Penetrationstests - Sicherheitslücken schließen

Qualifizierte Penetrationstests von IT-Infrastruktur, Systemen, Anwendungen, Produkten oder vernetzten Lösungen helfen, organisatorische und technische Sicherheitslücken zu identifizieren und zu schließen. Dabei ist die Wahl der passenden Angriffssimulation und der richtigen Ziele entscheidend. Auch bereits umgesetzte IT-Security Maßnahmen können dadurch auf Ihre Wirksamkeit geprüft werden. Schwachstellenidentifikation sollte nicht erst durch einen Angreifer geschehen.

Unser Pentest Team verfügt über langjährige Erfahrung und geht zielgerichtet und kundenorientiert vor. Sie erhalten von uns eine Zusammenfassung für Führungskräfte, einen detaillierten, technischen Bericht für Ihre IT-Abteilung und eine faktenbasierte Risikoanalyse der entdeckten Sicherheitslücken. Unsere Fachteams aus Informationssicherheit und IT-Services unterstützen dabei, die gefundenen Schwachstellen zu beheben.

Experts in ...

Web
Applikation

Ausnutzen von Schwachstellen in Webanwendung oder APIs, um Zugriff auf interne Ressourcen zu erhalten

Infrastruktur
INTERN & EXTERN

Überprüfen der internen und externen IT-Infrastruktur – zur Analyse und Minimierung der Angriffsfläche

Social Engineering

Auditieren des Sicherheitsbewusstseins der Mitarbeiter gegenüber Social Engineering Angriffen.

Mobile Applikation

Kontrolle der sicheren Verarbeitung sensibler Informationen in APPs nach dem OWASP Mobile Security Testing Guide.

Red Teaming

Methodenübergreifende Simulation realer Angriffsszenarien.

IOT

Überprüfen von IoT-Geräten und allen zugehörigen Komponenten (Firmware, Webservices, Konfigurationen).

Vulnerability

Auffinden von Schwachstellen und bewerten des Patchmanagements mit Hilfe automatisierter Scans. Einmalig oder in regelmäßigen Abständen.

IKFZ

Überprüfen der IKFZ-Umgebung nach Mindestsicherheitsanforderung (MSADP) des KBAs.

Pentest Konfigurator

In 2 Minuten zum Angebot für Ihren individuellen Penetrationstest

Ihr Ansprechpartner

Alexander Nolte

Datenschutz*

Vorteile eines Penetrationstests

Der Penetrationstest (Pentest) ist ein kontrollierter, realitätsnaher Angriff auf Netzwerke, Systeme, Applikationen, um Schwachstellen zu identifizieren, die durch potenzielle Angreifer genutzt werden können. Überprüfen Sie jetzt proaktiv das Sicherheitslevel Ihrer Organisation.

Give me 5 - Q & A

Warum sollte ich einen Pentest machen?

Schutz von Daten und geistigem Eigentum, Schutz vor Image-Verlust, Erfüllung gesetzlicher Anforderungen; Schutzbedarf berücksichtigen;

Warum sollte ich Opfer eine Phishing Attacke sein?

Phishing ist eine der meistgenutzten Angriffsarten. Angreifer benötigen hier kein tiefes technisches Wissen und es lässt sich leicht automatisieren. Hier wird nicht ein einzelner Mitarbeiter angegriffen, sondern Erfolg über die Menge und Breite generiert. 

 

So viele mögliche Schwachstellen, machen Pentests da Sinn?

Um die Angriffsfläche zu minieren und die Chance auf einen erfolgreichen Angriff zu verringern. Nicht jede Schwachstelle endet in sofortiger Übernahme des Systems. Viel mehr werden Schwachstellen auch in Kombination genutzt, um dieses Ziel zu erreichen.

Was sind typische Angriffsvektoren?

Klassische Einfallstore sind unzureichend gepflegte Netzwerk- und Betriebssystemkonfigurationen, Webanwendungen oder auch Mitarbeiter, die sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben.

Warum Testintervalle für Pentests?

Halbjährlich/Jährlich
Security ist ein Prozess. Schwachstellen werden jeden Tag gefunden und nur teilweise sind diese sofort öffentlich bekannt. Ein Schwachstellen Management und Monitoring + regelmäßige Pentests, können Ihnen helfen die Angriffsfläche so gering wie nur möglich zu halten.

Warum sollte ich einen Pentest machen?

Schutz von Daten und geistigem Eigentum, Schutz vor Image-Verlust, Erfüllung gesetzlicher Anforderungen; Schutzbedarf berücksichtigen;

Warum sollte ich Opfer eine Phishing Attacke sein?

