AWARE7 GmbH
Vincent Heinen
Abteilungsleiter Offensive Services
M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.
Berufserfahrung
Abteilungsleiter Offensive Services
2024 - heuteAWARE7 GmbH
Penetration Tester
2022 - 2024AWARE7 GmbH
Ausbildung
M.Sc. - IT-Sicherheit / Netze und Systeme
2024Ruhr-Universität Bochum
B.Sc. - Informatik
2022TU Dortmund
Zertifizierungen & Qualifikationen
OSCP+
OSCP
OSWP
OSWA
Responsible Disclosures
CVE-2023-0865 8.8 HIGH
Authorization Bypass in WooCommerce Multiple Customer Addresses & Shipping Plugin (< 21.7) - authentifizierte Nutzer konnten Adressen anderer Kunden lesen, ändern und löschen.
WooCommerce Multiple Customer Addresses & Shipping CWE-639 März 2023
CVE-2025-43579 5.5 MEDIUM
Information Exposure in Adobe Acrobat Reader - Umgehung einer Sicherheitsfunktion ermöglicht Zugriff auf sensible Daten ohne Nutzerinteraktion.
Adobe Acrobat Reader CWE-200 Juni 2025
CVE-2025-53533 6.1 MEDIUM
Reflected XSS in Pi-hole Web Interface (≤ 6.2.1) - die 404-Fehlerseite übernimmt den Anfragepfad unsanitiert in ein class-Attribut.
Pi-hole Web Interface CWE-79 Okt. 2025
Betreute Abschlussarbeiten
Entwicklung einer Software zur Überwachung und Verwaltung von Pentestboxen
Murat Altindis · SS 2025
Veröffentlichte Artikel
138 Aktuell
Active Directory Security Audit: Angriffspfade in AD finden und schließen
Active Directory ist das häufigste Ziel bei Unternehmensangriffen - wer AD kontrolliert, kontrolliert alles. Dieser Guide erklärt wie ein AD-Sicherheitsaudit strukturiert wird: Kerberoasting, Pass-the-Hash, DCSync, BloodHound-Analyse, Tiered-Admin-Modell, LAPS und Protected Users. Mit konkreten PowerShell-Abfragen und Audit-Checkliste.
12 Min.
Active Directory absichern: 15 Maßnahmen gegen die häufigsten Angriffe
Active Directory Härtung: Angriffspfade eliminieren
Active Directory Red Team: Kerberoasting, Golden Ticket und DCSync im Pentest
Active Directory absichern: Die wichtigsten Maßnahmen gegen AD-Angriffe
Active Directory Tiered Administration: Privilegien richtig strukturieren
API Gateway Security: Schutzmaßnahmen für moderne API-Infrastruktur
API Security Testing: Praxis-Guide für REST und GraphQL APIs
API-Sicherheit für Unternehmen: OWASP API Top 10 und praktische Härtung
Microsoft Entra ID (Azure AD) härten: Sicherheitskonfiguration für KMU
Browser-Sicherheitshärtung: Unternehmensrichtlinien für Chrome, Edge und Firefox
Bug Bounty Programme aufbauen: Vom internen Prozess zur öffentlichen Plattform
CI/CD Pipeline Sicherheit: DevSecOps in der Praxis
Container-Sicherheit: Docker und Kubernetes richtig absichern
Datenbanksicherheit in der Praxis: PostgreSQL, MySQL und MSSQL absichern
DevSecOps Security Gates: SAST, DAST und SCA in CI/CD-Pipelines
DMARC Implementierung: Schritt-für-Schritt von p=none zu p=reject
E-Mail-Sicherheit im Unternehmen: SPF, DMARC, DKIM und mehr
SPF, DKIM und DMARC: E-Mail-Spoofing endgültig verhindern
EDR für KMU: Warum klassischer Antivirenschutz nicht mehr ausreicht
Incident Response Forensik: Werkzeuge und Vorgehen bei Sicherheitsvorfällen
Kubernetes Network Policies: Mikrosegmentierung im Cluster
