Pentests: Schützen Sie Ihr Unter­nehmen vor Cyber­an­griffen

Haben Sie Fragen oder Anmerkungen? Kontaktieren Sie uns!

Mithilfe von Penetrationstests Sicherheitslücken aufdecken & schließen

Werden Schwachstellen in Ihren Systemen, Komponenten oder Anwendungen nicht frühzeitig erkannt, können diese zum Einfallstor für Cyberkriminelle wer­den. Daten­diebstähle, Erpressung und Systemausfälle sowie damit einher­gehende wirt­schaft­liche Schäden und Vertrauensverluste sind dabei nur einige der möglichen Folgen eines erfolgreichen Cyberangriffs. 

Mit Penetrationstests – kurz Pentests – unterstützen wir Sie dabei, die Wirk­sam­keit Ihrer bestehenden IT-Sicherheitsmaßnahmen zu überprüfen. 
  

  Bestmöglicher Schutz vor Hackerangriffen

Mittels bedarfsgerechter Penetrationstests decken Sie potenzielle Sicherheits­lücken auf, bevor es Cyberkriminelle tun. 
 

  Pentests zahlen sich aus

Prävention statt Rehabilitation: Durch Pentests beugen Sie möglichen Angriffen und damit verbundenen Finanz- & Reputationsverlusten vor. 
 

  Umfangreicher Prüfbericht mit Handlungsempfehlungen

Nach Abschluss der Pentests erhalten Sie einen aussagekräftigen Prüfbericht inklusive Handlungsempfehlungen zur Behebung von Schwachstellen.
  

Was ist ein Penetrationstest (kurz: Pentest)?

Ein Pentest ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von IT-Systemen, Netzwerken und Anwendungen überprüft wird. Ziel ist es, frühzeitig potenzielle Schwachstellen und Angriffspunkte ausfindig zu machen, bevor diese durch Cyberkriminelle genutzt werden können. Zum Einsatz kommen dabei Methoden und Mittel, die auch echte Angreifer verwenden würden. 
  

Die Vorteile eines Pentests auf einen Blick

  

Identifizierung potenzieller Schwachstellen
Pentests decken Sicherheitslücken & Schwachstellen auf, bevor Cyberkriminelle diese ausnutzen können. 

 

Fundierte Handlungsempfehlungen zur Behebung
Mit dem Abschlussbericht erhalten Sie auch Hand­lungs­empfehlungen zur Behebung möglicher Schwachstellen.

 

Objektive Einschätzung & Bewertung der Sicherheit
Pentests stellen ein effizientes Instrument dar, um die Wirksamkeit Ihrer IT-Sicherheitsmaßnahmen zu bewerten.

 

Erhöhung der IT-Sicherheit, Verringerung von Risiken
Pentests helfen Ihnen dabei, die Sicherheit innerhalb Ihres Unternehmens zu verbessern & Angriffsrisiken zu senken.

 

Pentests auf Grundlage anerkannter Standards
Unsere IT-Sicherheitsexpert:innen führen Penetrationstests nach anerkannten Standards & Richtlinien durch. 

 

Sensibilisierung von Mitarbeitenden
Mittels Pentests erhöhen Sie gleichzeitig das Sicher­heits­bewusstsein von Mitarbeitenden aller Hierarchieebenen.

 

Einhaltung von vertraglichen Vorgaben
Mit der Durchführung von Pentests kommen Sie bestehen­den regulatorischen Anforderungen & Vorgaben nach.

 

Orientierungshilfe für Investitionen
Durch das Aufdecken von Schwachstellen zeigen Pentests die Bereiche auf, in die Sie zukünftig am besten investieren.

 

Schutz vor Finanz- & Reputationsverlusten
Vorsorge statt Nachsorge: Durch Pentests beugen Sie Angriffen – und damit einhergehenden Schäden – vor. 
 

Vertrauen bei Kunden & Geschäftspartnern
In Form von durchgeführten Pentests stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.

Pentests: 3 Testmethoden in der Übersicht

  


Black-Box-Penetrationstest

Bei einem Black-Box-Pentest erhält der Pen­tester vorab keine zusätzlichen In­for­ma­tio­nen über den Un­ter­su­chungs­gegen­stand. So wird ein typischer Angreifer simuliert, der meist nur wenig über sein Angriffsziel weiß. 

 


Grey-Box-Penetrationstest

Der Grey-Box-Pentest ist eine Mischung aus Black- & White-Box-Pentest. Das heißt, der Pen­tester be­kommt bereits einige Infor­ma­tionen, wie Test­zu­gangs­daten und (API-) Doku­men­ta­tionen, und ermittelt die übrigen Informationen selbst.

