Penetrationstests

Welchen Schaden könnte ein Hacker bei Ihnen anrichten? Bietet Ihre Firewall-Architektur ausreichend Schutz? Welche Ihrer Webanwendungen ermöglicht mehr als Sie glauben? Welche Information geben Ihre Mitarbeiter „freiwillig“ an Unbefugte?

In einem funktionierenden Informationssicherheitsmanagementsystem (ISMS) müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. Die klassischen Einfallstore sind in unzureichend gepflegten Netzwerk- und Betriebssystemkonfigurationen zu finden, während Webanwendungen (oftmals mit Zugriff auf interne Datenbanken) ein hohes Schadenspotenzial aufweisen. Dagegen sind Mitarbeiter völlig ohne Hackerwissen „angreifbar“, sie können unter Umständen sehr sensible Informationen z. Bsp. aus Hilfbereitschaft und Unwissenheit weitergeben. Damit stehen Sie vor der Herausforderung, diese auftretenden Risiken einzuschätzen und passende Gegenmaßnahmen zu ergreifen.

Unsere Leistungen

Wir verstehen uns als „Ethical Hacker“, wir nutzen die gleichen Tools und Methoden wie „bösartige“ Hacker, nur mit dem Ziel, die gefundenen Lücken zu schließen. Unsere Penetrationstests gibt es in verschiedenen Varianten und Tiefegraden, sie werden permanent weiterentwickelt und basieren auf nationalen und internationalen Standards. Die Qualität unserer Prozesse ist dabei nach DIN EN ISO 9001:2008 zertifiziert.CISA-Horizontal-175x69

Die Auswahl der sinnvollen Module stimmen wir im Vorfeld mit Ihnen ab, auch die Erstellung eines Auditkonzepts zur Planung von derartiges Tests ist Teil unserer Leistungen. Darin werden die durchzuführenden Tests in ihrem Umfang und Detailgrad im Vorfeld geplant, Anforderungen an die Auditoren gestellt und Erwartungen an den Auditbericht definiert. Somit sind die Penetrationstests Bestandtteil Ihres ISMS nach ISO27001:2013 bzw. BSI.

Als Ergebnis erhalten dann Sie einen umfangreichen und aussagekräftigen Auditbericht mit einer Einschätzung der Risiken und Handlungsempfehlungen. Diese Risikobewertung ist ein wichtiger Bestandteil unserer Dokumentation, dabei werden international anerkannte Datenbanken (Risk Scores) zugrundegelegt. Wir erklären Ihnen auch, wie wir zu diesen Ergebnissen gelangt sind. Die Maßnahmenempfehlungen der relevanten BSI-Bausteine werden hinsichtlich ihres Umsetzungsstatus bewertet und dokumentiert. Die Ergebnisse unseres Penetrationstests können damit unmittelbar in ein Informationssicherheitsmanagementsystem (BSI oder ISO27001) einfließen.

Auf Wunsch überprüfen wir die Wirksamkeit der getroffenen Gegenmaßnahmen nach deren Umsetzung bzw. in regelmäßigen Abständen. Damit stellen wir sicher, dass auch bei Änderungen Ihrer IT-Landschaft die Sicherheit gewährleistet wird.

Werkzeuge

Dabei nutzen wir eine Reihe unterschiedlichster OpenSource und kommerzieller Tools bei unseren Penetrations-Tests, wie zum Beispiel:

  • Wireshark
  • Discover
  • nmap
  • OWASP
  • NESSUS
  • Acunetix Suite
  • BURP Suite
  • Nikto Web Scanner
  • Verschiedene Tools zum Scannen von CMS Systemen (u.a. WPscan, Joomscan) etc.
  • ExploitDB
  • CVE Details
  • Rapid7
  • Microsoft Technet
  • Metasploit Framework
  • SQLMap
  • selbst entwickelte Scripte und Tools
  • Brainware – DAS WICHTIGSTE – also unser Wissen und unsere Erfahrung unserer Security-Consultants

 

 

Weitere Tools und Methoden setzen wir in Abhängigkeit der jeweiligen Anforderungen ein (z. Bsp. beim Thema Social Engineering).

Penetrationstest von Web-Anwendungen

Webanwendungen sind mittlerweile ein fester Bestandteil in jeder IT-Umgebung. Da diese Anwendungen oftmals weitreichende Berechtigungen auf interne Informationen besitzen, eröffnen sie den Unternehmen eine neue Welt, die jedoch nicht ohne Gefahren ist. Diese Gefahren entstehen durch Angreifer, die bekannte Schwachstellen in Webanwendungen ausnutzen und sich damit Zugriff auf interne Ressourcen (zum Beispiel Datenbanken) ermöglichen.

Wir führen unsere Audits basierend auf etablierten Standards durch:

  • Open Web Application Security Project
  • Web Application Security Consortium
  • Bundesamt für Sicherheit in der Informationstechnik

 

Prüfung von Web-Anwendungen (Webshops, Datawarehouse, CRM, ERP, Webportale etc.) aus Sicht externer Angreifer:

  • Identifizierung von Schwachstellen (Google Hacking, Bug Reports, Security Advisors, OWASP Top10 etc.)
  • Verifizierung aktuellster Schwachstellen (SQL Injection, XSS Cross Site Scripting, Session Hijacking, Drive by Downloads etc.)
  • Aufdecken von Schwachstellen durch fehlerhafte Prozessabläufe in der Webanwendung (Insufficient Process Validation)
  • Möglichkeiten für automatisierte Angriffe (z. Bsp. Versand von eMails, Erstellen von Accounts etc.) durch Bots (Insufficient Anti Automation)
  • Überprüfung von Softwarenentwicklungen (Code Review)

 

Nicht aktualisierte Content Management Systeme (CMS) sind ein typisches Beispiel für derartige Einfallstore. Sie bieten eine einfache und elegante Lösung, eine Webpräsenz zu entwickeln und redaktionell zu pflegen. Oft wird jedoch die Sicherheit zu Gunsten der einfachen Installation und Konfiguration vernachlässigt, da sich auch IT-ferne Abteilungen wie z.B. das Marketing mit der Pflege der Webpräsenz beschäftigen müssen.

