loesungen

Aus Angreifer-Sicht - Sicherheits-Test Ihrer IT-InfrastrukturPentest Titel

Durch einen Penetrationstest kann geprüft werden, inwieweit die Sicherheit der IT-Systeme durch Bedrohungen von Hackern gefährdet ist und ob die IT-Sicherheit durch die eingesetzten Sicherheitsmaßnahmen aktuell gewährleistet wird.

Realistische Bedrohungsszenarien mit dem Penetrationstest durchgespielt

Gelingt dem Penetrationstester der Einbruch in Teile der Computer-Systeme und ist er in der Lage, an vertrauliche Informationen zu gelangen oder diese zu manipulieren, ist dies der Beweis für eine Sicherheitslücke.

Beim Penetrationstest handelt es sich um zielgerichtete Angriffe gegen Computer-Systeme. Ziel soll es sein, auch in abgesicherten IT-Infrastrukturen Schwachstellen zu identifizieren und auszunutzen. Ein Penetrationstest sollte nur dann durchgeführt werden, wenn im Vorfeld durch eine Schwachstellenanalyse die offensichtlichen Sicherheitsprobleme bereits identifiziert und behoben wurden.

Ein Penetrationstest ist zudem immer nur eine Momentaufnahme der IT-Sicherheitslage, deshalb sollte die IT-Infrastruktur regelmäßigen Überprüfungen unterzogen werden. So ist es beispielsweise möglich, dass nach Abschluss des Penetrationstests durch eine menschliche Fehlentscheidung oder durch Installation einer Software ein neues gravierendes Sicherheitsproblem entsteht.

Bezüglich der Qualität der als Penetrationstest bezeichneten Dienstleistung existieren große Unterschiede. Das Niveau und der praktische Nutzen eines Penetrationstests wird im Wesentlichen davon bestimmt, inwieweit auf die individuelle Situation des Auftraggebers eingegangen, wie viel Zeit und Ressourcen auf die Ausforschung von Schwachstellen verwendet und wie kreativ dabei vorgegangen wird.

Der Penetrationstest - Kontaktieren Sie uns für Ihr individuelles Angebot

Die wichtigsten Ziele eines Penetrationstests

  • Erhöhung der Sicherheit Ihrer technischen Systeme
  • Identifikation von nicht offensichtlichen Schwachstellen
  • Bestätigung der IT-Sicherheit durch einen externen Dritten
  • Erhöhung der Sicherheit Ihrer organisatorischen und personellen Infrastruktur

Produktvideo - Was ist ein Penetrationstest und wie läuft er ab?

Module

Für Penetrationstests bieten wir die folgenden Module an, die unabhängig voneinander buchbar sind. Nachfolgend finden Sie ein paar Beispiele für mögliche Testszenarien. Das genaue Testszenario erarbeiten wir mit Ihnen in einem persönlichen Gespräch. Darauf aufbauend erstellen wir für Sie das finale Angebot.

P | INTERNET

Wir prüfen Ihre über das Internet erreichbaren Systeme. Dies kann beispielsweise das VPN Gateway, der Citrix oder Mail Server sein. Wir prüfen die exponierten Dienste dabei auf Schwachstellen und versuchen, uns nach Möglichkeit Zugriff auf einen der Server zu verschaffen und uns von dort aus weiter in das interne Netzwerk zu arbeiten.

P | LAN

Im Modul P-LAN werden vornehmlich die internen Netzwerk-Strukturen geprüft. Wie ist Ihre Switch-Infrastruktur abgesichert? Setzen Sie verwundbare Protokolle ein? Gibt es Möglichkeiten, aus einem entsprechenden VLAN auszubrechen? Etc. Wir bieten Ihnen zudem an, die Sicherheit Ihrer bereits eingesetzten Schutzmechanismen wie Intrusion Prevention oder Network Access Control-Systeme zu überprüfen.

P | RADIO

Hierbei prüfen wir Ihre funkbasierten Dienste wie WLAN oder Bluetooth-Systeme. Ist das WLAN-Besuchernetz ordnungsgemäß vom produktiven Netz getrennt oder gibt es Schwachstellen in der Verschlüsselung oder Authentifizierung?

P | WEBSERVICE

Im Modul P-WEBSERVICE wird eine Web-Anwendung auf Schwachstellen wie SQL Injection, Local/Remote File Inclusion oder Cross-Site Scripting hin überprüft. Wir arbeiten dabei die vollständige Liste der OWASP TOP 10 ab. Eine Web-Anwendung kann dabei der von Ihnen betriebene Online Shop oder die Corporate Website sein.

P | APPLICATION

Bestandteil des P-APPLICATION-Moduls kann eine für sich eigenständige Anwendung wie Ihr ERP-System oder eine Individual-Entwicklung sein. Ein möglicher Testgegenstand wäre das Prüfen auf eine Rechteausweitung. Besteht zum Beispiel die Möglichkeit, Daten in einer Anwendung zu manipulieren oder zu stehlen? Des Weiteren prüfen wir Anwendungen auch auf Programmierfehler wie Stack und Heap Overflows.

P | SOCIAL

Durch einen Social Engineering-Test kann das Sicherheitsbewusstsein Ihrer Mitarbeiter geprüft werden. Wir unterscheiden dabei zwischen Human based und Computer based. Ein möglicher Ansatz wäre, durch fingierte Telefonanrufe an vertrauliche Informationen zu gelangen oder durch gezielte Phishing-Attacken ‚Spähprogramme‘ auf den Ziel-Systemen zu platzieren. Der Datenschutz spielt dabei für uns eine sehr große Rolle - jegliche personenbezogenen Daten werden nach Abschluss der Tests vollständig gelöscht. Heutige professionelle Angriffe beinhalten in den meisten Fällen immer auch eine Social Engineering-Attacke. Ein Angreifer wird immer den Weg des geringsten Widerstandes gehen. Sind Ihre Systeme sehr gut abgesichert, versucht ein Angreifer im zweiten Schritt, sich Zugriff durch Mitarbeiter Ihres Hauses zu verschaffen. Aus diesem Grund sind die Sensibilisierung und der regelmäßige Test heutzutage ein wichtiger Aspekt.

P | RETEST

Ein Retest sollte immer Bestandteil eines Penetrationstests sein. Durch den Retest wird geprüft, ob tatsächlich alle im Vorfeld aufgedeckten Schwachstellen ordnungsgemäß geschlossen wurden.

Zielgruppe

Geeignet für Unternehmer und IT-Leiter, die wissen wollen, wie es um die Sicherheit ihrer IT-Infrastruktur steht.

Der Penetrationstest ist Teil unseres Sicherheit Portfolio.

Unterlagen

Facebook    
 
Support Support