IT-Infrastruktur-Sicherheit: IT-Systeme & -Netze wirksam schützen

Haben Sie Fragen oder Anmerkungen? Kontaktieren Sie uns!

Mittels Penetrationstests Schwachstellen aufdecken & die Sicherheit Ihrer IT-Infrastruktur optimieren

Diebstahl, Spionage, Sabotage, Erpressung und Systemausfälle, das sind die häufigsten Ziele, die Hacker bei Angriffen auf Unternehmen verfolgen. Als Einfallstor dienen dabei oft nicht ausreichend abgesicherte oder mit Schwachstellen versehene Systeme und IT-Infrastruktur-Komponenten.

Wir unterstützen Sie dabei, die Sicherheit Ihrer IT-Infrastruktur zu erhöhen und Ihre IT optimal gegen Cyber-Angriffe dieser Art zu schützen. Im Rahmen von Penetrationstests gegen Ihre IT-Infrastruktur decken wir bestehende Schwachstellen auf Netzwerk- und Systemebene auf und geben Ihnen gleichzeitig Empfehlungen zur Behebung an die Hand.


  

  

Ihre Vorteile auf einen Blick

  • Objektive Analyse & Bewertung der etablierten Sicherheitsmaßnahmen im Bereich System- & Network Security
  • Identifizierung spezifischer Schwachstellen auf System- & Netzwerkebene inklusive Handlungsempfehlungen zur Behebung
  • Prüfung auf Basis anerkannter Standards & Best Practices (z. B. NIST, OSSTMM & BSI)
  • Erhöhung des Wirkungsgrads sowie des Gesamtsicherheitsniveaus durch individuell abgeleitete Handlungsempfehlungen
  • Belastbare Risikoeinschätzung Ihrer Netzwerksicherheit durch die Ermittlung tatsächlicher Risiken
  • Proaktives Vorbeugen von Finanz- & Reputationsverlusten durch Sicherheitsvorfälle

Unsere Leistungen

Abhängig davon, was Sie mithilfe eines Pentests prüfen möchten, können Sie zwischen verschiedenen Modulen bzw. Prüfaktivitäten wählen. Mögliche Angriffsziele sind verschiedene Systeme und IT-Infrastruktur-Komponenten, z.B. Web- & E-Mail Server, VPN-Gateways, Domänen-Controller oder Datei- & Datenbankserver. Darüber hinaus überprüfen wir aber auch Ihre Firewall, Switche, WLAN Access-Points, Virtualisierungen und komplette Netzwerkbereiche/-infrastrukturen auf Schwachstellen.

Port-& Schwachstellenscans

Ermittlung von Schwachstellen

Ziel der Schwachstellenscans ist die Erkennung von allgemein bekannten, aktuellen Schwachstellen auf den Systemen und Komponenten. Im Rahmen der Schwach­stellenscans werden in Absprache mit den Verantwortlichen beispiels­weise auch Denial-of-Service-Angriffsvektoren getestet.
 

Ermittlung von Diensten 

Zur Feststellung, welche Dienste auf einem System zur Verfügung stehen, wird ein Port-Scan durchgeführt. Darüber hinaus können mit der Methode eingesetzte Versionen der Dienste (Software) ermittelt werden. Dement­sprechend werden aktive Scan-Techniken verwendet. Ziel ist es, unsichere (z. B. Klartextdienste/-Protokolle oder veraltete Versionen) sowie unbekannte bzw. nicht zwingend für den Betrieb benötigte Dienste zu identifizieren (mangelnde Härtung). Auch können die Ergebnisse für weiterführende (manuelle) Angriffe genutzt werden.

Manuelle Penetrationstests

Neben den automatisierten Analyse- und Angriffstechniken werden immer auch manuell durchgeführte Untersuchungen und Verifikationen durchgeführt. Dazu wenden unsere IT-Sicherheitsexpert:innen stets aktuelle Angriffstechniken aus der Hacker- bzw. Sicherheitsszene an sowie selbst entwickelte Tools und Scripte.