Wir überprüfen u.a.

  • Joomla
  • Drupal
  • iKiss
  • Typo3
  • WordPress
  • Infopark CMS Fiona
  • CMS Foundation (RedDot)
  • PHP Nuke
  • Plone

Penetrationstest von Infrastruktur- und Serverkomponenten

Aktuelle Zahlen weisen darauf hin, dass die Zahl der Angriffe über das Internet stetig zunimmt. Ziel sind dabei zum Einen die Komponenten Ihres Internetzugangs, aber auch die internen Netzwerk- und Serversysteme.

  • Identifizierung aktuellster Schwachstellen in Routern, Switches, Firewalls, Betriebssystemen etc. von innen oder außen
  • Möglichkeiten zum Ausnutzen der gefundenen Schwachstellen (ARP Poisening, DHCP Hijacking, Brute Force Passwort-Angriffe, Denial of Service, DNS Poisening)
  • Überprüfung der WLAN-Sicherheit (Funkreichweite, Verschlüsselung, Zugriffsmöglichkeiten, Vortäuschen von falschen Access Points etc.)

 

Überprüfung von Arbeitsplätzen:

Wir versuchen, Angriffe gegen das Netzwerk mittels eines Standard-Arbeitsplatzes durchzuführen. Zusätzlich prüfen und dokumentieren wir die sichere Konfiguration des Arbeitsplatzes anhand von Checklisten (ausgehend von den passenden BSI-Bausteinen der Grundschutzkataloge). Damit lassen sich u.a. die Folgen von Diebstahl von Endgeräten besser abschätzen.

Unsere Durchführung basiert auf etablierten Standards:

  • Open Source Security Testing Methodology Manual (OSSTMM)
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)

Code Review

Um Informationssicherheit bereits in der Softwareentwicklung – insbesondere bei der Entwicklung von Apps für Mobile Devices (Android, iOS, BlackBerry, Windows Phone) – zu berücksichtigen, sollten regelmäßige Code Reviews Bestandteil eines Entwicklungsprozesses sein. Der entwickelte Code kann über einen gesicherten Cloud-Service bereitgestellt werden. Innerhalb von 24 Stunden wird der Code

  • ABAP
  • ASP.NET
  • C/C#/C++
  • Java
  • PHP
  • Python usw.

 

automatisch und von Software-Entwicklern analysiert und ein Ergebnisbericht zur Verfügung gestellt. Der Bericht wird von Entwicklern vor der Rückgabe geprüft und bearbeitet.

Audit des Sicherheitsbewusstseins der Mitarbeiter

Ohne jegliches technisches Hackerwissen lässt sich das „HumanOS“ – die Mitarbeiter – „angreifen“. Gerade im Rahmen von Wirtschaftsspionage erschleichen sich die Täter häufig den Zugang zu Gebäuden und Firmenrechnern oder sie befragen Mitarbeiter um an die gewünschten Informationen zu gelangen. Im Rahmen unserer Social Engineering – Projekte auditieren wir das vorhandene Sicherheitsbewusstsein bei den Mitarbeitern und die Einhaltung der Sicherheitsrichtlinien. Die – vollständig anonymisierten – Ergebnisse sind ideale Bestandteile einer Security Awareness Kampagne.

  • Computerbasiert
    • Phishing Mails
    • mobile Datenträger (USB Sticks)
    • Umgang mit Social Media
    • manipulierte Websites etc.

 

  • Persönlich
    • Telefonate oder Besuche unter einem bestimmten Vorwand (Cover Story)
    • „Dumpster Diving“ (Durchsuchen von Mülltonnen)
    • Begehungen von Gebäuden etc.

 

  • Mitarbeitersensibilisierung

 

Nutzen Sie die Präsentation der (vollständig anonymisierten) Ergebnisse vor den Mitarbeitern bzw. der Leitungsebene, um das Sicherheitsbewusstsein zu erhöhen und an die Einhaltung von Vorgaben und Richtlinien zu appellieren.

Ihre Vorteile

  • ceh-logoAufdeckung vorhandener Schwachstellen
  • Standardkonforme Auditierung
  • Aussagekräftiger und verständlicher Ergebnisbericht mit Risikoeinschätzung
  • regelmäßige Überprüfungen (z. Bsp. monatlich)
  • Zertifizierte Penetrationstester (Certified Ethical Hacker)
  • Einbindung von Penetrationstest als externe Audits im Rahmen eines ISMS nach ISO 27001
  • DIN EN ISO 9001 zertifiziertes Qualitätsmanagement

 

Fordern Sie unseren kostenlosen Beispielbericht an: wir zeigen Ihnen, wie wir unseren Auditbericht aufbauen und exemplarisch, was er beinhaltet. Damit erhalten Sie einen Einblick in die Aussagekraft unserer Dokumentation und können unsere Arbeit bereits im Vorfeld einschätzen!

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Sprechen Sie uns an, wir empfehlen Ihnen die für Sie sinnvollen Penetrationstest - Module und erklären diese in unserer kostenlosen Leistungsbeschreibung.

 Bitte senden Sie mir den Beispielbericht

Haben Sie besondere Wünsche oder Anforderungen?