MENU

Pentests: Schützen Sie Ihr Unter­nehmen vor Cyber­an­griffen

Mithilfe von Penetrationstests Sicherheitslücken aufdecken & schließen

Werden Schwachstellen in Ihren Systemen, Komponenten oder Anwendungen nicht frühzeitig erkannt, können diese zum Einfallstor für Cyberkriminelle wer­den. Daten­diebstähle, Erpressung und Systemausfälle sowie damit einher­gehende wirtschaftliche Schäden und Vertrauensverluste sind dabei nur einige der möglichen Folgen eines erfolgreichen Cyberangriffs. 

Mit Penetrationstests – kurz Pentests – unterstützen wir Sie dabei, die Wirksamkeit Ihrer bestehenden IT-Sicherheitsmaßnahmen zu überprüfen. 
  

 Bestmöglicher Schutz vor Hackerangriffen

Mittels bedarfsgerechter Penetrationstests decken Sie potenzielle Sicherheitslücken auf, bevor es Cyberkriminelle tun. 
 

 Pentests zahlen sich aus

Prävention statt Rehabilitation: Durch Pentests beugen Sie möglichen Angriffen und damit verbundenen Finanz- & Reputationsverlusten vor. 
 

 Umfangreicher Prüfbericht mit Handlungsempfehlungen

Nach Abschluss der Pentests erhalten Sie einen aussagekräftigen Prüfbericht inklusive Handlungsempfehlungen zur Behebung von Schwachstellen.
  

Was ist ein Penetrationstest? 
Ein Penetrationstest ist ein gezielter, mit dem Kunden abgestimmter Angriff auf Netzwerke, IT-Systeme, Webanwendungen oder mobile Apps eines Unternehmens. Überprüft wird, ob diese Schwachstellen besitzen und somit anfällig gegenüber Cyberangriffen sind. Zum Einsatz kommen Mittel und Methoden, die auch echte Hacker anwenden würden.

  

Mehr als

223

Milliarden Euro betrug der Gesamtschaden durch Cybercrime in 2021.

Durchschnittlich

394

Tausend neue Schadprogramm-Varianten kamen 2021 pro Tag hinzu.

Weniger als

30

Prozent der Cybercrime-Straftaten konnten 2021 aufgeklärt werden.

Die Vorteile eines Pentests auf einen Blick

Identifizierung potenzieller Schwachstellen
Pentests decken Sicherheitslücken & Schwachstellen auf, bevor Cyberkriminelle diese ausnutzen können. 

Fundierte Handlungsempfehlungen zur Behebung
Mit dem Abschlussbericht erhalten Sie auch Hand­lungs­empfehlungen zur Behebung möglicher Schwachstellen.

Objektive Einschätzung & Bewertung der Sicherheit
Pentests stellen ein effizientes Instrument dar, um die Wirksamkeit Ihrer IT-Sicherheitsmaßnahmen zu bewerten.

Erhöhung der IT-Sicherheit, Verringerung von Risiken
Pentests helfen Ihnen dabei, die Sicherheit innerhalb Ihres Unternehmens zu verbessern & Angriffsrisiken zu senken.

Pentests auf Grundlage anerkannter Standards
Unsere IT-Sicherheitsexpert:innen führen Penetrationstests nach anerkannten Standards & Richtlinien durch. 

Sensibilisierung von Mitarbeitenden
Mittels Pentests erhöhen Sie gleichzeitig das Sicher­heits­bewusstsein von Mitarbeitenden aller Hierarchieebenen.

Einhaltung von vertraglichen Vorgaben
Mit der Durchführung von Pentests kommen Sie bestehen­den regulatorischen Anforderungen & Vorgaben nach.

Orientierungshilfe für Investitionen
Durch das Aufdecken von Schwachstellen zeigen Pentests die Bereiche auf, in die Sie zukünftig am besten investieren.

Schutz vor Finanz- & Reputationsverlusten
Vorsorge statt Nachsorge: Durch Pentests beugen Sie Angriffen – und damit einhergehenden Schäden – vor. 

Vertrauen bei Kunden & Geschäftspartnern
In Form von durchgeführten Pentests stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.

Pentests: Die 3 Testmethoden in der Übersicht

Black-Box-Penetrationstest

Bei einem Black-Box-Pentest erhält der Pen­tester vorab keine zusätzlichen In­for­ma­tio­nen über den Un­ter­su­chungs­gegen­stand. So wird ein typischer Angreifer simuliert, der meist nur wenig über sein Angriffsziel weiß. 

Grey-Box-Penetrationstest

Der Grey-Box-Pentest ist eine Mischung aus Black- & White-Box-Pentest. Das heißt, der Pen­tester bekommt bereits einige Infor­ma­tionen, wie Testzugangsdaten und (API-) Doku­men­ta­tionen, und ermittelt die übrigen Informationen selbst.

