Penetrationstest – Ihr IT System auf dem Prüfstand

Was ist ein Penetrationstest?

Penetrationstests werden von vielen IT-Sicherheitsorganisationen empfohlen. IT-Sicherheitsaudits wie Datenschutzaudits, ISO 9001 Audit oder ein Sicherheitsaudit nach ISO 27001 können als gute Ergänzung eines Qualitätsmanagements durchgeführt werden. Sie stellen nicht nur den Zustand der IT-Sicherheit fest, sondern bieten auch Lösungen an. IT-Infrastruktur-Penetrationstest testen Server, Firewalls, WLAN-Netzen, VPN-Zugänge/Firewalls auf Sicherheitslücken. Webanwendungs-Penetrationstests testen plattformübergreifende Internetaktionen. Auch der Sourcecode von Softwareprogrammen kann untersucht werden.

Hacker werden die Lücken in Ihrer Computersicherheit finden

Penetrationstests zeigen ganz klar, wo Ihre IT-Systeme schwächeln und wie Sie das korrigieren können, damit Ihre IT-Sicherheit auf ein Topniveau gebracht werden kann.

Penetrationstest und IT-Sicherheitsanalysen

Bei IT-Penetrationstests geht es darum, durch legales „Hacking“ Sicherheitslücken in IT-Systemen zu finden und Lösungsmöglichkeiten zur Schließung der Lücken anzubieten.

IT-Penetrationstests unterteilen sich in Infrastruktur-Penetrationstests und Webanwendungs-Penetrationstests und auch noch von wo aus getestet werden soll, sprich von einem externen Netzwerk oder von intern im Unternehmensnetz. Letztendlich gibt es dann noch spezielle Vorgehensweise beim Testen, die Black-Box- oder White-Box- oder Grey-Box-Penetrationstest genannt werden.

IT-Penetrationstests testen nicht nur IT-Systeme, sondern auch Informationen im Unternehmen. Es gilt herauszufinden, wie es um die Vertraulichkeit, Verfügbarkeit und Integrität der Systeme steht. Die Penetrationstests sind dafür sehr wirksam.

Warum ein Pentest?

Kundendaten sind in Ihren Systemen gespeichert und Sie haften dafür.

Sie sind sich bewusst von den wirtschaftlichen Schäden, falls Ihre Systeme gekapert werden oder zu erliegen kommen.

Sie sind die Überzeugung, dass vorbeugen besser ist als reparieren.

Sie glauben, Sie wurden gehackt und Sie wollen die Schäden begrenzen und den Hack zurückverfolgen

IT-Penetrationstests und die verschiedenen Testarten

White-Box-Penetrationstest

Die Tester wissen von vornherein alles über die Server und IT-Infrastrukturen. Solche Tests sind sehr viel effektiver als Black-Box-Penetrationstests. Ein genauer Soll-Ist-Vergleich der vorhandenen IT-Sicherheit kann hier gemacht werden.

Grey-Box-Penetrationstest

Die Tester haben hier schon ein paar Infos über die zu testende IT-Infrastruktur. Nach diesem Testprinzip oft vorgegangen. Individuell können Teilbereiche der IT-Umgebung ausgeschlossen werden vom Test. In der Praxis wählen Erstkunden meistens einen Black-Box-Penetrationstest. Für jährliche Wiederholungstests werden dann meistens White-Box-Penetrationstests durchgeführt.

Black-Box-Penetrationstest

Die Tester tappen praktisch im Dunkeln, wissen nicht, mit welchen Systemen oder IT-Infrastruktur sie es zu tun haben werden. Tester sind wie Angreifer, sie müssen erst in der Infrastruktur Informationen zum Netzwerk suchen, um sich hineintasten zu können.

Von wo aus wird getestet?

Externe IT-Penetrationstests

Die populärste Test-Art, da Kunden wissen möchten, wie es um die IT-Sicherheit steht bei externen Angriffsszenarien.

Interne IT-Penetrationstests

Ab einer gewissen Unternehmensgröße von etwa 50 bis 100 Mitarbeiter fokussiert sich die IT-Sicherheit auch auf interne Systeme. Bei vielen Mitarbeitern steigt die Gefahr eines Angriffs von innen.