Phishing ist eine der meistgenutzten Angriffsarten. Angreifer benötigen hier kein tiefes technisches Wissen und es lässt sich leicht automatisieren. Hier wird nicht ein einzelner Mitarbeiter angegriffen, sondern Erfolg über die Menge und Breite generiert. 

 

So viele mögliche Schwachstellen, machen Pentests da Sinn?

Um die Angriffsfläche zu minieren und die Chance auf einen erfolgreichen Angriff zu verringern. Nicht jede Schwachstelle endet in sofortiger Übernahme des Systems. Viel mehr werden Schwachstellen auch in Kombination genutzt, um dieses Ziel zu erreichen.

Was sind typische Angriffsvektoren?

Klassische Einfallstore sind unzureichend gepflegte Netzwerk- und Betriebssystemkonfigurationen, Webanwendungen oder auch Mitarbeiter, die sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben.

Warum Testintervalle für Pentests?

Halbjährlich/Jährlich
Security ist ein Prozess. Schwachstellen werden jeden Tag gefunden und nur teilweise sind diese sofort öffentlich bekannt. Ein Schwachstellen Management und Monitoring + regelmäßige Pentests, können Ihnen helfen die Angriffsfläche so gering wie nur möglich zu halten.

Pentests auf Basis internationaler Normen & Standards

Wir orientieren uns an weltweit anerkannten Standards und integrieren uns in ein vorhandenes Informationssicherheitsmanagementsystem (ISMS).  In einem funktionierenden ISMS müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. 

Wir sind ISO 9001 und ISO 27001 zertifiziert. 

Zitat

Ablauf eines neam Penetrationstest

Aufgrund der Individualität eines jeden Pentests begleiten unsere Pentest-Experten Sie in jeder der 6 Phasen mit umfangreichem Wissen und Erfahrung.

1. Kickoff

  • Abstimmung der einzelnen Leistungen
  • Erläuterung der Vorgehensweise
  • Definition des Testzeitraums
  • Festlegung der Bedingungen während des Tests

2. Penetrationstest

  • Durchführung des Penetrationstest
  • Analyse von Schwachstellen und Sicherheitslücken

3. Dokumentation

  • Dokumentation der gefundenen Schwachstellen
  • Risikoeinschätzung 
  • Aufbereitung des Managementberichtes

4. Präsentation & Maßnahmen-Workshop

  • Erläuterung der gefundenen Schwachstellen
  • Q&A Runde
  • Erstellung des Maßnahmenplans

5. Umsetzung Maßnahmenplan

  • Interne Umsetzung oder mit Begleitung der neam Security-Experten

6. Nachüberprüfung

  • Nachträgliche Kontrolle ob der Maßnahmenplan ausreichend war

Termine zu unseren Pentest Schulungen

Montag, April 4, 2022 April 4
Montag, Mai 2, 2022 Mai 2
Mittwoch, Mai 4, 2022 Mai 4
Montag, September 5, 2022 September 5
Keine Veranstaltung gefunden
Weitere anzeigen

Flyer - Schulungen & Workshops

Online, Präsenz und Inhouse zu Informationssicherheit & IT-Services

FAQ

Ein Penetrationstest (kurz: „Pentest“) soll die Sicherheit eines IT-Systems überprüfen. Dabei lässt sich dieser grundsätzlich in den klassischen Penetrationstest (Infrastruktur-Pentest), dem Web-Application-Penetrationstest (Web-Pentest), Social-Engineering und dem WLAN-Test unterteilen. Ein wichtiges Entscheidungskriterium ist dabei die Perspektive, aus der die Tests durchgeführt werden. Da die Angreifer unterschiedliche Motivationen und Möglichkeiten besitzen, können verschiedene Szenarien durchgespielt werden.

BLACK-BOX-ANSATZ

Bei diesem Test soll ein realistischer Angriff eines Hackers simuliert werden. Der Penetrationstester erhält beispielsweise nur die URL der Webanwendung bzw. die IP-Adresse des IT-Systems. Die darüber hinaus benötigten Informationen werden in frei zugänglichen Informationsquellen recherchiert.

WHITE-BOX-ANSATZ

Der White-Box-Test stellt das Gegenstück zum Black-Box-Test dar. Hier erhält der Penetrationstester alle Informationen und Einstellungen über die zu testende Webanwendung bzw. IT-System. Dieser Test soll den Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit Detailkenntnissen simulieren.

