Penetrationstests

Welchen Schaden könnte ein Hacker bei Ihnen anrichten? Bietet Ihre Firewall-Architektur ausreichend Schutz? Welche Ihrer Webanwendungen ermöglicht mehr als Sie glauben? Welche Information geben Ihre Mitarbeiter „freiwillig“ an Unbefugte?

In einem funktionierenden Informationssicherheitsmanagementsystem (ISMS) müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. Die klassischen Einfallstore sind in unzureichend gepflegten Netzwerk- und Betriebssystemkonfigurationen zu finden, während Webanwendungen (oftmals mit Zugriff auf interne Datenbanken) ein hohes Schadenspotenzial aufweisen. Dagegen sind Mitarbeiter völlig ohne Hackerwissen „angreifbar“, sie können unter Umständen sehr sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben. Damit stehen Sie vor der Herausforderung, diese auftretenden Risiken einzuschätzen und passende Gegenmaßnahmen zu ergreifen.

Unsere Leistungen

Wir verstehen uns als „Ethical Hacker“ und nutzen die Tools und Methoden wie „bösartige“ Hacker, nur mit dem Ziel, die gefundenen Lücken zu schließen. Unsere Penetrationstests gibt es in verschiedenen Varianten und Tiefegraden, sie werden permanent weiterentwickelt und basieren auf nationalen und internationalen Standards. Die Qualität unserer Prozesse ist dabei nach DIN EN ISO 9001:2008 zertifiziert. CISA-Horizontal-175x69

Die Auswahl der sinnvollen Module stimmen wir im Vorfeld mit Ihnen ab, auch die Erstellung eines Auditkonzepts zur Planung von derartigen Tests ist Teil unserer Leistungen. Darin werden die durchzuführenden Tests in ihrem Umfang und Detailgrad im Vorfeld geplant, Anforderungen an die Auditoren gestellt und Erwartungen an den Auditbericht definiert. Somit sind die Penetrationstests Bestandteil Ihres ISMS nach ISO27001:2013 bzw. BSI.

Als Ergebnis erhalten Sie einen umfangreichen und aussagekräftigen Auditbericht mit einer Einschätzung der Risiken und Handlungsempfehlungen. Diese Risikobewertung ist ein wichtiger Bestandteil unserer Dokumentation, dabei werden international anerkannte Datenbanken (Risk Scores) zugrunde gelegt. Wir erklären Ihnen auch, wie wir zu diesen Ergebnissen gelangt sind. Die Maßnahmenempfehlungen der relevanten BSI-Bausteine werden hinsichtlich ihres Umsetzungsstatus bewertet und dokumentiert. Die Ergebnisse unseres Penetrationstests können damit unmittelbar in ein Informationssicherheitsmanagementsystem (BSI oder ISO27001) einfließen.

Auf Wunsch überprüfen wir die Wirksamkeit der getroffenen Gegenmaßnahmen nach deren Umsetzung bzw. in regelmäßigen Abständen. Damit stellen wir sicher, dass auch bei Änderungen Ihrer IT-Landschaft die Sicherheit gewährleistet wird.

Werkzeuge

Dabei nutzen wir eine Reihe unterschiedlichster OpenSource und kommerzieller Tools bei unseren Penetrations-Tests, wie zum Beispiel:

Wireshark
Discover
nmap
OWASP
NESSUS
Acunetix Suite
BURP Suite
Nikto Web Scanner
Verschiedene Tools zum Scannen von CMS Systemen (u.a. WPscan, Joomscan) etc.
ExploitDB
CVE Details
Rapid7
Microsoft Technet
Metasploit Framework
SQLMap
selbst entwickelte Scripte und Tools
Brainware – DAS WICHTIGSTE – also unser Wissen und unsere Erfahrung unserer Security-Consultants

Weitere Tools und Methoden setzen wir in Abhängigkeit der jeweiligen Anforderungen ein (z.B. beim Thema Social Engineering).

