Zum Inhalt springen

Schutz vor Cyberangriffen

Infrastruktur-Pentest

IT-Systeme & -Netze wirksam schützen

Diebstahl, Spionage, Sabotage, Erpressung und Systemausfälle, das sind die häufigsten Ziele, die Hacker bei Angriffen auf Unternehmen verfolgen. Als Einfallstor dienen dabei nicht ausreichend abgesicherte oder mit Schwachstellen versehene Systeme und IT-Infrastruktur-Komponenten. Wir unterstützen Sie dabei, die Sicherheit Ihrer IT-Infrastruktur zu erhöhen und gegen Cyberangriffe zu schützen.

Individuelles Angebot anfordern
Flur in einem Rechenzentrum

Optimaler Schutz der IT-Infrastruktur

Im Rahmen von Penetrationstests gegen Ihre IT-Infrastruktur decken wir bestehende Schwachstellen auf Netzwerk- und Systemebene auf.

Auswahl an Modulen und Prüfaktivitäten

Je nach Bedarf können Sie zwischen verschiedenen Modulen bzw. Prüfaktivitäten wählen.

Dokumentation & Handlungsempfehlungen

Alle Ergebnisse erhalten Sie in Form eines ausführlichen und aussagekräftigen Prüfberichts, inklusive passender Handlungsempfehlungen zur Behebung von Schwachstellen.

Was ist ein IT-Infrastruktur-Pentest?

Ein Infrastruktur-Pentest (Infrastructure Penetration Testing) ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit der zugrunde liegenden IT-Infrastruktur eines Unternehmens überprüft wird.

Ziel ist es, Schwachstellen in Netzwerken, Servern, Firewalls oder anderen Komponenten aufzudecken und potenzielle Angriffspunkte zu identifizieren. Dabei kommen Techniken zum Einsatz, die auch von realen Angreifer:innen genutzt werden würden.

Ihre Vorteile auf einen Blick

Penetrationstests für sichere IT-Infrastruktur

Ein Infrastruktur-Pentest bietet eine fundierte Grundlage, um die Sicherheit Ihrer IT-Umgebung objektiv zu bewerten und gezielt zu optimieren. Die folgenden Vorteile zeigen, wie Sie durch professionelle Sicherheitsprüfungen Schwachstellen aufdecken, Risiken minimieren und Ihr gesamtes Sicherheitsniveau nachhaltig erhöhen können.

  • Objektive Analyse & Bewertung
    Pentests analysieren und bewerten die etablierten Sicherheitsmaßnahmen im Bereich System- & Network Security.
  • Identifizierung spezifischer Schwachstellen
    Pentests identifizieren spezifische Schwachszellen auf System- & Netzwerkebene - inklusive Handlungsempfehlungen zur Behebung.
  • Prüfung auf Basis anerkannter Standards & Best Practices 
    Pentests prüfen die IT Infrastruktur auf Basis anerkannter Standards und Best Practices (z. B. NIST, OSSTMM & BSI)-
  • Erhöhung des Wirkungsgrads
    Mit Pentests erhöhen Sie den Wirkungsgrads und das Gesamtsicherheitsniveau durch individuell abgeleitete Handlungsempfehlungen.
  • Belastbare Risikoeinschätzung
    Pentests bieten Ihnen einen belastbare Risikoeinschätzung Ihrer Netzwerksicherheit durch die Ermittlung tatsächlicher Risiken.
  • Proaktives Vorbeugen
    Mithilfe von Pentests beugen Sie proaktiv Finanz- & Reputationsverlusten durch Sicherheitsvorfälle vor.

Ablauf eines Pentests gegen eine Webanwendung

1

Vorbereitung & Kickoff

Besprechung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen.

2

Analyse & Durchführung der Pentests

Untersuchung der umgesetzten Sicherheitsmaßnahmen hinsichtlich ihrer Effektivität & Vollständigkeit.

3

Abschlssbericht

Zusammenstellung der Ergebnisse in einem Abschlussbericht. Optional mit Abschlusspräsentation.

5

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen
Auf Sie abgestimmt

Auswahl an Modulen bzw. Prüfaktivitäten

Abhängig davon, was Sie mithilfe eines Pentests prüfen möchten, können Sie zwischen verschiedenen Modulen bzw. Prüfaktivitäten wählen. Mögliche Angriffsziele sind verschiedene Systeme und IT-Infrastruktur-Komponenten, z.B. Web- & E-Mail Server, VPN-Gateways, Domänen-Controller oder Datei- & Datenbankserver. Darüber hinaus überprüfen wir aber auch Ihre Firewall, Switche, WLAN Access-Points, Virtualisierungen und komplette Netzwerkbereiche/-infrastrukturen auf Schwachstellen.