 


White-Box-Penetrationstest

Bei einem White-Box-Pentest verfügt der Prüfer über umfangreiche Zusatz­infor­ma­tio­nen, wie z. B. die Testzugangsdaten, die Architektur-/ Design­dokumente, die Kommu­ni­kations­matrix oder den Quellcode. Dadurch kann ein effizientes Testen in einem bestimmten Zeitraum oder innerhalb eines bestimmten Budgets gewährleistet werden.

 

Ganzheitliche Betrachtung der IT-Sicherheit in Ihrem Unternehmen

Neben der rein technischen Betrachtung bieten wir im Rahmen eines ganzheitlichen Ansatzes auch Tests an, die sich auf mögliche physische oder menschliche Schwachstellen beziehen. 
 
  

Physische Sicherheit

Pentests werden in der Regel automatisch mit dem Hacken von Netz­werken, Systemen und Co. verbunden. Doch wozu der ganze Aufwand, wenn Kriminelle sich auch einfach Zugang zu den Sicherheitsbereichen Ihres Unternehmens verschaffen können?

Bei einem physischen Pentest überprüfen unsere Expert:innen potenzielle Schwachstellen von Zutrittssystemen Ihres Gebäudes, wie beispielsweise Schlösser, Sensoren oder Kameras. Um unautorisierten Zugang zum Unternehmen zu erhalten, setzen sie dabei auf Hilfsmittel wie kopierte Zutrittskarten für Türen oder Sicherheitsschleusen. 

Social Engineering – Sicherheitslücke Mensch

Social Engineering zielt darauf ab, menschliche Eigenschaften wie Hilfs­bereitschaft, Neugierde oder Vertrauen auszunutzen, um Personen geschickt zu manipulieren. 

Um das Sicherheitsbewusstsein Ihrer Mitarbeitenden für derartige Angriffe zu testen, fingieren unsere Expert:innen beispielsweise Telefonate, schi­cken Phishingsmails oder verteilen präparierte USB-Sticks. Im Anschluss daran werten sie in anonymisierter Form aus, wie oft etwa ein Link an­ge­klickt oder ein USB-Stick eingesteckt wurde. Ziel ist es, das Bewusstsein aller Mitarbeitenden für Manipulationen mit sozialen Mitteln zu fördern. 

Wie läuft ein Pentest ab? – Exemplarischer Projektablauf

Wie läuft ein Pentest ab? – Vorbereitung & Kickoff Wie läuft ein Pentest ab? – Vorbereitung & Kickoff Wie läuft ein Pentest ab? – Vorbereitung & Kickoff Wie läuft ein Pentest ab? – Vorbereitung & Kickoff

1.

Vorbereitung & Kickoff
 

Besprechung technischer sowie orga­ni­sa­torischer Besonderheiten und der notwendigen Voraussetzungen für die Durchführung von Penetrationstests.

Wie läuft ein Pentest ab? – Informationsbeschaffung & Analyse Wie läuft ein Pentest ab? – Informationsbeschaffung & Analyse Wie läuft ein Pentest ab? – Informationsbeschaffung & Analyse Wie läuft ein Pentest ab? – Informationsbeschaffung & Analyse

2.

Informationsbeschaffung & Analyse

Erfassung der wesentlichen Infor­ma­tionen über den Untersuchungs­ge­gen­stand (Identifizierung von Kom­po­nen­ten, Daten & Funktionen).

Wie läuft ein Pentest ab? – Durchführung Penetrationstests Wie läuft ein Pentest ab? – Durchführung Penetrationstests Wie läuft ein Pentest ab? – Durchführung Penetrationstests Wie läuft ein Pentest ab? – Durchführung Penetrationstests

3.

Durchführung Penetrationstests
 

Untersuchung im Hinblick auf Angriffs­flächen sowie Schwach­stel­len (Grund­lage: Im Kickoff spezifizierte Kriterien & gesammelte Informationen).

Wie läuft ein Pentest ab? – Abschlussbericht Wie läuft ein Pentest ab? – Abschlussbericht Wie läuft ein Pentest ab? – Abschlussbericht Wie läuft ein Pentest ab? – Abschlussbericht

4.

Abschlussbericht
 

Zusammenfassung aller Prüfungs­er­geb­nisse in Form eines individuellen & aussagekräftigen Abschluss­be­rich­tes (keine automatische Generierung).


