Mithilfe von Penetrationstests Sicherheitslücken aufdecken & schließen
Werden Schwachstellen in Ihren Systemen, Komponenten oder Anwendungen nicht frühzeitig erkannt, können diese zum Einfallstor für Cyberkriminelle werden. Datendiebstähle, Erpressung und Systemausfälle sowie damit einhergehende wirtschaftliche Schäden und Vertrauensverluste sind dabei nur einige der möglichen Folgen eines erfolgreichen Cyberangriffs.
Mit Penetrationstests – kurz Pentests – unterstützen wir Sie dabei, die Wirksamkeit Ihrer bestehenden IT-Sicherheitsmaßnahmen zu überprüfen.
Bestmöglicher Schutz vor Hackerangriffen
Mittels bedarfsgerechter Penetrationstests decken Sie potenzielle Sicherheitslücken auf, bevor es Cyberkriminelle tun.
Pentests zahlen sich aus
Prävention statt Rehabilitation: Durch Pentests beugen Sie möglichen Angriffen und damit verbundenen Finanz- & Reputationsverlusten vor.
Umfangreicher Prüfbericht mit Handlungsempfehlungen
Nach Abschluss der Pentests erhalten Sie einen aussagekräftigen Prüfbericht inklusive Handlungsempfehlungen zur Behebung von Schwachstellen.
Was ist ein Penetrationstest (kurz: Pentest)?
Ein Pentest ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von IT-Systemen, Netzwerken und Anwendungen überprüft wird. Ziel ist es, frühzeitig potenzielle Schwachstellen und Angriffspunkte ausfindig zu machen, bevor diese durch Cyberkriminelle genutzt werden können. Zum Einsatz kommen dabei Methoden und Mittel, die auch echte Angreifer verwenden würden.
Die Vorteile eines Pentests auf einen Blick
Identifizierung potenzieller Schwachstellen
Pentests decken Sicherheitslücken & Schwachstellen auf, bevor Cyberkriminelle diese ausnutzen können.
Fundierte Handlungsempfehlungen zur Behebung
Mit dem Abschlussbericht erhalten Sie auch Handlungsempfehlungen zur Behebung möglicher Schwachstellen.
Objektive Einschätzung & Bewertung der Sicherheit
Pentests stellen ein effizientes Instrument dar, um die Wirksamkeit Ihrer IT-Sicherheitsmaßnahmen zu bewerten.
Erhöhung der IT-Sicherheit, Verringerung von Risiken
Pentests helfen Ihnen dabei, die Sicherheit innerhalb Ihres Unternehmens zu verbessern & Angriffsrisiken zu senken.
Pentests auf Grundlage anerkannter Standards
Unsere IT-Sicherheitsexpert:innen führen Penetrationstests nach anerkannten Standards & Richtlinien durch.
Sensibilisierung von Mitarbeitenden
Mittels Pentests erhöhen Sie gleichzeitig das Sicherheitsbewusstsein von Mitarbeitenden aller Hierarchieebenen.
Einhaltung von vertraglichen Vorgaben
Mit der Durchführung von Pentests kommen Sie bestehenden regulatorischen Anforderungen & Vorgaben nach.
Orientierungshilfe für Investitionen
Durch das Aufdecken von Schwachstellen zeigen Pentests die Bereiche auf, in die Sie zukünftig am besten investieren.
Schutz vor Finanz- & Reputationsverlusten
Vorsorge statt Nachsorge: Durch Pentests beugen Sie Angriffen – und damit einhergehenden Schäden – vor.
Vertrauen bei Kunden & Geschäftspartnern
In Form von durchgeführten Pentests stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.
Pentests: 3 Testmethoden in der Übersicht
Black-Box-Penetrationstest
Bei einem Black-Box-Pentest erhält der Pentester vorab keine zusätzlichen Informationen über den Untersuchungsgegenstand. So wird ein typischer Angreifer simuliert, der meist nur wenig über sein Angriffsziel weiß.