Kubernetes Runtime Security: Falco, Seccomp und OPA Gatekeeper im Einsatz
Kubernetes Security Audit: RBAC, PodSecurity, NetworkPolicy und Secrets
Kubernetes Security Guide: Container-Infrastruktur absichern
Lateral Movement erkennen und stoppen: Angreifer im Netzwerk abfangen
Linux Server Härtung: Schritt-für-Schritt Praxis-Guide für Ubuntu/Debian und RHEL
macOS Security im Unternehmen: Hardening, MDM und Enterprise Controls
Microsoft Sentinel als SIEM: Deployment, Detection Rules und KQL-Abfragen
Mobile Security: Android und iOS sicher konfigurieren und testen
Network Traffic Analysis: Wireshark, Zeek und Suricata für Security-Teams
Netzwerksegmentierung und Mikrosegmentierung für Zero Trust
Netzwerksegmentierung: Warum ein flaches Netz die größte Schwachstelle ist
OAuth 2.0 und OIDC Sicherheit: Häufige Fehler und wie man sie vermeidet
Karriere in Offensive Security: Zertifizierungen, Lernpfade und Jobeinstieg
OT/ICS Penetrationstest: Methodik für industrielle Steuerungssysteme
OT/ICS-Sicherheit: Industrieanlagen gegen Cyberangriffe schützen
OWASP Top 10 2025: Die kritischsten Web-Schwachstellen und ihre Behebung
Penetrationstest beauftragen: Worauf KMU achten müssen (2026)
Privileged Access Management: Admin-Konten absichern - aber richtig
Red Team vs. Penetrationstest: Was ist der Unterschied?
Schwachstellenmanagement in der Praxis: Von der CVE zur Behebung
SIEM Detection Rules schreiben: Von Sigma zu KQL und SPL
Enterprise SSO implementieren: SAML 2.0, OIDC und Keycloak im Vergleich
Stealer Logs: Wenn Ihre Mitarbeiter-Passwörter im Darknet verkauft werden
WAF Implementierung: Web Application Firewall konfigurieren und tunen
Windows Event Log Forensik: Angriffsspuren in Windows-Logs erkennen
Windows Endpoint Härtung: Workstations und Laptops absichern
Windows Hardening für Unternehmen: CIS Benchmark und Microsoft Security Baseline
Spezialisierte Penetrationstests: Mobile, OT/ICS, API, LLM & 5G
Cloud Penetrationstest: AWS, Azure, GCP & Kubernetes im Fokus
Pentest Tools: Die besten Werkzeuge für Penetrationstester [2026]
Penetrationstest: Der komplette Guide für Unternehmen [2026]
Digitale Souveränität in der Praxis: Mehr Kontrolle, neue Risiken
9 Hacking Gadgets 2025: Lernen und Forschen
Automotive Hacking
Cyberangriffe auf die Luftfahrt: Risiko über den Wolken
Threat-Led Penetration Testing (TLPT)
KI-gestützte Cyberangriffe: Bedrohung und Abwehrstrategien
Hacktivisten: Cyber-Rebellen oder Gefahr für die Sicherheit?
Hinter den Kulissen von RansomHub
Hacker kapern Roboter-Staubsauger: Wenn der Deebot zum Albtraum wird
Schwachstellenscan oder Pentest: Welche Methode schützt Ihre IT-Infrastruktur besser?
Schwachstellen in Videokonferenzsystemen
Black Basta: Eine ernstzunehmende Cyberbedrohung
Pikabot: Der Trojaner, der unbemerkt zuschlägt!
Typische Anzeichen für einen Hackerangriff erkennen
Damn Small Linux Alpha 1: Die Wiedergeburt einer Legende
Geheime Infiltration: Das Phänomen der lateralen Netzwerkbewegung
Wine 9.0: Neue Horizonte in der Software-Kompatibilität
Banana Pi: Billigkopie oder leistungsstarker Mini-PC?