Wie läuft ein Pentest ab? – Optional: Re-Test Wie läuft ein Pentest ab? – Optional: Re-Test Wie läuft ein Pentest ab? – Optional: Re-Test Wie läuft ein Pentest ab? – Optional: Re-Test

Optional: Re-Test

Nach dem Test ist vor dem Test: Prüfung, ob die durchgeführten Verbesserungs- & Abwehr­maß­nahmen (wirksam) greifen oder Wiederholung von Pentests bedingt durch neue Releases. 

Benötigen Sie einen Penetrationstest?

  

Ein Auszug unserer Referenzen im Bereich Cyber Security

Häufig gestellte Fragen (FAQ):

Wie lange dauert ein Pentest?

Die Dauer eines Pentests ist von verschiedenen Faktoren abhängig. So entscheiden beispielsweise der Prüfgegenstand und dessen Komplexität, die gewählte Prüftiefe sowie die Vorgehensweise darüber, wie viele Tage ein Pentest in Anspruch nimmt. Generell gilt: Je komplexer der zu prüfende Gegenstand, desto mehr Zeit benötigt ein entsprechender Pentest. 

Gerne bieten wir Ihnen hierzu ein unverbindliches Beratungsgespräch an. 

Wie oft sollten Pentests durchgeführt werden?

In Bezug auf Penetrationstests gilt: Nach dem Test ist vor dem Test. Somit sollten Pentests grundsätzlich fester Teil einer ganzheitlichen Betrachtung der IT-Sicherheit innerhalb eines Unternehmens sein. Da Angriffsmethoden sich stetig weiterentwickeln, kann nur so gewährleistet werden, dass Netzwerke, IT-Systeme, Webanwendungen oder mobile Apps möglichen Cyber-Attacken standhalten. 

Penetrationstest vs. Schwachstellenscan: Was sind die Unterschiede?

Grundsätzlich verfolgen Schwachstellenscans und Penetrationstests das gleiche Ziel: Das Aufdecken potenzieller Schwachstellen innerhalb der Unternehmens-IT.

Schwachstellenscans laufen im Gegensatz zu Penetrationstests jedoch software-gestützt und vollautomatisiert ab. Damit liefern sie grundlegende Erkenntnisse in Bezug auf mögliche Schwachstellen und dienen als Ausgangspunkt für tiefergehende Prüfungen wie Penetrationstests. Da Schwachstellenscanner auf Datenbanken mit bereits bekannten Sicherheitslücken zurückgreifen, stoßen sie insbesondere bei selbstentwickelten Anwendungen allerdings an ihre Grenzen. 

Penetrationstests werden weitestgehend manuell durch entsprechend ausgebildete IT-Sicherheitsexpert:innen durchgeführt. Dabei stehen vor allem komplexere Sicherheitslücken sowie die unautorisierte Ausnutzung bestimmter Funktionen im Fokus. Zudem erhalten Unternehmen im Anschluss an die Durchführung einen Prüfbericht mit konkreten Handlungsempfehlungen zur Behebung. 

Beeinträchtigen Pentests den Geschäftsbetrieb?

Das Wichtigste vorweg: Penetrationstests verfolgen grundsätzlich nicht das Ziel, Verfügbarkeiten einzuschränken. Denial of Service Angriffe führen wir nur nach Absprache mit dem Auftraggeber durch. Dennoch kann es in seltenen Fällen passieren, dass es im Rahmen der Durchführung zu Verfüg­bar­keits­ein­schrän­kungen kommt. Generell steht jedoch die Identifizierung von Schwachstellen im Fokus. Das Risiko einer Unterbrechung des Geschäftsbetriebs wird dabei möglichst niedrig gehalten. 

Wie hoch sind die Kosten für einen Pentest?

Wie viel ein Pentest kostet, kann leider nicht pauschal beantwortet werden. Die letztendlichen Kosten sind von verschiedenen Faktoren wie Prüfgegenstand, Prüfkonfiguration und Sicherheitsniveau abhängig. Gerne erstellen wir Ihnen ein kostenloses, unverbindliches Angebot. 

Von wo aus wird getestet?

Allgemein kann zwischen externen und internen Penetrationstests unterschieden werden.

Bei einem externen Pentest erfolgt der Angriff auf Systeme und Netzwerke von außen / aus dem Internet und damit aus der Perspektive eines externen Angreifers. Im Fokus steht dabei die Frage, wie sicher ein Unternehmen gegenüber derartigen Angriffen ist. 

Bei einem internen Pentest haben Prüfer:innen Zugang zur inneren Infrastruktur eines Unternehmens. Dabei wird das weitere Vorgehen von Angreifer:innen simuliert, denen es gelungen ist, die externen Sicherheitsmaßnahmen zu überwinden und sich Zugriff auf das interne Netz zu verschaffen.  