Web-Pentest
Infrastruktur-Pentest
Code Review
Social Engineering

Penetrationstest von Web-Anwendungen

Webanwendungen sind mittlerweile ein fester Bestandteil in jeder IT-Umgebung. Da diese Anwendungen oftmals weitreichende Berechtigungen auf interne Informationen besitzen, eröffnen sie den Unternehmen eine neue Welt, die jedoch nicht ohne Gefahren ist. Diese Gefahren entstehen durch Angreifer, die bekannte Schwachstellen in Webanwendungen ausnutzen und sich damit Zugriff auf interne Ressourcen (zum Beispiel Datenbanken) ermöglichen.

Wir führen unsere Audits basierend auf etablierten Standards durch:

Open Web Application Security Project
Web Application Security Consortium
Bundesamt für Sicherheit in der Informationstechnik

Prüfung von Web-Anwendungen (Webshops, Datawarehouse, CRM, ERP, Webportale etc.) aus Sicht externer Angreifer:

Identifizierung von Schwachstellen (Google Hacking, Bug Reports, Security Advisors, OWASP Top10 etc.)
Verifizierung aktuellster Schwachstellen (SQL Injection, XSS Cross Site Scripting, Session Hijacking, Drive by Downloads etc.)
Aufdecken von Schwachstellen durch fehlerhafte Prozessabläufe in der Webanwendung (Insufficient Process Validation)
Möglichkeiten für automatisierte Angriffe (z. Bsp. Versand von eMails, Erstellen von Accounts etc.) durch Bots (Insufficient Anti Automation)
Überprüfung von Softwarenentwicklungen (Code Review)

Nicht aktualisierte Content Management Systeme (CMS) sind ein typisches Beispiel für derartige Einfallstore. Sie bieten eine einfache und elegante Lösung, eine Webpräsenz zu entwickeln und redaktionell zu pflegen. Oft wird jedoch die Sicherheit zu Gunsten der einfachen Installation und Konfiguration vernachlässigt, da sich auch IT-ferne Abteilungen wie z.B. das Marketing mit der Pflege der Webpräsenz beschäftigen müssen.

Wir überprüfen u.a.

Joomla
Drupal
iKiss
Typo3
WordPress
Infopark CMS Fiona
CMS Foundation (RedDot)
PHP Nuke
Plone

Penetrationstest von Infrastruktur- und Serverkomponenten

Aktuelle Zahlen weisen darauf hin, dass die Zahl der Angriffe über das Internet stetig zunimmt. Ziel sind dabei zum Einen die Komponenten Ihres Internetzugangs, aber auch die internen Netzwerk- und Serversysteme.

Identifizierung aktuellster Schwachstellen in Routern, Switches, Firewalls, Betriebssystemen etc. von innen oder außen
Möglichkeiten zum Ausnutzen der gefundenen Schwachstellen (ARP Poisoning, DHCP Hijacking, Brute Force Passwort-Angriffe, Denial of Service, DNS Poisoning)
Überprüfung der WLAN-Sicherheit (Funkreichweite, Verschlüsselung, Zugriffsmöglichkeiten, Vortäuschen von falschen Access Points etc.)

Überprüfung von Arbeitsplätzen:

Wir versuchen, Angriffe gegen das Netzwerk mittels eines Standard-Arbeitsplatzes durchzuführen. Zusätzlich prüfen und dokumentieren wir die sichere Konfiguration des Arbeitsplatzes anhand von Checklisten (ausgehend von den passenden BSI-Bausteinen der Grundschutzkataloge). Damit lassen sich u.a. die Folgen von Diebstahl von Endgeräten besser abschätzen.

Unsere Durchführung basiert auf etablierten Standards:

Open Source Security Testing Methodology Manual (OSSTMM)
Bundesamt für Sicherheit in der Informationstechnik (BSI)

Code Review

Um Informationssicherheit bereits in der Softwareentwicklung – insbesondere bei der Entwicklung von Apps für Mobile Devices (Android, iOS, BlackBerry, Windows Phone) – zu berücksichtigen, sollten regelmäßige Code Reviews Bestandteil eines Entwicklungsprozesses sein. Der entwickelte Code kann über einen gesicherten Cloud-Service bereitgestellt werden. Innerhalb von 24 Stunden wird der Code

ABAP
ASP.NET
C/C#/C++
Java
PHP
Python usw.

automatisch und von Software-Entwicklern analysiert und ein Ergebnisbericht zur Verfügung gestellt. Der Bericht wird von Entwicklern vor der Rückgabe geprüft und bearbeitet.