Bei Penetrationstests können exakte Ziele definiert – alle internen IT-Systeme oder nur bestimmte Punkte oder Angriffsarten, wie Passwortdiebstahl etc.

Red-Teaming

Beim Red-Teaming ist die Ausrichtung im Vergleich zum Penetrationstest eine etwas andere. Das Red-Team handelt es sich um eine unabhängig arbeitende Gruppe. Zwar arbeitet das Red-Team sehr ähnlich wie Penetrationstester, jedoch haben Sie einen bestimmten, viel enger definierten Auftrag. Meistens ist der nicht so umfassen wie beim Penetrationstest. Sie arbeitet an der Verbesserung von Sicherheitsstrukturen, in dem sie diese austestet. Getestet werden Technologien, Personen (Social-Engineering) und sogar feste Strukturen gegen Einbruch.

Ihre Vorteile bei regelmäßigen IT-Penetrationstests

✓ Ihre Firmengeheimnisse werden beschützt.

✓ Hintertüren in Ihren IT-Systemen werden entdeckt und können damit geschlossen werden.

✓ Der Grundstein für Ihre Investitionen in eine zukunftsfähig aufgestellte IT-Sicherheit wird gelegt.

✓ Schutzmaßnahmen gegen Beschädigungen Ihres IT-Netzwerkes werden geschaffen.

✓ Ihre und die IT-Sicherheit Ihrer Kunden werden damit geschützt.

✓ Hackerangriffe und sicherheitsbedingte Systemausfälle haben teure Folgen – Penetrationstests entdecken Lücken, die geschlossen werden können.

Wie laufen IT-Penetrationstests ab?

Die 7 Schritte eines IT-Penetrationstests:

  1. Ein Gespräch, das Ziele und Eskalationsstufen, usw. festlegt.
  2. Vertrautmachen mit dem Zielsystem. Frei verfügbare Informationen werden dafür genutzt.
  3. Das IT-System wird aktiv geprüft, Betriebssysteme und angebotene Dienste gesucht
  4. Ein Schwachstellenscan findet statt. Die Ergebnisse bestimmen weitere gezielte Tests.
  5. Alle gefundenen Sicherheitsschwachstellen werden ausgenutzt mit dem Zweck, in das System einzubrechen und andere Angriffsszenarien vorzubereiten.
  6. Die Abschlussbewertung wird erstellt und der Abschlussbericht vorgelegt.
  7. Ein Nachtest wird nach einem vereinbarten Zeitraum durchgeführt.

Penetrationstests werden meistens in verschiedene Phasen unterteilt: Reconnaissance, Scanphase, Schwachstellenscan, Exploitphase, Auswertung und Bericht,

Sprechen Sie uns an für ein genaues Angebot und Fragen zu unseren Penetrationstests. Bitte nehmen Sie hier mit uns Kontakt auf.

pentest ablauf

Darum sollten Sie unseren IT-Penetrationstests vertrauen:

SANS Zertifiziert

Wir sind vom US-Sicherheitsinstitut SANS zertifiziert. Damit haben wir das Know-how, um Security-Expertisen von höchster Qualität abzuwickeln.

Nachhaltig

Unser Ziel sind nachhaltige Spitzenleistungen. Wir denken so und wir fordern das von uns selbst. Wir arbeiten professionell und lernen immer dazu, um dieses neue Wissen in den immerwährenden Kreislauf der Verbesserung einfließen zu lassen.

Zuverlässig

Unser Wertebewusstsein setzt sich zusammen aus Qualität, Ehrlichkeit und Zuverlässigkeit. Nur so kann eine dauerhafte Vertrauensbeziehung entstehen.

Diskretion

Wir arbeiten sehr diskret, darauf können Sie sich verlassen. Unser vielfältiger Kundenkreis findet sich im Bankwesen, in der Produktion, im Industrie- und Dienstleistungs- sowie Versicherungssektor aber auch in der Medienbranche und der Verwaltung von Flughäfen. Sie alle vertrauen unserer Expertise und Diskretion.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen