Ketten mit geänderten Komponenten.

Nächtlich

Vollständige Grapherkundung (30–90 min)

Umfassende Multi-Step-Angriffsketten-Simulation über die gesamte Anwendungsoberfläche. Entdeckt komplexe Ketten, die viele Komponenten umfassen, validiert alle kritischen Pfade von Ende zu Ende und aktualisiert die Engpass-Bewertungen.

Ergebnisse

Dort, wo Entwickler arbeiten

Kettenfunde erscheinen als PR-Kommentare mit dem vollständigen Angriffspfad: Schritt 1 → Schritt 2 → Schritt 3 → Ziel. Jeder Schritt enthält die spezifische Schwachstelle, den Endpunkt und was der Schritt ermöglicht. Entwickler sehen nicht nur, was defekt ist, sondern auch warum es wichtig ist.

Vergleich

Multi-Step-Angriffsketten-Simulation im Vergleich

Fähigkeit	Schwachstellenscanner	Manueller Pentest	BAS-Tools	Penetrify
Erkennung einzelner Schwachstellen	Ja	Ja	Begrenzt	Ja
Kettenentdeckung	Nein	Ja (zeitlich begrenzt)	Nur vorgeskriptete	KI-gestützt, neuartige Ketten
Geschäftslogik-Ketten	Nein	Ja	Nein	Ja
Dienstübergreifende Ketten	Nein	Manchmal	Nein	Ja
Engpassanalyse	Nein	Manchmal	Nein	Automatisiert
MITRE ATT&CK-Zuordnung	Nein	Manuell	Ja	Automatisiert
CI/CD-Integration	Begrenzt	Nein	Begrenzt	Nativ
Testhäufigkeit	Pro Build	Vierteljährlich	Geplant	Bei jedem Deployment
Zeit bis zu Ergebnissen	Minuten	Wochen	Stunden	2–5 min (schnelle Stufe)

Wer es nutzt

Wer Multi-Step-Angriffsketten-Simulation nutzt

Sicherheitsteams

Nutzen die Kettenanalyse, um über CVSS-gesteuerte Behebung hinauszugehen und die Engineering-Arbeit auf Korrekturen zu konzentrieren, die das meiste Risiko eliminieren. Engpassberichte geben CISOs eine konkrete Antwort auf die Frage: „Was sollen wir als Nächstes beheben?"

DevSecOps-Engineers

Integrieren Kettenprüfungen in CI/CD-Pipelines, um neue Angriffspfade abzufangen, bevor sie die Produktion erreichen. Kettenbewusste Quality Gates verhindern Deployments, die kritische Ausnutzungspfade erzeugen.

Compliance-Teams

Nutzen MITRE ATT&CK-zugeordnete Kettenberichte, um die Abdeckung von Sicherheitskontrollen nachzuweisen und Lücken zu identifizieren. Der Angriffsgraph liefert den Nachweis, dass defensive Kontrollen gegen realistische Angriffsszenarien validiert werden – nicht nur theoretische Checklisten.

Penetrationstester

Nutzen die Penetrify-Kettenanalyse, um manuelle Prüfungen auf die risikoreichsten Bereiche zu fokussieren. Anstelle von umfangreichen vierteljährlichen Assessments validieren und erweitern Tester die kritischsten Ketten, die die KI entdeckt hat.

FAQ

Fragen zur Angriffsketten-Simulation

Penetrify — AI-powered penetration testing Autonomous OWASP vulnerability scanning CI/CD penetration testing Penetrify vs. Pentera — attack simulation compared Penetrify vs. NodeZero Platform security statistics

Guides

Empfohlene Leitfäden

Ihre Anwendung wurde gehackt: Der vollständige Leitfaden für Reaktion und Wiederherstellung Ihre Angriffsfläche wächst schneller als Sie sichern können: So halten Sie Schritt Red Team als Service: Umfassender Anbietervergleich für Sicherheitsverantwortliche Offensive vs defensive Sicherheits-Tools: Ein ausgewogenes Sicherheitsprogramm aufbauen Threat-Modeling vor der Feature-Entwicklung: 30-Minuten-Übung für jeden Sprint Red-Team-Übungen planen: Vierteljährlicher Zeitplan und Durchführungsleitfaden Angriffsflächen-Management: Kontinuierliches Monitoring einrichten das funktioniert Zero-Trust-Implementierung Roadmap: Schritt-für-Schritt-Leitfaden für Engineering-Teams

Jetzt starten

Sehen Sie Ihre Angriffsketten in 24 Stunden

Kostenlose Testversion, keine Kreditkarte erforderlich. Verbinden Sie Ihre Anwendung und sehen Sie Ihren ersten Angriffsgraphen – die heute existierenden Ketten, geordnet nach Schweregrad und Engpasseinfluss.

Kostenlosen Scan starten Dokumentation zu Angriffsketten ansehen