Ermittlung von Systemen

Diese Prüfmethodik sieht toolgestützte (ARP-) Scans innerhalb eines Netzwerksegments (Broadcast-Domäne) vor. Ziel der Scans ist die Ermittlung aller Systeme und Komponenten eines Netzwerksegments – und somit intern / in Ihrem Netzwerk (Host-Discovery) –, um somit bspw. unbekannte oder nicht dokumentierte Systeme zu identifizieren („Schatten-IT“). Die Ermittlung von Systemen kann aber auch gegen aus dem Internet erreichbare Systeme / Netzwerkbereiche durchgeführt werden, bspw. gegen eine bestimmte IP-Range Ihres Unternehmens.

Ziel des Schwachstellenscans ist es, potenzielle Sicherheitslücken und Schwachstellen in Computersystemen, Netzwerken oder Anwendungen aufzuzeigen, die von Angreifern genutzt  werden könnten. Schwachstellenscans können dabei helfen, Sicherheitsrisiken frühzeitig zu erkennen und zu beheben, um die Integrität und Sicherheit von IT-Systemen zu schützen.

  • Ermittlung von Diensten 
    Zur Feststellung, welche Dienste auf einem System zur Verfügung stehen, wird ein Port-Scan durchgeführt. Darüber hinaus können mit der Methode eingesetzte Versionen der Dienste (Software) ermittelt werden. Dementsprechend werden aktive Scan-Techniken verwendet. Ziel ist es, unsichere (z. B. Klartextdienste/-Protokolle oder veraltete Versionen) sowie unbekannte bzw. nicht zwingend für den Betrieb benötigte Dienste zu identifizieren (mangelnde Härtung). Auch können die Ergebnisse für weiterführende (manuelle) Angriffe genutzt werden.
  • Ermittlung von Schwachstellen
    Ziel der Schwachstellenscans ist die Erkennung von bekannten Schwachstellen auf den Systemen und Komponenten. Im Rahmen der Schwachstellenscans werden in Absprache mit den Verantwortlichen beispielsweise auch Denial-of-Service-Angriffsvektoren getestet.
     

Neben den automatisierten Analyse- und Angriffstechniken werden immer auch manuelle Untersuchungen und Verifikationen durchgeführt. Dazu wenden unsere IT-Sicherheitsexpert:innen stets aktuelle Angriffstechniken aus der Hacker- bzw. Sicherheitsszene an sowie selbst entwickelte Tools und Scripte.

Im Rahmen dieses Moduls wird das Firewall-Regelwerk überprüft. Ziel ist es, ein möglichst restriktives Firewall-Regelwerk auf Basis von sicheren Protokollen zu nutzen. Dabei werden im Wesentlichen folgende Schritte durchgeführt: Überprüfung hinsichtlich des Minimalitätsprinzips, Ermittlung von widersprüchlichen, abgelaufenen, unnötigen oder ungenutzten Regeln, Identifizierung von zu weit gefassten Regeln (bspw. „any-Rules“), Überprüfung der hinterlegten Services und Protokolle (bspw. Nutzung von Klartext-Protokollen).

Wir überprüfen Ihre verfügbaren WLANs auf Schwachstellen und führen je nach Bedarf weiterführende Angriffe durch, darunter bspw.:

• Identifizierung von WLAN-Zugriffspunkten und Clients (SSIDs, MAC-Adressen, Verschlüsselungsalgorithmen, etc.)

• Begehung der Außengrenzen Ihres Standortes (Einfriedung) zur Ermittlung der WLANs, welche von außerhalb erreichbar sind

• Manuelle Tests und aktive Eindringversuche auf der Luftschnittstelle in Abhängigkeit des jeweiligen Sicherheitsniveaus mittels spezieller Werkzeuge (Deauthentication-Angriff, Evil twin/Rogue Access Point, MitM-Angriffe, Fake Access Point-Angriffe, etc.)

Eine Konfigurationsanalyse im Rahmen eines Penetrationstests umfasst die Überprüfung der Systemeinstellungen und -konfigurationen, um Schwachstellen oder Fehlkonfigurationen zu identifizieren, die ein Sicherheitsrisiko darstellen könnten,

Ziel ist es, Schwachstellen in den Systemeinstellungen zu identifizieren und Verbesserungspotenzial aufzuzeigen, um die Sicherheit der Konfiguration und des Systems weiter zu optimieren.

