Wie ein professionelles Sparring im Boxring simulieren unsere Penetration Tests reale Angriffe auf Ihre IT-Systeme. Dabei spielen wir den Angriff so durch, wie es ein erfahrener Gegner tun würde – und decken so gezielt Sicherheitslücken auf. Mit diesem Wissen können Sie Ihre Verteidigung auf das nächste Level heben und sich besser gegen Angriffe wappnen. Nur wer seine Schwächen kennt, kann gezielt trainieren, um sie in Stärken umzuwandeln.
360° Analyse Ihrer IT-Verteidigung
Wie ein Trainer mit dem geschulten Blick auf das Geschehen im Ring, betrachten wir Ihre gesamte IT-Landschaft. Vom Netzwerk über Webanwendungen bis hin zu menschlichen Fehlerquellen – wir helfen Ihnen, jeden Winkel zu beleuchten und Schwachstellen zu erkennen.
Potenzielle Angriffe erkennen, bevor Treffer gelandet werden
Wer den Kampf gewinnen will, muss den Gegner lesen.. Durch unsere Penetration Tests werden mögliche Gefahrenquellen antizipiert und Sicherheitslücken frühzeitig identifiziert, damit Sie schneller reagieren und größeren Schäden abwenden können.
Individuelle Taktik für mehr Sicherheit
Kein Champion kämpft gleich, und so braucht auch jedes Unternehmen seine eigene Sicherheitsstrategie. Unsere Penetration Tests liefern Ihnen eine maßgeschneiderte Taktik, um Ihre IT-Abwehr zu optimieren.
Dauerhaft fit durch regelmäßiges Training
Wer über die volle Distanz gehen will, braucht einen langen Atem und Ausdauer. Durch regelmäßige Penetration Tests bleiben Sie auch langfristig fit und können sich gegen neue Bedrohungen behaupten.
Erfahrung und Experten-Know-how
Unser Expertenteam kennt alle Tricks und weiß, welche Tricks potenzielle Angreifer draufhaben. Deswegen identifizieren wir nicht nur Sicherheitslücken, sondern geben auch ganz konkrete Handlungsempfehlungen. Vertrauen Sie auf unsere Erfahrung, damit sie keine falschen Entscheidungen treffen.
1. Was ist ein Pentest und wie funktioniert er?
Penetrationstests sind eine Kategorie von IT-Sicherheitsüberprüfungen. Ziel dabei ist es, reale Angriffszenarien zu simulieren und dadurch Lücken und Fehlkonfigurationen in IT-Systemen oder IT-Umgebungen aufzudecken. Ein erfolgreicher Pentest deckt nicht nur Lücken auf, sondern bietet dem Kunden zudem gezielte Handlungsempfehlungen, um diese zu schließen.
Pentests sind i.d.R. zeitlich sehr genau eingegrenzt und finden häufig in enger Zusammenarbeit und Austausch mit dem Kunden statt.
2. Warum sind Pentests wichtig für die IT-Sicherheit von Unternehmen?
Pentests sind wichtig, um die Sicherheit von Unternehmen proaktiv zu verbessern und die Angriffsfläche zu minimieren. Ein Pentest kann nie vollständige Sicherheit garantieren, aber dazu beitragen Schwachstellen und Fehlkonfigurationen aufzudecken und deren Behebung zu ermöglichen.
3. Welche Arten von Pentests gibt es (z.B. Black-Box, White-Box)?
Pentests werden durch zwei entscheidende Faktoren bestimmt, einerseits durch das sogenannte “Angreiferwissensprofil” und andererseits durch die Art der Ziele.
Angreiferwissensprofil
Das Angreiferwissensprofil kann grob in drei verschiedene Kategorien unterteilt werden (Black-Box, White-Box, Grey-Box) und bestimmt wieviel Informationen den Pentestern durch den Auftraggeber zur Verfügung gestellt werden.
Black-Box:
Die Pentester erhalten abgesehen von öffentlich einsehbaren Informationen keinerlei privilegierte Informationen über die Zielsysteme.
White-Box:
Die Pentester erhalten umfangreiche und detaillierte Informationen über die Zielsysteme, wie z.B. spezifische Programminterna, Netzwerkdiagramme, Quellcode o.ä.
Grey-Box:
Mischform aus Black Box und White Box, bei der die Penetrationstester einige Informationen über die Zielsysteme bekommen, wie z.B. interne Systeme und deren grobe Funktionalität oder Benutzerzugangsdaten.
Je weniger Informationen Pentester erhalten, desto realistischer wird das initiale Wissensprofil realer Angreifer simuliert. Aufgrund der starken zeitlichen Begrenzung ist es allerdings meist zielführender einen Grey-Box oder sogar White-Box Ansatz zu wählen, da die Zielsysteme effektiver und tiefgreifender getestet werden können. Im Gegensatz zu Pentests können sich reale Angriffe über einen sehr langen Zeitraum strecken, wodurch dieses privilegierte Wissen nach und nach erlangt werden kann.
Infrastruktur
Umfang:
Fragestellungen u.a.:
Kann von außen auf interne Unternehmensdaten zugegriffen werden?
Webapplikation
Umfang:
Fragestellungen u.a.:
Ist die eingesetzte Verschlüsselung sicher?
Interner Pentest/Innentäter Simulation
Umfang i.d.R.:
Fragestellungen u.a.:
Mobile Applikationen
Umfang:
Fragenstellungen u.a.:
Allgemein gilt, dass das Wissensprofil und die Zielart im Austausch mit dem Kunden genau definiert werden muss und Pentests daher sehr individuell gestaltet werden.
4. Wer führt professionelle Pentests durch?
Professionelle Pentests werden von hochspezialisierten IT-Sicherheitsexperten durchgeführt, die meist ein abgeschlossenes Studium oder eine Ausbildung im Bereich der Informatik besitzen.
Weiterhin besitzen die IT-Sicherheitsexperten oftmals technisch anspruchsvolle Zertifizierungen im Bereich Pentesting/Ethical Hacking.
5. Wie läuft ein typischer Pentest-Prozess ab?
Ein Pentest lässt sich grob in vier Phasen unterteilen:
Ein Pentest beginnt mit einem Kickoff-Termin, der dazu dient, sich gegenseitig kennenzulernen und die Rahmenbedingung des Pentests abzustecken. Folgende Dinge werden u.a. besprochen:
Zu Beginn des Pentests wird i.d.R. automatisiert nach Schwachstellen gescannt, um einen groben Überblick zu erlangen und gängige Schwachstellen aufzudecken. Diese Phase dient ebenfalls dazu möglichst viele Informationen über die Zielsysteme zu erlangen. Zum Abschluss werden Ziele identifiziert, die für reale Angreifer besonders lohnend erscheinen würden.
Anschließend an die automatisierte Überprüfung beginnt die manuelle Überprüfung, hier werden Schwachstellen von Hand geprüft, validiert, kombiniert und Angriffe getestet, die ein Schwachstellenscanner nicht prüfen kann. Diese Phase bildet das Herzstück des Pentests, hier ist eine hohes Maß and Kreativität und ein tiefes Fachwissen der Pentester gefordert. Je nach Zielart unterscheidet sich diese Phase sehr. Zu beachten ist ebenfalls, dass Phase 2 und 3 teils mehrfach innerhalb eines Testzeitraums wiederholt werden, um weitere Erkenntnisse zu erlangen und tiefer vorzudringen.
Zum Ende des Pentests werden sämtlich validierten und manuell gefundenen Schwachstellen in einem Bericht für den Kunden nachvollziehbar aufbereitet und mit Handlungsempfehlungen versehen. In einem abschließenden Gespräch werden die Ergebnisse präsentiert und Nachfragen des Kunden beantwortet.
6. Wann sollte ein Unternehmen einen Pentest durchführen lassen?
Es empfiehlt sich Pentests in regelmäßigen Abständen zu wiederholen. Außerplanmäßige Pentests sind besonders dann empfehlenswert, wenn z.B. größere Konfigurationsänderungen vorgenommen werden oder neue Produkte bzw. Produktänderungen auf den Markt gebracht werden.
7. Was ist der Unterschied zwischen einem Pentest und einem Vulnerability Scan?
Ein Pentest beinhaltet eine manuelle Überprüfung, die einen Schwachstellenscan (Vulnerability Scan) beinhalten kann, aber nicht muss. Schwachstellenscanner testen automatisiert katalogisierte Schwachstellen, können diese allerdings nicht immer verifizieren, wodurch False Positives auftreten können.
Regelmäßige Schwachstellenscans sind eine gute Ergänzung zu regelmäßigen Pentests und können z.B. sinnvoll als Teil der Patch Management Strategie eines Unternehmens eingesetzt werden. Sie bieten jedoch keinen adäquaten Ersatz für einen umfassenden Pentest, da sie keine tiefergehenden Überprüfungen durchführen können.