White-Box-Penetrationstest

Bei einem White-Box-Pentest verfügt der Prüfer über umfangreiche Zusatz­infor­ma­tio­nen, wie z. B. die Testzugangsdaten, die Architektur-/Designdokumente, die Kommu­ni­kations­matrix oder den Quellcode. Dadurch kann ein effizientes Testen in einem bestimmten Zeitraum oder innerhalb eines bestimmten Budgets gewährleistet werden.

Unser Pentest-Portfolio: Diese Arten von Penetrationstests bieten wir an

Web Application Security

Mithilfe von Pentests Sicherheitsrisiken in Ihrer Webanwendung reduzieren.
Mehr erfahren

Mobile Security

Durch Mobile App Pentests die Sicherheit Ihrer mobilen App(s) erhöhen.
Mehr erfahren

IT-Infrastruktur

Mittels Pentests mögliche Schwachstellen in Ihrer IT-Infrastruktur aufdecken.
Mehr erfahren

OT-Security

Mit Industrial Security Assessments die Sicherheit industrieller Lösungen auf den Prüfstand stellen.
Mehr erfahren

Advanced Persistent Threats (APTs)

Ihr Unternehmen durch eine IT-Sicherheitsstrategie sowie Pentests bestmöglich vor APTs schützen.
Mehr erfahren


Sie möchten eine Komponente prüfen lassen, die hier nicht aufgeführt ist? Wir bieten Ihnen auch individuelle Leistungen & Lösungen an!
  

Ganzheitliche Betrachtung der IT-Sicherheit in Ihrem Unternehmen

Neben der rein technischen Betrachtung bieten wir im Rahmen eines ganzheitlichen Ansatzes auch Tests an, die sich auf mögliche physische oder menschliche Schwachstellen beziehen. 

Physische Sicherheit

Pentests werden in der Regel automatisch mit dem Hacken von Netz­werken, Systemen und Co. verbunden. Doch wozu der ganze Aufwand, wenn Kriminelle sich auch einfach Zugang zu den Sicherheitsbereichen Ihres Unternehmens verschaffen können?

Bei einem physischen Pentest überprüfen unsere Expert:innen potenzielle Schwachstellen von Zutrittssystemen Ihres Gebäudes, wie beispielsweise Schlösser, Sensoren oder Kameras. Um unautorisierten Zugang zum Unternehmen zu erhalten, setzen sie dabei auf Hilfsmittel wie kopierte Zutrittskarten für Türen oder Sicherheitsschleusen. 

Social Engineering – Sicherheitslücke Mensch

Social Engineering zielt darauf ab, menschliche Eigenschaften wie Hilfs­bereitschaft, Neugierde oder Vertrauen auszunutzen, um Personen geschickt zu manipulieren. 

Um das Sicherheitsbewusstsein Ihrer Mitarbeitenden für derartige Angriffe zu testen, fingieren unsere Expert:innen beispielsweise Telefonate, schi­cken Phishingsmails oder verteilen präparierte USB-Sticks. Im Anschluss daran werten sie in anonymisierter Form aus, wie oft etwa ein Link an­ge­klickt oder ein USB-Stick eingesteckt wurde. Ziel ist es, das Bewusstsein aller Mitarbeitenden für Manipulationen mit sozialen Mitteln zu fördern. 

Wie läuft ein Pentest ab? – Exemplarischer Projektablauf

Besprechung technischer sowie orga­ni­sa­torischer Besonderheiten und der notwendigen Voraussetzungen für die Durchführung von Penetrationstests.

Erfassung der wesentlichen Infor­ma­tionen über den Untersuchungs­ge­gen­stand (Identifizierung von Kom­po­nen­ten, Daten & Funktionen).

Untersuchung im Hinblick auf Angriffs­flächen sowie Schwach­stel­len (Grund­lage: Im Kickoff spezifizierte Kriterien & gesammelte Informationen).

Zusammenfassung aller Prüfungs­er­geb­nisse in Form eines individuellen & aussagekräftigen Abschluss­be­rich­tes (keine automatische Generierung).


Optional: Re-Test

Nach dem Test ist vor dem Test: Prüfung, ob die durchgeführten Verbesserungs- & Abwehr­maß­nahmen (wirksam) greifen oder Wiederholung von Pentests bedingt durch neue Releases. 

Benötigen Sie einen Penetrationstest?

Ein Auszug unserer Referenzen im Bereich Cyber Security

Häufig gestellte Fragen (FAQ):

Wie lange dauert ein Pentest?

Die Dauer eines Pentests ist von verschiedenen Faktoren abhängig. So entscheiden beispielsweise der Prüfgegenstand und dessen Komplexität, die gewählte Prüftiefe sowie die Vorgehensweise darüber, wie viele Tage ein Pentest in Anspruch nimmt. Generell gilt: Je komplexer der zu prüfende Gegenstand, desto mehr Zeit benötigt ein entsprechender Pentest. 

Gerne bieten wir Ihnen hierzu ein unverbindliches Beratungsgespräch an. 

Von wo aus wird getestet?

Allgemein kann zwischen externen und internen Penetrationstests unterschieden werden.

Bei einem externen Pentest erfolgt der Angriff auf Systeme und Netzwerke von außen / aus dem Internet und damit aus der Perspektive eines externen Angreifers. Im Fokus steht dabei die Frage, wie sicher ein Unternehmen gegenüber derartigen Angriffen ist. 

Bei einem internen Pentest haben Prüfer:innen Zugang zur inneren Infrastruktur eines Unternehmens. Dabei wird das weitere Vorgehen von Angreifer:innen simuliert, denen es gelungen ist, die externen Sicherheitsmaßnahmen zu überwinden und sich Zugriff auf das interne Netz zu verschaffen.  

Wie oft sollten Pentests durchgeführt werden?

In Bezug auf Penetrationstests gilt: Nach dem Test ist vor dem Test. Somit sollten Pentests grundsätzlich fester Teil einer ganzheitlichen Betrachtung der IT-Sicherheit innerhalb eines Unternehmens sein. Da Angriffsmethoden sich stetig weiterentwickeln, kann nur so gewährleistet werden, dass Netzwerke, IT-Systeme, Webanwendungen oder mobile Apps möglichen Cyber-Attacken standhalten. 

Was sind die rechtlichen Voraussetzungen für die Durchführung von Penetrationstests?

Bevor Pentests durchgeführt werden können, ist die Zustimmung des zu testenden Unternehmens unbedingt notwendig. Liegt diese nicht vor, würde es sich bei der Durchführung um eine Straftat handeln. Denn ohne vorherige, umfassende Klärung der Bedingungen wäre ein Pentest nichts anderes als ein unautorisierter Hackerangriff, der geahndet werden könnte. Daher muss der geschlossene Vertrag sämtliche Modalitäten wie Prüfzeitraum, Prüfobjekt und Prüftiefe spezifizieren. 

Darüber hinaus dürfen nur Objekte geprüft werden, die eindeutig dem beauftragenden Unternehmen zugehörig sind. Aus diesem Grund sollte im Vorhinein geklärt werden, welche Softwaredienste, wie zum Beispiel Cloud-Services, nicht im Eigentum des Unternehmens stehen, um Eigentums- und/oder Urheberrechte von Dritten nicht zu verletzen. Alternativ können vor der Durchführung von Pentests vertragliche Vereinbarungen mit bestehenden Drittanbietern bzw. Dienstleistern getroffen werden. 

Welche Arten von Pentests gibt es?

Prüfgegenstand

IT-Infrastruktur-Penetrationstest

Mögliche Angriffsziele sind verschiedene Systeme und IT-Infrastruktur-Komponenten, z.B. Web- & E-Mail Server, VPN-Gateways, Domänen-Controller oder Datei- & Datenbankserver. Darüber hinaus können aber auch Firewalls, Switche, WLAN Access-Points, Virtualisierungen und komplette Netzwerkbereiche/-infrastrukturen auf Schwachstellen überprüft werden.

Webanwendungs-Penetrationstest

Im Rahmen von Penetrationstests (inkl. Backendsysteme, Webservices & APIs) wird eine Webanwendung auf die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken hin untersucht.
App-Penetrationstests Im Rahmen von Penetrationstests wird eine mobile Android / iOS App automatisiert und manuell auf Sicherheitsschwachstellen untersucht. Ziel ist es, die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken für mobile Apps zu ermitteln.
Social Engineering Social Engineering zielt darauf ab, menschliche Eigenschaften wie Hilfs­bereitschaft, Neugierde oder Vertrauen auszunutzen, um Personen auf diese Weise geschickt zu manipulieren. 

Testmethode

Black-Box-Penetrationstest Bei einem Black-Box-Pentest erhält der Pen­tester vorab keine zusätzlichen In­for­ma­tio­nen über den Un­ter­su­chungs­gegen­stand. So wird ein typischer Angreifer simuliert, der meist nur wenig über sein Angriffsziel weiß. 
White-Box-Penetrationstest Bei einem White-Box-Pentest verfügt der Prüfer über umfangreiche Zusatz­infor­ma­tio­nen, wie z. B. die Testzugangsdaten, die Architektur-/Designdokumente, die Kommu­ni­kations­matrix oder den Quellcode. Dadurch kann ein effizientes Testen in einem bestimmten Zeitraum oder innerhalb eines bestimmten Budgets gewährleistet werden.
Grey-Box-Penetrationstest Der Grey-Box-Pentest ist eine Mischung aus Black- & White-Box-Pentest. Das heißt, der Pen­tester bekommt bereits einige Infor­ma­tionen, wie Testzugangsdaten und (API-) Doku­men­ta­tionen, und ermittelt die übrigen Informationen selbst.