Quakbot - Krimi der Cyberkriminalität
Pwn2Own: Einblicke in den Hackerwettbewerb
WormGPT - Künstliche Intelligenz als Werkzeug des Bösen
Das Ende des Mozi Botnets
MITRE ATT&CK V14: Die Zukunft der Sicherheit
Authentifizierungsverfahren - Cybersicherheit stärken
Projekt Veilid enthüllt: Wie ein Hackerkollektiv den Datenschutz herausfordert
Ethical Hacker im Einsatz: Schutz der IT-Systeme
Unsichtbare Bedrohung: Wie Stealer Logs die Sicherheit von Single Sign Ons gefährden
iLeakage: Neueste Angriffswelle auf iOS-Plattformen
Die OWASP Mobile Application Security Checkliste und wofür sie gut ist
Darknet-Marktplätze - Wie illegale Dienste das Open Web gefährden
Mini Pentest: Do It Yourself
OWASP API Top 10 in Deutsch verfügbar
Kali Purple im Einsatz für die digitale Forensik und als Reaktion auf Zwischenfälle
Web Application Firewalls - Die 10 Topanbieter im Vergleich
Bedrohung durch Rogue, Shadow und Zombie APIs
Kali Purple: Kali Linux wird zu einer defensiven Linux-Distribution
Zero Day Exploits: Was ist das?
IoT: Sicherheit und Risiken des Internet of Things
Penetrationstest Checkliste
10 kritische Schwachstellen in Unternehmen - und wie Sie diese schließen
MobSF: Das Mobile Security Framework in der Detailansicht
Wie Crystals-Kyber vor Quantencomputer-Angriffen schützen soll
Die 12 besten Open Source Firewalls
Red Team vs. Pentest: Wo liegen die Unterschiede?
Die 10 besten Tools für SQL-Injections
Was ist Pentest as a Service?
Cybercrime as a Service (CaaS): Definition & Geschaeftsmodell
Security.txt - Sicherheitsprobleme einfach melden
Web Scraping: Was ist das und wofür ist es gut?
Was kostet ein Penetrationstest?
iPhone gehackt? - So testen Sie Ihr Gerät auf Spyware!
Hackforums - was steckt dahinter?
Blockchain - Wir erklären die Bedeutung!
Staatstrojaner - Worum handelt es sich genau?
Rubber Ducky - Der gefährlichste USB-Stick für Unternehmen!
Was ist ein HoneyPot?
Spoofing - Das Verstecken hinter einer bekannten Quelle!
APT - Definition und Erklärung von Advanced Persistent Threat!
Linux Laptop - Gute Distributionen für den Einstieg!
BitLocker - Wir klären Ihre Fragen zur Festplattenverschlüsselung!
Vim - Der Einsteiger-Guide der AWARE7
Doxing: Was es ist und wie Sie sich davor schützen können
Pentest beauftragen - diese 5 Punkte sollten beachtet werden!
Hacken mit macOS - Hacking Tools mit Brew installieren
Die Geschichte von SSL/TLS: Teil 2 - TLS Zertifikate
Gehackt worden? So lässt sich der Account bereinigen!
Pentest Trends 2020 - Diese Themen können Sie in dem Webinar am 25.09 erwarten!
Schutzmaßnahmen im Jahr der Hacker - Methoden für den eigenen Schutz!
dirbuster - Verzeichnisse entdecken und Angriffe vorbereiten!
HIBP - Code Base wird nun Open Source
Pi-Hole und Fritzbox - Setup Anleitung!
Google Chrome Hacks: Diese Unterseiten sollte jeder kennen!
Gibt es den Tor Browser für iOS?
Schadsoftware in PDF Dokumenten ausschließen!
Was ist das Darknet?
Mukashi Botnetz nutzt angreifbare Zyxel Hardware
Was macht ein Hacker?
Penetrationstest mit Firefox Plugins!
Denial of Service (DOS) - Wie funktioniert dieser Angriff?
Verschlüsselungstrojaner erkennen - Dateien entschlüsseln!
Die Geschichte von SSL/TLS: Teil 3 - SSL Version 1.0
Die RFID Technologie - Ein Praxisbegleiter birgt Risiken!
Ghidra ist veröffentlicht - Was kann das Reverse Engineering Open Source Tool?
SHA-1 Kollision wurde praktisch durchgeführt!
CastHack - wenn der Chromecast fremdgesteuert wird!
Sicherheit beginnt mit dem richtigen Partner
Vereinbaren Sie eine kostenlose Erstberatung mit unseren Experten.
Kostenlos · 30 Minuten · Unverbindlich