GREY-BOX-ANSATZ

Der Grey-Box-Test simuliert einen systematischen Angriff, bei dem ein außenstehender Hacker mit einem Insider des zu betrachtenden IT-Systems zusammenarbeitet. Der Insider verfügt dabei über einen begrenzten Zugang zum System, sowie eingeschränkte Rechte. In diesem Fall erhält der Penetrationstester nur bestimmte Informationen (Infrastruktur, Abwehrmechanismen,…) über das zu testenden IT-System.

Um die Vorgehensweise der unterschiedlichen Tests näher zu durchleuchten, werden im Folgenden die einzelnen Test-Module geschildert.

Ist die Vorbereitungsphase abgeschlossen, beginnen die Penetrationstester mit der Phase der Informationsbeschaffung. Hier werden in frei zugänglichen Informationsquellen so viele Informationen wie möglich über die zu testende Anwendung gesammelt. Auch das sogenannte „Google-Hacking“ kommt hier zum Einsatz, bei dem spezielle Google-Suchparameter verwendet werden, um beispielsweise geschützte Verzeichnisse der Anwendung ausfindig zu machen.

IDENTIFIKATION DER ANGRIFFSVEKTOREN

Sind alle benötigten Informationen recherchiert und gesammelt worden, werden nun mögliche Angriffsvektoren, also Eintrittspunkte für einen Angreifer, identifiziert. Dazu werden die beschafften Informationen ausgewertet und nach bekannten Schwachstellen hin untersucht.

ANGRIFFSPHASE – AUTOMATISIERT

Nun beginnt die Angriffsphase, in der die zu testende Anwendung mit automatisierten Angriffen auf Sicherheit und Zuverlässigkeit geprüft wird. Sogenannte „Brute-Force-Angriffe“ (Durchprobieren aller Schlüssel) oder Wörterbuch-Angriffe (Angriff mit einer Passwortliste) überprüfen die Stärke bzw. Sicherheit der verwendeten Passwörter.

ANGRIFFSPHASE – TEILAUTOMATISIERT UND MANUELL

Die meisten Tests bzw. Angriffe werden jedoch manuell durchgeführt, da die jeweiligen Schwachstellen durch ihren hohen Individualisierungsgrad nicht automatisiert getestet werden können. Ein besonderes Augenmerk beim Testen wird auf die sogenannten „OWASP Top10“ gelegt. OWASP steht für „Open Web Application Security Project“ und ist eine Organisation, die die Verbesserung der Sicherheit im Internet zum Ziel hat. Die OWASP Top10 werden regelmäßig aktualisiert und bezeichnen die zehn gefährlichsten und meist genutzten Sicherheitslücken von Webanwendungen.

 

Auch bei einem Infrastruktur-Pentest müssen Informationen über das zu testende IT-System gesammelt werden. Hier werden die nötigen Informationen jedoch durch das sogenannte „Portscanning“ gewonnen.  Diese werden dazu genutzt, um die in einem Netz aktiven IT-Systeme ausfindig zu machen und die dort angebotenen Dienste (Ports) zu identifizieren. Die beim Portscan erkannten Dienste werden anschließend durch einen Schwachstellen-Scan auf ihre Anfälligkeit hin untersucht.

Der ANGRIFF

Durch verschiedene Passwort-Angriffe, wie sie auch beim Web-Pentest durchgeführt werden, wird die Sicherheit der verwendeten Passwörter überprüft. Spezielle Exploits (Ausnutzung von Schwachstellen) kommen zum Einsatz, um vorhandene Sicherheitslücken aufzudecken.

Die Port- und Schwachstellenscans können auch vor Ort über das Intranet durchgeführt werden. Die Unterschiede beim Intranet-Scan bestehen darin, dass keine Internet-Firewall dazwischen geschaltet i

Um Unbefugte daran zu hindern in das Firmen-Netzwerk einzudringen, ist eine sichere Einrichtung des WLANs essentieller Bestandteil. Dabei spielen zwei wichtige Faktoren eine Rolle. Zum einen ist die Zugänglichkeit der Access-Points sowie des WLAN-Routers entscheidend. Darüber hinaus bietet nur eine starke Verschlüsselung und ein aktuelles Authentifizierungsverfahren genügend Schutz. Die Zugänglichkeit der Access-Points und WLAN-Router sollte nur für bestimmtes Personal und nicht für die Öffentlichkeit gewährleistet werden. Die eingesetzte Verschlüsselung sowie die verwendeten Passwörter werden auf ihre Aktualität bzw. Sicherheit hin überprüft.