Audit des Sicherheitsbewusstseins der Mitarbeiter

Ohne jegliches technisches Hackerwissen lässt sich das „HumanOS“ – die Mitarbeiter – „angreifen“. Gerade im Rahmen von Wirtschaftsspionage erschleichen sich die Täter häufig den Zugang zu Gebäuden und Firmenrechnern oder sie befragen Mitarbeiter um an die gewünschten Informationen zu gelangen. Im Rahmen unserer Social Engineering – Projekte auditieren wir das vorhandene Sicherheitsbewusstsein bei den Mitarbeitern und die Einhaltung der Sicherheitsrichtlinien. Die – vollständig anonymisierten – Ergebnisse sind ideale Bestandteile einer Security Awareness Kampagne.

Computerbasiert
- Phishing Mails
- mobile Datenträger (USB Sticks)
- Umgang mit Social Media
- manipulierte Websites etc.

Persönlich
- Telefonate oder Besuche unter einem bestimmten Vorwand (Cover Story)
- „Dumpster Diving“ (Durchsuchen von Mülltonnen)
- Begehungen von Gebäuden etc.

Mitarbeitersensibilisierung

Nutzen Sie die Präsentation der (vollständig anonymisierten) Ergebnisse vor den Mitarbeitern bzw. der Leitungsebene, um das Sicherheitsbewusstsein zu erhöhen und an die Einhaltung von Vorgaben und Richtlinien zu appellieren.

Ihre Vorteile

Aufdeckung vorhandener Schwachstellen
Standardkonforme Auditierung
Aussagekräftiger und verständlicher Ergebnisbericht mit Risikoeinschätzung
regelmäßige Überprüfungen (z. Bsp. monatlich)
Zertifizierte Penetrationstester (Certified Ethical Hacker)
Einbindung von Penetrationstest als externe Audits im Rahmen eines ISMS nach ISO 27001
DIN EN ISO 9001 zertifiziertes Qualitätsmanagement

Fordern Sie unseren kostenlosen Beispielbericht an: wir zeigen Ihnen, wie wir unseren Auditbericht aufbauen und exemplarisch, was er beinhaltet. Damit erhalten Sie einen Einblick in die Aussagekraft unserer Dokumentation und können unsere Arbeit bereits im Vorfeld einschätzen!

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Sprechen Sie uns an, wir empfehlen Ihnen die für Sie sinnvollen Penetrationstest - Module und erklären diese in unserer kostenlosen Leistungsbeschreibung.

Ihr Ansprechpartner

Alexander Nolte

+49 5251 1652-212alexander.nolte@neam.de

Nächste Schulungen

29.05.2018
Certified ISO 27001 Foundation
04.06.2018
IT-Risikomanagement
04.06.2018
Tool-Unterstützung für BSI oder ISO Projekte
04.06.2018
Certified ISO 27001 Lead Implementer
05.06.2018
BSI oder ISO 27001-Projekte mit verinice

Blogartikel

Beiträge aus dem Bereich Penetrationstests

09.11.2017 |von Florian BombachSchulung: Infrastruktur-Penetrationstest in Paderborn

Am 27. und 28. November 2017 findet in Paderborn unsere nächste Schulung zur Durchführung von Penetrationstests statt. Sie lernen die […]

27.06.2017 |von Kevin BublitzSocial Pentest mit LUCY beim Sec Meetup in Kassel

Seit geraumer Zeit sind wir von neam IT-Services bei den Security Meetups in Kassel durch unseren Security Consultant Hans Honi […]

01.06.2017 |von Kevin BublitzKabinett beschließt Verordnung zur IT-Sicherheit

Am Mittwoch hat die Bundesregierung der vom Bundesminister des Innern, Dr. Thomas de Maizière, vorgelegten Änderung der Verordnung zur Bestimmung Kritischer […]