MENU

Mit Penetrationstests Sicherheitslücken aufdecken und schließen

  1. Leistungen
  2. Cyber Security
  3. Penetrationstests

Warum Penetrationstests? Penetrationstests helfen, organisatorische und technische Sicherheitslücken zu identifizieren und zu schließen. Wer seinen Geschäftserfolg nachhaltig schützen und seine Sicherheitsrisiken konsequent reduzieren will, ist gut beraten, qualifizierte Penetrationstests von IT-Infrastruktur, Systemen, Anwendungen, Produkten oder vernetzten Lösungen durchzuführen.

TÜViT hat branchenübergreifend hunderte Penetrationstests erfolgreich durchgeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat TÜViT als IT-Sicherheitsdienstleister für Penetrationstests zertifiziert.
Worauf sollten Sie bei der Auswahl eines Penetrationstesters achten und was sollte ein guter Penetrationstester können? Antworten finden Sie hier.

 

TÜViT-Methodik

Penetrationstests (auch PenTests genannt) können höchstindividuell auf Kundenbedürfnisse und -anforderungen abgestimmt werden. In Abhängigkeit der jeweiligen Ausprägungsart des Penetrationstests werden beispielsweise die externen Netzwerkzugänge inklusive der verschiedenen Webanwendungen auf Sicherheitslücken analysiert. Dabei können auch mobile Endgeräte, Datenträger und Authentifizierungstoken im Rahmen des sogenannten Lost Devices-Szenarios berücksichtigt werden.

Unsere IT-Sicherheitsexperten folgen bei der Durchführung von Penetrationstests Vorgehensmodellen von anerkannten Institutionen wie dem BSI. Dabei nutzen sie eine eigens dafür entwickelte Testplattform „Distributed Penetration Platform“ (DPP). Diese ermöglicht beispielsweise eine zentrale Datenhaltung bei Penetrationstests in komplexen Netzwerkumgebungen sowie die parallele Testdurchführung zur Effizienzsteigerung.

Klassifikation von Penetrationstests

Klassifikation von Penetrationstests Klassifikation von Penetrationstests Klassifikation von Penetrationstests Klassifikation von Penetrationstests
(Quelle: in Anlehnung an die BSI - Studie "Durchführungskonzept für Penetrationstests")

Exemplarischer Projektablauf

Penetrationstests - Exemplarischer Projektablauf Penetrationstests - Exemplarischer Projektablauf Penetrationstests - Exemplarischer Projektablauf Penetrationstests - Exemplarischer Projektablauf

Nutzen von Penetrationstests (Nicht nur auf dem Papier)

Während ein Information Security Management System (ISMS) die Sicherheitsanforderungen auf Struktur- und Prozessebene einer Organisation abdeckt, wird die Prüfung auf technischer Ebene durch Penetrationstests durchgeführt. Diese ist für einen wirksamen Schutz vor Sicherheitsbedrohungen in erster Linie wichtig. Nur wer auch von der technischen Seite her prüft, ob beschriebene Sicherheitsmaßnahmen tatsächlich umgesetzt sind und ob sie in der konkret vorhandenen Konfiguration den gewünschten Zweck erfüllen, kann Sicherheitsrisiken ausreichend reduzieren.

Zudem lässt sich gesetzliche Compliance mithilfe von Penetrationstests überprüfen. Eine Vielzahl gesetzlicher Bestimmungen und Auflagen berühren das Themenfeld der IT-Sicherheit – vom IT-Sicherheitsgesetz über das Handelsgesetzbuch (HGB), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) bis hin zu Verordnungen bestimmter Branchenaufsichten wie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Mithilfe von Penetrationstests lässt sich die gesetzliche Compliance oft wirkungsvoll überprüfen. Deshalb ist es wichtig, die in Frage kommenden Gesetzes- und Regelwerke bei der Definition von Art und Umfang der Penetrationstests von Anfang an zu berücksichtigen, da die entsprechende Fürsorgepflicht für alle gleichermaßen gilt.

Nach dem Test ist vor dem Test

Nach dem Penetrationstest ist immer auch vor dem Penetrationstest – in zweierlei Hinsicht: Zum einen sollte ein Re-Test überprüfen, ob die nach einem Penetrationstest durchgeführten Verbesserungs- und Abwehrmaßnahmen (wirksam) greifen. Zum zweiten machen es neue Releases ohnehin notwendig, Penetrationstests in regelmäßigen Abständen zu wiederholen. Dies geschieht zum Teil in Form von „Enhanced Security Services“. Dabei geht es vor allem um die Etablierung eines Monitoring-Verfahrens, das neue Releases und neue Angriffsvektoren berücksichtigt. Hierbei ist zu unterscheiden zwischen Monitoring und Re-Testing: Während beim Re-Testing ein- und derselbe Untersuchungsgegenstand in regelmäßigen Abständen immer wieder hinsichtlich neu bekannt gewordener Angriffsvektoren geprüft wird, geht das Monitoring darüber hinaus: Es bezieht sich nicht auf bestimmte („eingefrorene“) Versionen des Untersuchungsgegenstands, sondern berücksichtigt auch Weiterentwicklungen und neue Funktionen. Ein Unternehmen kann auf diese Weise Anwendungen, Systeme und Infrastrukturen weiterentwickeln, und das dynamisch mitlaufende Security-Monitoring sorgt dafür, dass das Sicherheitsniveau und die einmal erhaltenen Zertifikate weiterhin erhalten bleiben.

Grundsätzlich sollten Penetrationstests wie auch andere Sicherheitsmaßnahmen Teil eines standardisierten und flexiblen Verfahrens sein, das eine ganzheitliche Betrachtung der IT-Systeme ermöglicht.