Host Discovery

Ermittlung von Systemen

Diese Prüfmethodik sieht toolgestützte (ARP-) Scans innerhalb eines Netzwerksegments (Broadcast-Domäne) vor. Ziel der Scans ist die Ermittlung aller Systeme und Komponenten eines Netzwerksegments – und somit intern / in Ihrem Netzwerk (Host-Discovery) –, um somit bspw. unbekannte oder nicht dokumentierte Systeme zu identifizieren („Schatten-IT“). Die Ermittlung von Systemen kann aber auch gegen aus dem Internet erreichbare Systeme / Netzwerkbereiche durchgeführt werden, bspw. gegen eine bestimmte IP-Range Ihres Unternehmens.

Sniffing

Passives Mitlesen des Netzwerkverkehrs

Beim Networksniffing wird der Netzwerkverkehr innerhalb eines Netzwerksegments passiv mitgelesen. Der Netzwerkverkehr wird dabei protokolliert und anschließend einer automatisierten Schwachstellenanalyse sowie manueller Verifikation unterzogen. Mithilfe dieser Methode kann bspw. der Einsatz von Klartextprotokollen oder veralteter Protokolle und Software erkannt werden.

Review von Firewall-Regelwerken

Im Rahmen dieses Moduls wird das Firewall-Regelwerk überprüft. Ziel ist es, ein möglichst restriktives Firewall-Regelwerk auf Basis von sicheren Protokollen zu nutzen. Dabei werden im Wesentlichen folgende Schritte durchgeführt: Überprüfung hinsichtlich des Minimalitätsprinzips, Ermittlung von widersprüchlichen, abgelaufenen, unnötigen oder ungenutzten Regeln, Identifizierung von zu weit gefassten Regeln (bspw. „any-Rules“), Überprüfung der hinterlegten Services und Protokolle (bspw. Nutzung von Klartext-Protokollen).

Überprüfung der WLAN-Sicherheit

Wir überprüfen Ihre verfügbaren WLANs auf Schwachstellen und führen je nach Bedarf weiterführende Angriffe durch, darunter bspw.:

• Identifizierung von WLAN-Zugriffspunkten und Clients (SSIDs, MAC-Adressen, Verschlüsselungsalgorithmen, etc.)

• Begehung der Außengrenzen Ihres Standortes (Einfriedung) zur Ermittlung der WLANs, welche von außerhalb erreichbar sind

• Manuelle Tests und aktive Eindringversuche auf der Luftschnittstelle in Abhängigkeit des jeweiligen Sicherheitsniveaus mittels spezieller Werkzeuge (DoS-Angriffe, MitM-Angriffe, Fake Access Point-Angriffe, etc.)
 

Überprüfung der Härtung nach Best Practises / Konfigurationsanalysen

Diese Prüfmethodik sieht manuelle Konfigurationsanalysen von Systemen und Komponenten mit Unterstützung der Verantwortlichen vor. Bei der Prüfung wird im Wesentlichen eine sicherheitstechnische Analyse und Bewertung der technischen Maßnahmen zur Systemhärtung und somit der vorgenommenen Konfigurationen auf System- und Anwendungsebene vorgenommen. Darunter fallen bspw. folgenden Punkte:

• Ermittlung des Update-/Patchstandes (Patchmanagement)

• Überprüfung der Gruppenrichtlinien nach Microsoft Best-Practises (Windows-Systeme)

• Überprüfung der installierten Software und Dienste

• Stichprobenartige Überprüfung des Dateisystems, bspw. Überprüfung auf Klartext-Passwörter in Konfigurationsdateien

• Überprüfung hinterlegter Gruppen und Benutzer sowie deren Berechtigungen

• Analyse der Netzwerkdienste und Firewall-Einstellungen

• u.v.m.

Die Analyse erfolgt gemäß White-Box-Ansatz bzw. aus Sicht eines internen Angreifers, der sich bereits Zugriff auf ein System verschafft hat. Diese Prüfmethodik kann häufig mit den Interviews der entsprechenden Personen/Administratoren kombiniert werden.

Review von Sicherheits- richtlinien/-konzepten, Netzwerkarchitektur etc.

Diese Prüfmethodik sieht eine Prüfung Ihrer Dokumentation vor. Im Rahmen der Untersuchung werden Betriebs- und Systemdokumente, die das Verhalten und die Eigenschaften der Systeme und Komponenten beschreiben, geprüft. Darunter fallen z. B. Dokumentation der Architektur, Benutzung und Administration, Installations-, Konfigurations- und Wartungsanleitungen, Backup- sowie Sicherheitskonzepte. Ziel ist es u.a. die Plausibilität, Verständlichkeit sowie Aktualität der Dokumente zu prüfen sowie Verbesserungsvorschläge zu geben.

Das enthält der Abschlussbericht

Alle Ergebnisse einer Prüfung werden Ihnen in Form eines ausführlichen Abschlussberichtes zur Verfügung gestellt. 

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:
 

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
     
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
     
  • Risikobewertung:  Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
     
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
     
  • Detaillierte Beschreibung der Schwachstellen und Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
     
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet und auf false/positive geprüft und anschließend im Bericht zusammengefasst.
     
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
     
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
     
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Ablauf des Pentests

Besprechung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen.

Untersuchung der umgesetzten Sicherheitsmaßnahmen hinsichtlich ihrer Effektivität & Vollständigkeit.

Zusammenstellung der Ergebnisse in einem Abschlussbericht. Optional mit Abschlusspräsentation.

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen. 

Häufig gestellte Fragen (FAQ):

Was ist das Ziel eines Penetrationstests?

Ziel von Penetrationstests ist es, allgemein bekannte und aktuelle Schwachstellen sowie unsichere, unbekannte bzw. nicht zwingend für den Betrieb benötigte Dienste und Systeme zu identifizieren. Außerdem können wir durch unsere Analysen Schwachstellen und fehlerhafte Konfigurationen in Ihrer Netzwerkinfrastruktur/-architektur aufdecken.

Was ist das Ergebnis eines Penetrationstests?

Als Ergebnis liefern wir Ihnen einen ausführlichen Bericht, in dem konkrete nachvollziehbare Risiken aufgezeigt werden und für identifizierte Schwachstellen angemessene Handlungsmaßnahmen zu deren Behebung vorgeschlagen werden.

Was sind mögliche Angriffsziele von Penetrationstests?

Die Tests können von extern und somit gegen aus dem Internet erreichbare Systeme sowie von intern, direkt aus dem jeweiligen Netzwerksegment (bspw. Ihrem Office-Netzwerk oder einer DMZ), durchgeführt werden.

Angriffsziel können somit verschiedene Systeme und IT-Infrastruktur-Komponenten sein, bspw. Web- und E-Mail Server, VPN-Gateways, Domänen-Controller oder Datei- und Datenbankserver.

Darüber hinaus überprüfen wir auch Ihre Firewall, Switche, WLAN Access-Points, Virtualisierungen und komplette Netzwerkbereiche/-infrastrukturen auf Schwachstellen.

Nach welcher Methodik geht TÜVIT vor?

Neben den automatisierten Analyse- und Angriffstechniken führen wir immer auch manuelle Untersuchungen und Verifikationen durch. Dazu wenden unsere IT-Sicherheitsexpert:innen stets aktuelle Angriffstechniken/-tools aus der Hacker- bzw. Sicherheitsszene sowie selbst entwickelte Tools und Skripte an.

Außerdem orientiert sich die Vorgehensweise der TÜVIT-Expert:innen an anerkannten Standards und Best Practices, wie die des BSI.

Warum wir ein starker Partner für Sie sind

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision und Penetrationstests zertifiziert ist.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.
Sie haben Fragen? Wir helfen gerne!
Alexander PadbergGlobal Account Manager Cyber Security

Tel.: +49 201 8999-614
a.padberg@tuvit.de

Weitere Leistungen