Social Engineering wird von vielen Experten als die effektivste und effizienteste Möglichkeit zur Überwindung von Sicherheitstechnologien angesehen. Grundlage dieser raffinierten Methode ist die Manipulation von Menschen mit dem Ziel, durch Sie an sensible Daten zu gelangen und unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen.

Es sind Klassiker, aber stellen Sie sich folgende Fragen gewissenhaft?

  • Der USB-Stick, den Sie gerade nutzen möchten, wo ist der eigentlich her?
  • Super, dass Sie zufällig über ein soziales Netzwerk jemanden kennenglernt haben, der exakt in der gleichen Branche tätig ist. So ein Austausch unter „Kollegen“ ist doch immer eine gute Sache. Oder?
  • Die Aushilfe vom Paket-Service – war das Logo auf der Jacke nicht irgendwie anders als gestern? Na was soll es, wird schon passen?
  • Wer war die junge Dame, die zuletzt den Fahrstuhl verlassen hat und der Sie eben die Tür aufgehalten haben? Hatte Sie überhaupt eine Zugangskarte?

Diese Auflistung lässt sich vermutlich bis in alle Ewigkeiten fortführen. Was sie aber in jedem Fall klar zum Ausdruck bringt. Menschen neigen gerade in Stresssituation oder Momenten des Leichtsinns dazu, auf den ersten Blick unkritische Sachverhalte nicht aus mehreren Blickwinkeln zu beatrachten. Angreifer wären schön blöd, wenn sie daraus keinen Nutzen ziehen würden.

Social Engineers wissen um bestimmte Phänomene wie Reziprozität, Autoritätsgehorsam oder Verantwortungsdiffusion und richten ihre Handlungen danach aus. Sie nutzen die Emotionen, Motive und Bedürfnisse ihrer Opfer, um sie zu manipulieren wie z. B. Angst, Vertrauen, Unsicherheit, Scham, Konfliktvermeidung, Hilfsbereitschaft, Kunden­freundlichkeit, Wunsch ein guter Teamplayer zu sein.

Die Vorgehensweise der Angreifer folgt meist einem bestimmten Muster

Mit Recherchen im Umfeld von Unternehmen, Behörden und Organisationen spionieren Social Engineers auf Basis öffentlich zugänglicher Datenquellen das persönliche Umfeld ihres Opfers aus. Soziale Netzwerke und Firmenwebseiten geben hier in der Regel eine gute Möglichkeit einer umfangreichen Recherche über die Zielpersonen. Der Täter nutzt diese Informationen, um potentielle Opfer zu identifizieren oder mehr über eine bereits gewählte Zielperson zu erfahren.

Eine Möglichkeit zum Schutz gegen Social Engineering Angriffe ist die Sensibilisierung, Schulung und Training der Mitarbeiter im Umgang mit Informationssicherheit. Kernaspekte der Informationssicherheit sind die Aufrecht­erhaltung der Verfügbarkeit, Integrität und der Vertraulichkeit von Informationen.

Der Umgang mit Informationssicherheit ist Teil jeder Unternehmenskultur und daher von großer Bedeutung. Die gesamte Organisation und die Mitarbeiter sollten in die Maßnahmen zur Informationssicherheit mit einbezogen werden.

Wir bieten durch unsere erfahrenen Penetrationstester spezielle Module zum Bereich Social Engineering an. Mit Phishing-Attacken oder z. B. dem USB-Drop testen wir Ihr ISMS auf diese „Lücke“ hin durch eine realitätsnahe Simulation.

Unser Ziel ist es, die Schwachstellen im ISMS unserer Kunden zu finden, um durch Aufklärung und Schulung zukünftige Angriffe zu verhindern oder zumindest zu erschweren. Dabei sind wir uns bewusst, dass es gerade im Bereich Social Engineering immer wieder möglich sein wird, einen erfolgreichen Angriff auszuführen.

Der Social Engineer gehört nicht zur Gemeinschaft der Ethical Hacker, sondern nutzt positive Eigenschaften wie Hilfsbereitschaft und Vertrauen aus, um Menschen für seine Zwecke zu manipulieren. Eine Unternehmenskultur von Misstrauen und Angst halten wir dennoch nicht für erstrebenswert.

Im Gegenteil, unser Ziel ist es, die Mitarbeiter in Ihrem Unternehmen für Social Engineering Attacken zu sensibilisieren und das Bewusstsein für Informationssicherheit zu stärken, damit Ihre Mitarbeiter besser informiert und Ihre Daten in Zukunft sicherer sind.