Grey-Box-Penetrationstest
Der Grey-Box-Pentest ist eine Mischung aus Black- & White-Box-Pentest. Das heißt, der Pentester bekommt bereits einige Informationen, wie Testzugangsdaten und (API-) Dokumentationen, und ermittelt die übrigen Informationen selbst.
White-Box-Penetrationstest
Bei einem White-Box-Pentest verfügt der Prüfer über umfangreiche Zusatzinformationen, wie z. B. die Testzugangsdaten, die Architektur-/ Designdokumente, die Kommunikationsmatrix oder den Quellcode. Dadurch kann ein effizientes Testen in einem bestimmten Zeitraum oder innerhalb eines bestimmten Budgets gewährleistet werden.
Unser Pentest-Portfolio: Diese Arten von Penetrationstests bieten wir an
Sie möchten eine Komponente prüfen lassen, die hier nicht aufgeführt ist? Wir bieten Ihnen auch individuelle Leistungen & Lösungen an!
Ganzheitliche Betrachtung der IT-Sicherheit in Ihrem Unternehmen
Neben der rein technischen Betrachtung bieten wir im Rahmen eines ganzheitlichen Ansatzes auch Tests an, die sich auf mögliche physische oder menschliche Schwachstellen beziehen.
Physische Sicherheit
Pentests werden in der Regel automatisch mit dem Hacken von Netzwerken, Systemen und Co. verbunden. Doch wozu der ganze Aufwand, wenn Kriminelle sich auch einfach Zugang zu den Sicherheitsbereichen Ihres Unternehmens verschaffen können?
Bei einem physischen Pentest überprüfen unsere Expert:innen potenzielle Schwachstellen von Zutrittssystemen Ihres Gebäudes, wie beispielsweise Schlösser, Sensoren oder Kameras. Um unautorisierten Zugang zum Unternehmen zu erhalten, setzen sie dabei auf Hilfsmittel wie kopierte Zutrittskarten für Türen oder Sicherheitsschleusen.
Social Engineering – Sicherheitslücke Mensch
Social Engineering zielt darauf ab, menschliche Eigenschaften wie Hilfsbereitschaft, Neugierde oder Vertrauen auszunutzen, um Personen geschickt zu manipulieren.
Um das Sicherheitsbewusstsein Ihrer Mitarbeitenden für derartige Angriffe zu testen, fingieren unsere Expert:innen beispielsweise Telefonate, schicken Phishingsmails oder verteilen präparierte USB-Sticks. Im Anschluss daran werten sie in anonymisierter Form aus, wie oft etwa ein Link angeklickt oder ein USB-Stick eingesteckt wurde. Ziel ist es, das Bewusstsein aller Mitarbeitenden für Manipulationen mit sozialen Mitteln zu fördern.
Wie läuft ein Pentest ab? – Exemplarischer Projektablauf
1.
Vorbereitung & Kickoff
Besprechung technischer sowie organisatorischer Besonderheiten und der notwendigen Voraussetzungen für die Durchführung von Penetrationstests.
2.
Informationsbeschaffung & Analyse
Erfassung der wesentlichen Informationen über den Untersuchungsgegenstand (Identifizierung von Komponenten, Daten & Funktionen).
3.
Durchführung Penetrationstests
Untersuchung im Hinblick auf Angriffsflächen sowie Schwachstellen (Grundlage: Im Kickoff spezifizierte Kriterien & gesammelte Informationen).
4.
Abschlussbericht
Zusammenfassung aller Prüfungsergebnisse in Form eines individuellen & aussagekräftigen Abschlussberichtes (keine automatische Generierung).
Optional: Re-Test
Nach dem Test ist vor dem Test: Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen oder Wiederholung von Pentests bedingt durch neue Releases.