Empfehlungen

Worauf sollten Sie bei der Auswahl eines Penetrationstesters achten:

Anbieter von Penetrationstests sollten auf jeden Fall als solche zertifiziert und gelistet sein. In Deutschland stellt hier vor allem das BSI entsprechende Akkreditierungen aus. Doch nicht nur die Anbieter von Penetrationstests, sondern auch die einzelnen Tester selbst sollten zertifiziert sein. Neben dem BSI vergeben auch anderweitige IT-Sicherheitsinstitutionen wie zum Beispiel ISACA Germany Chapter e.V., OSCP oder GIAC entsprechende Personenzertifikate, nach denen die Kompetenz erfolgreich nachgewiesen wird. So gibt es zum Beispiel das BSI-Zertifikat „IT-Sicherheitsdienstleister“ für die Bereiche Informationssicherheits- (IS-) Revision und IS-Beratung sowie Penetrationstests oder das „Cyber Security Practicioner“-Zertifikat, das in Kooperation zwischen BSI und ISACA Germany Chapter e.V. entwickelt wurde.

Was sollte ein guter Penetrationstester können:

Die Anforderungen an Penetrationstester sind hoch. Sie müssen sich tief mit verschiedenen Fachdisziplinen der „offensiven“ und „defensiven“ IT-Sicherheit auskennen. Dazu zählen neben System-, Netzwerk- und Anwendungssicherheit auch Mobile und Industrial Security sowie spezifische Produktkenntnisse über Sicherheitslösungen wie Web Application Firewalls, Client- und Server-Betriebssysteme als auch kryptografische Algorithmen, Skript- und Programmiersprachen.

Vertrauen und unabhängige Dritte:

Penetrationstester bekommen sehr oft vertrauliche Informationen zu sehen. Dazu gehören geistiges Eigentum, personenbezogene Daten, interne Prozesse, Konfigurationen oder Systeme. Daher müssen sie unbedingt vertrauenswürdig und vor allem unabhängig sein – wie zum Beispiel TÜViT.

Ihre Vorteile auf einen Blick

  • Identifizierung von spezifischen Schwachstellen (technisch, organisatorisch, prozedural)
  • objektive Einschätzung und Bewertung der Wirksamkeit Ihrer IT-Sicherheitsmaßnahmen
  • konkrete Handlungsempfehlungen für Sicherheitsmaßnahmen, um die Sicherheitslücken zu schließen (technisch, organisatorisch, prozedural)
  • Erhöhung der Sicherheit von kritischen Daten, Systemen und Anwendungen
  • Erhöhung der effektiven Wirksamkeit des technischen, organisatorischen und prozeduralen Maßnahmenmix
  • Vorbereitung auf ein internes oder externes Abnahmeverfahren, Audit oder Zertifizierung
  • Erhöhung des Sicherheitsbewusstseins von Mitarbeitern aller Hierarchieebenen

Penetrationstests sind eine unserer Kernkompetenzen.

Dennis Schröder

Produktmanager Cyber Security Services

+49 201 8999-606
Fax: +49 201 8999-666

d.schroeder@tuvit.de

Weitere Leistungen

Cyber-Sicherheits-Check

Der Cyber-Sicherheits-Check bietet anhand eines strukturierten Leitfadens ein einheitliches Vorgehen für die Beurteilung der IT-Sicherheit in Ihrem Unternehmen. Dabei wird geprüft, ob Ihr Unternehmen gegen Bedrohungen aus dem Cyber-Raum gut aufgestellt ist.
Weiterlesen

System- und Netzwerksicherheit

Häufigstes Angriffsziel von Hackern sind die IT-Systeme und Netzwerke von Unternehmen. Um Angriffe möglichst früh zu erkennen, bietet TÜViT Penetrationstests auf System- und Netzwerkebene an.
Weiterlesen

Web Application Security

Mit automatisierten und manuellen Tests identifizieren unsere IT-Sicherheitsexperten spezifische Schwachstellen von Webanwendungen wie beispielsweise SQL-Injection oder Cross-Site-Scripting.
Weiterlesen

Advanced Persistent Threats

Advanced Persistent Threats (APT) sind hochentwickelte und gezielte Angriffe, die im Verborgenen agieren, um keine sichtbaren Spuren zu hinterlassen. TÜViT bietet verschiedene Module, um Advanced Persistent Threats vorzubeugen.
Weiterlesen

Mobile Security

Schutz von mobilen Geräten und Inhalten mit dem modularen Ansatz von TÜViT: von der Analyse Ihrer Mobile-Strategie bis hin zur Prüfung Ihrer Apps.
Weiterlesen

Enhanced Security Services

TÜViT bietet Enhanced Security Services an, um Ihr IT-Sicherheitsniveau kontinuierlich hoch zu halten: von Monitoring und Re-Testing bis hin zu Red-Teaming und Advanced Persistent Threats.
Weiterlesen

Industrial Security

Im Rahmen von Industrie 4.0 nimmt die Vernetzung von Systemen zur Prozessteuerung, Fertigung und Automatisierung drastisch zu. Dadurch steigen auch Herausforderungen in puncto Sicherheit. TÜViT bietet Security-Checks und Penetrationstests, um Sicherheitsschwachstellen in Ihrer Produktionsinfrastruktur zu reduzieren.
Weiterlesen

SQ-Best-Practice-Zertifizierungsverfahren

TÜViT bietet mit der Sicherheitstechnischen Qualifizierung (SQ) ein standardisiertes und flexibles Zertifizierungsverfahren, das eine ganzheitliche Betrachtung von Produkten und vernetzten Systemlösungen ermöglicht.
Weiterlesen