Das entscheidende Kriterium: Wer führt den Test durch? Eine gute Bewertungsbasis bieten hierfür die „gängigen“ Zertifizierungen (zum Beispiel Certified Ethical Hacker oder Offensive Security Certified Professional ) oder in einer Kombination mit einer Referenzliste. Idealerweise enthält die Referenzliste anrufbare Ansprechpartner, die telefonisch Auskunft über die Qualität des durchgeführten Penetrationstests geben können.

DOKUMENTATION

Das Ergebnis. Daraus müssen Sie Rückschlüsse ziehen können, welche Maßnahmen sinnvoll und angemessen die identifizierten Schwachstellen eliminieren und das daraus resultierende Risiko verringern können. Achten Sie auf eine verständliche Präsentation, Erklärung und Bewertung der Risiken. Nicht jede gefundene Schwachstelle bedeutet ein Risiko für Sie! Fordern Sie Beispieldokumentationen an, um sich ein Bild über das zu erwartende Ergebnis machen zu können. Ein ausgedrucktes Protokoll eines Schwachstellenscanners hilft Ihnen nur wenig, Sie sollten aus der Dokumentation erkennen können, wie das festgestellte Ergebnis erreicht wurde.

ANGEBOTSAUFBAU

Transparenz im Vorfeld. Verstehen Sie, wie der angebotene Penetrationstest durchgeführt werden soll? Machen Sie sich im Vorfeld Gedanken, inwiefern Sie Ihre IT-Infrastruktur, Webanwendungen, IT-Arbeitsplätze, LANs und WLANs auditieren lassen wollen. Ist eventuell eine Überprüfung des Sicherheitsbewusstseins Ihrer Mitarbeiter angebracht? Passt der im Angebot beschriebene Penetrationstest zu Ihren Sicherheitszielen? Werden Sie auf die rechtlichen Voraussetzungen hingewiesen? Die Test-Module sollten soweit abgestimmt sein, dass sie die Angriffsmöglichkeiten abdecken, die große Schäden verursachen können. Lassen Sie sich vom Anbieter einen Nachtest vorschlagen, mit dem Sie – nachdem die Gegenmaßnahmen getroffen wurden – die Wirksamkeit der umgesetzten Maßnahmen geprüft werden.

TOOLS

Prüfen Sie, ob aus dem Angebot bzw. den Produktinformationen hervorgeht, welche Tools eingesetzt werden sollen. In der Regel sollte hier eine Kombination von mehreren Werkzeugen verwendet werden.

Klären Sie zudem im Vorfeld ab, in welchem Umfang vor dem Penetrationstest dem Dienstleister Informationen bereitgestellt werden, also ob der Test als Blackbox-, Greybox- oder Whitebox-Penetrationstest durchgeführt werden soll. Oftmals empfiehlt sich der Greybox-Ansatz, da hier die Informationen über den Prüfungsgegenstand übermittelt werden, so dass der Penetrationstester effizient arbeiten kann.

Unterstützt Sie der Anbieter im Vorfeld bei Durchführungsfragen, zum Beispiel wer vorab zu informieren ist (Betriebsrat, Datenschutz, externer Dienstleister, Provider usw.)? Legen Sie gemeinsam mit Ihrem Dienstleister fest, wann die Arbeiten erfolgen und wer zu dieser Zeit zur Verfügung steht.

UND DANACH?

Auch nach der erfolgten Durchführung eines Penetrationstest sollte ein Anbieter in der Lage sein, Sie bei der Verbesserung Ihres Informationssicherheitsmanagementsystems (ISMS) zu unterstützen, Begriffe wie ISO27001 bzw. BSI Grundschutz sind wichtig für eine ganzheitliche Betrachtung des Themas „Informationssicherheit“. Schließlich werden im Rahmen von Penetrationstests nur Teile der Informationssicherheit geprüft.

Success Story

Projekte zur Informationssicherheit und zu unseren IT-Services.

News & Events

Event

Security Escape Room

Als Mitglied einer White-Hat Hacker Gruppe wurden Sie beauftragt, einen Penetrationstest in einem Unternehmen durchzuführen. Ihre Aufgabe ist es, die Zielperson zu identifizieren, sich Zugang zum Netzwerk zu verschaffen und die geheimen Unterlagen zu entwenden. Anschließend helfen Sie dabei, mögliche Maßnahmen zur Sicherung des Netzwerkes durchzusetzen.

Weiterlesen »