Ein Auszug unserer Referenzen im Bereich Cyber Security
Häufig gestellte Fragen (FAQ):
Die Dauer eines Pentests ist von verschiedenen Faktoren abhängig. So entscheiden beispielsweise der Prüfgegenstand und dessen Komplexität, die gewählte Prüftiefe sowie die Vorgehensweise darüber, wie viele Tage ein Pentest in Anspruch nimmt. Generell gilt: Je komplexer der zu prüfende Gegenstand, desto mehr Zeit benötigt ein entsprechender Pentest.
Gerne bieten wir Ihnen hierzu ein unverbindliches Beratungsgespräch an.
In Bezug auf Penetrationstests gilt: Nach dem Test ist vor dem Test. Somit sollten Pentests grundsätzlich fester Teil einer ganzheitlichen Betrachtung der IT-Sicherheit innerhalb eines Unternehmens sein. Da Angriffsmethoden sich stetig weiterentwickeln, kann nur so gewährleistet werden, dass Netzwerke, IT-Systeme, Webanwendungen oder mobile Apps möglichen Cyber-Attacken standhalten.
Grundsätzlich verfolgen Schwachstellenscans und Penetrationstests das gleiche Ziel: Das Aufdecken potenzieller Schwachstellen innerhalb der Unternehmens-IT.
Schwachstellenscans laufen im Gegensatz zu Penetrationstests jedoch software-gestützt und vollautomatisiert ab. Damit liefern sie grundlegende Erkenntnisse in Bezug auf mögliche Schwachstellen und dienen als Ausgangspunkt für tiefergehende Prüfungen wie Penetrationstests. Da Schwachstellenscanner auf Datenbanken mit bereits bekannten Sicherheitslücken zurückgreifen, stoßen sie insbesondere bei selbstentwickelten Anwendungen allerdings an ihre Grenzen.
Penetrationstests werden weitestgehend manuell durch entsprechend ausgebildete IT-Sicherheitsexpert:innen durchgeführt. Dabei stehen vor allem komplexere Sicherheitslücken sowie die unautorisierte Ausnutzung bestimmter Funktionen im Fokus. Zudem erhalten Unternehmen im Anschluss an die Durchführung einen Prüfbericht mit konkreten Handlungsempfehlungen zur Behebung.
Das Wichtigste vorweg: Penetrationstests verfolgen grundsätzlich nicht das Ziel, Verfügbarkeiten einzuschränken. Denial of Service Angriffe führen wir nur nach Absprache mit dem Auftraggeber durch. Dennoch kann es in seltenen Fällen passieren, dass es im Rahmen der Durchführung zu Verfügbarkeitseinschränkungen kommt. Generell steht jedoch die Identifizierung von Schwachstellen im Fokus. Das Risiko einer Unterbrechung des Geschäftsbetriebs wird dabei möglichst niedrig gehalten.
Wie viel ein Pentest kostet, kann leider nicht pauschal beantwortet werden. Die letztendlichen Kosten sind von verschiedenen Faktoren wie Prüfgegenstand, Prüfkonfiguration und Sicherheitsniveau abhängig. Gerne erstellen wir Ihnen ein kostenloses, unverbindliches Angebot.
Allgemein kann zwischen externen und internen Penetrationstests unterschieden werden.
Bei einem externen Pentest erfolgt der Angriff auf Systeme und Netzwerke von außen / aus dem Internet und damit aus der Perspektive eines externen Angreifers. Im Fokus steht dabei die Frage, wie sicher ein Unternehmen gegenüber derartigen Angriffen ist.
Bei einem internen Pentest haben Prüfer:innen Zugang zur inneren Infrastruktur eines Unternehmens. Dabei wird das weitere Vorgehen von Angreifer:innen simuliert, denen es gelungen ist, die externen Sicherheitsmaßnahmen zu überwinden und sich Zugriff auf das interne Netz zu verschaffen.