• Ermittlung des Update-/Patchstandes (Patchmanagement)

• Überprüfung der Gruppenrichtlinien nach Microsoft Best-Practises (Windows-Systeme), nach BSI SiSyPHuS oder CIS Benchmarks

• Überprüfung der installierten Software und Dienste

• Stichprobenartige Überprüfung des Dateisystems, bspw. Überprüfung auf Klartext-Passwörter in Konfigurationsdateien

• Überprüfung hinterlegter Gruppen und Benutzer sowie deren Berechtigungen

• Analyse der Netzwerkdienste und Firewall-Einstellungen

• u.v.m.

Die Analyse erfolgt gemäß White-Box-Ansatz bzw. aus Sicht eines internen Angreifers, der sich bereits Zugriff auf ein System verschafft hat. Diese Prüfmethodik kann häufig mit den Interviews der entsprechenden Personen/Administratoren kombiniert werden.

Dieser Bestandteil einer Prüfmethodik (z. B. White-Box-Pentest) sieht eine Prüfung Ihrer Dokumentation vor. Im Rahmen der Untersuchung werden Betriebs- und Systemdokumente, die das Verhalten und die Eigenschaften der Systeme und Komponenten beschreiben, geprüft. Darunter fallen z. B. Dokumentation der Architektur, Benutzung und Administration, Installations-, Konfigurations- und Wartungsanleitungen, Backup- sowie Sicherheitskonzepte. Ziel ist es u.a. die Plausibilität, Verständlichkeit sowie Aktualität der Dokumente zu prüfen sowie Verbesserungsvorschläge zu geben.

Für Sie zusammengefasst

Das enthält der Abschlussbericht

Analyse und Handlungsempfehlung

Alle Ergebnisse einer Prüfung werden Ihnen in Form eines ausführlichen Abschlussberichtes zur Verfügung gestellt. 

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung).

Der Bericht enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
     
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
     
  • Risikobewertung:  Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
     
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
     
  • Detaillierte Beschreibung der Schwachstellen und Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet und auf false/positive geprüft und anschließend im Bericht zusammengefasst.
     
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
     
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
     
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Häufig gestellte Fragen (FAQ)

Was Sie über Infrastruktur-Pentests wissen müssen

Ziel von Penetrationstests ist es, allgemein bekannte und aktuelle Schwachstellen sowie unsichere, unbekannte bzw. nicht zwingend für den Betrieb benötigte Dienste und Systeme zu identifizieren. Außerdem können wir durch unsere Analysen Schwachstellen und fehlerhafte Konfigurationen in Ihrer Netzwerkinfrastruktur/-architektur aufdecken.

Als Ergebnis liefern wir Ihnen einen ausführlichen Bericht, in dem konkrete nachvollziehbare Risiken aufgezeigt werden und für identifizierte Schwachstellen angemessene Handlungsmaßnahmen zu deren Behebung vorgeschlagen werden.

Die Tests können von extern und somit gegen aus dem Internet erreichbare Systeme sowie von intern, direkt aus dem jeweiligen Netzwerksegment (bspw. Ihrem Office-Netzwerk oder einer DMZ), durchgeführt werden.

Angriffsziel können somit verschiedene Systeme und IT-Infrastruktur-Komponenten sein, bspw. Web- und E-Mail Server, VPN-Gateways, Domänen-Controller oder Datei- und Datenbankserver.

Darüber hinaus überprüfen wir auch Ihre Firewall, Switche, WLAN Access-Points, Virtualisierungen und komplette Netzwerkbereiche/-infrastrukturen auf Schwachstellen.

Neben den automatisierten Analyse- und Angriffstechniken führen wir immer auch manuelle Untersuchungen und Verifikationen durch. Dazu wenden unsere IT-Sicherheitsexpert:innen stets aktuelle Angriffstechniken/-tools aus der Hacker- bzw. Sicherheitsszene sowie selbst entwickelte Tools und Skripte an.

Außerdem orientiert sich die Vorgehensweise der TÜVIT-Expert:innen an anerkannten Standards und Best Practices, wie die des BSI.

Warum wir ein starker Partner für Sie sind

Gute Gründe, die für uns sprechen

Unabhängigkeit
Internationales Expertennetzwerk
Expertise
Branchenerfahrung
Auf Sie zugeschnitten
Optimal abgesichert

Drei Anwendungsgebiete - drei Pentests

Ob Sicherheitsrisiken in Webanwendungen, mobilen Apps oder in IT-Infrastruktur: Mit dem passenden Pentestverfahren sind Sie auf der sicheren Seite.
Ein Mann sitz an einem Schreibtisch mit zwei Bildschirmen und analysiert Daten.
Web-Pentest
Zwei Männer stehen in einem Rechenzentrum, einer tippt etwas in den Laptop, den er hält.
Mobile App-Pentest
Nahaufnahme Code auf dem Bildschirm
Penetrationstests