Ausgangspunkt

Externer Pentest Im Fokus eines externen Penetrationstests steht die Frage, wie sicher ein Unternehmen gegen Angriffe von außen / aus dem Internet ist. 
Interner Pentest Bei einem internen Penetrationstest haben die Prüfer:innen Zugang zur inneren Infrastruktur eines Unternehmens. Dabei wird entweder vorausgesetzt, dass ein IT-System oder ein Benutzerkonto von außen kompromittiert wurde oder dass ein interner Angriff durch eine:n Mitarbeiter:in erfolgt ist. Der Pentest setzt an dieser Stelle an und simuliert das weitere Vorgehen eines Angreifers oder einer Angreiferin.

 

Penetrationstest vs. Schwachstellenscan: Was sind die Unterschiede?

Grundsätzlich verfolgen Schwachstellenscans und Penetrationstests das gleiche Ziel: Das Aufdecken potenzieller Schwachstellen innerhalb der Unternehmens-IT.

Schwachstellenscans laufen im Gegensatz zu Penetrationstests jedoch software-gestützt und vollautomatisiert ab. Damit liefern sie grundlegende Erkenntnisse in Bezug auf mögliche Schwachstellen und dienen als Ausgangspunkt für tiefergehende Prüfungen wie Penetrationstests. Da Schwachstellenscanner auf Datenbanken mit bereits bekannten Sicherheitslücken zurückgreifen, stoßen sie insbesondere bei selbstentwickelten Anwendungen allerdings an ihre Grenzen. 

Penetrationstests werden weitestgehend manuell durch entsprechend ausgebildete IT-Sicherheitsexpert:innen durchgeführt. Dabei stehen vor allem komplexere Sicherheitslücken sowie die unautorisierte Ausnutzung bestimmter Funktionen im Fokus. Zudem erhalten Unternehmen im Anschluss an die Durchführung einen Prüfbericht mit konkreten Handlungsempfehlungen zur Behebung. 

Beeinträchtigen Pentests den Geschäftsbetrieb?

Das Wichtigste vorweg: Penetrationstests verfolgen grundsätzlich nicht das Ziel, Verfügbarkeiten einzuschränken. Denial of Service Angriffe führen wir nur nach Absprache mit dem Auftraggeber durch. Dennoch kann es in seltenen Fällen passieren, dass es im Rahmen der Durchführung zu Verfüg­bar­keits­ein­schrän­kungen kommt. Generell steht jedoch die Identifizierung von Schwachstellen im Fokus. Das Risiko einer Unterbrechung des Geschäftsbetriebs wird dabei möglichst niedrig gehalten. 

Was beinhaltet der Abschlussbericht?

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜViT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.
Wie hoch sind die Kosten für einen Pentest?

Wie viel ein Pentest kostet, kann leider nicht pauschal beantwortet werden. Die letztendlichen Kosten sind von verschiedenen Faktoren wie Prüfgegenstand, Prüfkonfiguration und Sicherheitsniveau abhängig. Gerne erstellen wir Ihnen ein kostenloses, unverbindliches Angebot. 

Warum wir ein starker Partner für Sie sind

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.
Sie haben Fragen? Wir helfen gerne!

  

Weitere interessante Leistungen im Bereich Cyber Security

CyberSecurity Certified (CSC)

Als Hersteller eines CIoT-Produktes können Sie die Sicherheit Ihres (Smart-Home-)Gerätes durch ein unabhängiges CSC-Zertifikat nachweisen.
Weiterlesen

Sicherheitstechnische Qualifizierung

Die Sicherheitstechnische Qualifizierung (SQ) ist ein Zertifizierungsverfahren, das eine ganzheitliche Betrachtung von Produkten & Systemen ermöglicht.
Weiterlesen

BSI TR-03148 für Breitband-Router

Mit der BSI TR-03148 können Sie als Hersteller nachweisen, dass Ihre Breitband-Router die Sicherheitsanforderungen des BSI erfüllen.
Weiterlesen

Beschleunigte Sicherheitszertifizierung

Mit der Beschleunigten Sicherheitszertifizierung (BSZ) belegen Sie die Sicherheitsaussage Ihres IT-Produktes durch ein unabhängiges Zertifikat.
Weiterlesen