Prüfgegenstand:
| Mögliche Angriffsziele sind verschiedene Systeme und IT-Infrastruktur-Komponenten, z.B. Web- & E-Mail Server, VPN-Gateways, Domänen-Controller oder Datei- & Datenbankserver. Darüber hinaus können aber auch Firewalls, Switche, WLAN Access-Points, Virtualisierungen und komplette Netzwerkbereiche/-infrastrukturen auf Schwachstellen überprüft werden. | |
| Im Rahmen von Penetrationstests (inkl. Backendsysteme, Webservices & APIs) wird eine Webanwendung auf die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken hin untersucht. | |
| App-Penetrationstests | Im Rahmen von Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln. |
| Social Engineering | Social Engineering zielt darauf ab, menschliche Eigenschaften wie Hilfsbereitschaft, Neugierde oder Vertrauen auszunutzen, um Personen auf diese Weise geschickt zu manipulieren. |
Testmethode:
| Black-Box-Penetrationstest | Bei einem Black-Box-Pentest erhält der Pentester vorab keine zusätzlichen Informationen über den Untersuchungsgegenstand. So wird ein typischer Angreifer simuliert, der meist nur wenig über sein Angriffsziel weiß. |
| White-Box-Penetrationstest | Bei einem White-Box-Pentest verfügt der Prüfer über umfangreiche Zusatzinformationen, wie z. B. die Testzugangsdaten, die Architektur-/Designdokumente, die Kommunikationsmatrix oder den Quellcode. Dadurch kann ein effizientes Testen in einem bestimmten Zeitraum oder innerhalb eines bestimmten Budgets gewährleistet werden. |
| Grey-Box-Penetrationstest | Der Grey-Box-Pentest ist eine Mischung aus Black- & White-Box-Pentest. Das heißt, der Pentester bekommt bereits einige Informationen, wie Testzugangsdaten und (API-) Dokumentationen, und ermittelt die übrigen Informationen selbst. |
Ausgangspunkt:
| Externer Pentest | Im Fokus eines externen Penetrationstests steht die Frage, wie sicher ein Unternehmen gegen Angriffe von außen / aus dem Internet ist. |
| Interner Pentest | Bei einem internen Penetrationstest haben die Prüfer:innen Zugang zur inneren Infrastruktur eines Unternehmens. Dabei wird entweder vorausgesetzt, dass ein IT-System oder ein Benutzerkonto von außen kompromittiert wurde oder dass ein interner Angriff durch eine:n Mitarbeiter:in erfolgt ist. Der Pentest setzt an dieser Stelle an und simuliert das weitere Vorgehen eines Angreifers oder einer Angreiferin. |
Bevor Pentests durchgeführt werden können, ist die Zustimmung des zu testenden Unternehmens unbedingt notwendig. Liegt diese nicht vor, würde es sich bei der Durchführung um eine Straftat handeln. Denn ohne vorherige, umfassende Klärung der Bedingungen wäre ein Pentest nichts anderes als ein unautorisierter Hackerangriff, der geahndet werden könnte. Daher muss der geschlossene Vertrag sämtliche Modalitäten wie Prüfzeitraum, Prüfobjekt und Prüftiefe spezifizieren.
Darüber hinaus dürfen nur Objekte geprüft werden, die eindeutig dem beauftragenden Unternehmen zugehörig sind. Aus diesem Grund sollte im Vorhinein geklärt werden, welche Softwaredienste, wie zum Beispiel Cloud-Services, nicht im Eigentum des Unternehmens stehen, um Eigentums- und/oder Urheberrechte von Dritten nicht zu verletzen. Alternativ können vor der Durchführung von Pentests vertragliche Vereinbarungen mit bestehenden Drittanbietern bzw. Dienstleistern getroffen werden.
Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:
- Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
- Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
- Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
- Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
- Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
- Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜViT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
- Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
- Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
- Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.
Warum wir ein starker Partner für Sie sind
Unabhängigkeit
Expertise
Internationales Expertennetzwerk
Branchenerfahrung
Auf Sie zugeschnitten