Welche Arten von Pentests gibt es?

Prüfgegenstand

IT-Infrastruktur-Penetrationstest

Mögliche Angriffsziele sind verschiedene Systeme und IT-Infrastruktur-Komponenten, z.B. Web- & E-Mail Server, VPN-Gateways, Domänen-Controller oder Datei- & Datenbankserver. Darüber hinaus können aber auch Firewalls, Switche, WLAN Access-Points, Virtualisierungen und komplette Netzwerkbereiche/-infrastrukturen auf Schwachstellen überprüft werden.

Webanwendungs-Penetrationstest

Im Rahmen von Penetrationstests (inkl. Backendsysteme, Webservices & APIs) wird eine Webanwendung auf die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken hin untersucht.
App-Penetrationstests Im Rahmen von Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln.
Social Engineering Social Engineering zielt darauf ab, menschliche Eigenschaften wie Hilfs­bereitschaft, Neugierde oder Vertrauen auszunutzen, um Personen auf diese Weise geschickt zu manipulieren. 

Testmethode

Black-Box-Penetrationstest Bei einem Black-Box-Pentest erhält der Pen­tester vorab keine zusätzlichen In­for­ma­tio­nen über den Un­ter­su­chungs­gegen­stand. So wird ein typischer Angreifer simuliert, der meist nur wenig über sein Angriffsziel weiß. 
White-Box-Penetrationstest Bei einem White-Box-Pentest verfügt der Prüfer über umfangreiche Zusatz­infor­ma­tio­nen, wie z. B. die Testzugangsdaten, die Architektur-/Designdokumente, die Kommu­ni­kations­matrix oder den Quellcode. Dadurch kann ein effizientes Testen in einem bestimmten Zeitraum oder innerhalb eines bestimmten Budgets gewährleistet werden.
Grey-Box-Penetrationstest Der Grey-Box-Pentest ist eine Mischung aus Black- & White-Box-Pentest. Das heißt, der Pen­tester bekommt bereits einige Infor­ma­tionen, wie Testzugangsdaten und (API-) Doku­men­ta­tionen, und ermittelt die übrigen Informationen selbst.

Ausgangspunkt

Externer Pentest Im Fokus eines externen Penetrationstests steht die Frage, wie sicher ein Unternehmen gegen Angriffe von außen / aus dem Internet ist. 
Interner Pentest Bei einem internen Penetrationstest haben die Prüfer:innen Zugang zur inneren Infrastruktur eines Unternehmens. Dabei wird entweder vorausgesetzt, dass ein IT-System oder ein Benutzerkonto von außen kompromittiert wurde oder dass ein interner Angriff durch eine:n Mitarbeiter:in erfolgt ist. Der Pentest setzt an dieser Stelle an und simuliert das weitere Vorgehen eines Angreifers oder einer Angreiferin.

 

Was sind die rechtlichen Voraussetzungen für die Durchführung von Penetrationstests?

Bevor Pentests durchgeführt werden können, ist die Zustimmung des zu testenden Unternehmens unbedingt notwendig. Liegt diese nicht vor, würde es sich bei der Durchführung um eine Straftat handeln. Denn ohne vorherige, umfassende Klärung der Bedingungen wäre ein Pentest nichts anderes als ein unautorisierter Hackerangriff, der geahndet werden könnte. Daher muss der geschlossene Vertrag sämtliche Modalitäten wie Prüfzeitraum, Prüfobjekt und Prüftiefe spezifizieren. 

Darüber hinaus dürfen nur Objekte geprüft werden, die eindeutig dem beauftragenden Unternehmen zugehörig sind. Aus diesem Grund sollte im Vorhinein geklärt werden, welche Softwaredienste, wie zum Beispiel Cloud-Services, nicht im Eigentum des Unternehmens stehen, um Eigentums- und/oder Urheberrechte von Dritten nicht zu verletzen. Alternativ können vor der Durchführung von Pentests vertragliche Vereinbarungen mit bestehenden Drittanbietern bzw. Dienstleistern getroffen werden. 

Was beinhaltet der Abschlussbericht?

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜViT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Warum wir ein starker Partner für Sie sind

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

 

Sie haben Fragen? Wir helfen gerne!

  

Alexander Padberg

Sales Manager

+49 201 8999-614
a.padberg@tuvit.de

Gerald Krebs

Global Account Manager

+49 201 8999-411
g.krebs@tuvit.de