Penetrationstests

Welchen Schaden könnte ein Hacker bei Ihnen anrichten? Bietet Ihre Firewall-Architektur ausreichend Schutz? Welche Ihrer Webanwendungen ermöglicht mehr als Sie glauben? Welche Information geben Ihre Mitarbeiter „freiwillig“ an Unbefugte?

In einem funktionierenden Informationssicherheitsmanagementsystem (ISMS) müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. Klassische Einfallstore sind unzureichend gepflegte Netzwerk- und Betriebssystemkonfigurationen, Webanwendungen oder auch Mitarbeiter, die sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben.

Angebot anfordern

Pentest-Konfigurator – in 2 Min. zum Angebot zum Konfigurator

Unsere Leistungen

Wir verstehen uns als „Ethical Hacker“ und nutzen die Tools und Methoden wie „bösartige“ Hacker, nur mit dem Ziel, die gefundenen Lücken zu schließen. Unsere Penetrationstests gibt es in verschiedenen Varianten und Tiefegraden, sie werden permanent weiterentwickelt und basieren auf nationalen und internationalen Standards. Die Qualität unserer Prozesse ist dabei nach DIN EN ISO 9001, unsere eigene Informationssicherheit ist nach ISO 27001 zertifiziert. CISA-Horizontal-175x69

Die Auswahl der sinnvollen Module stimmen wir im Vorfeld mit Ihnen ab, auch die Erstellung eines Auditkonzepts zur Planung von derartigen Tests ist Teil unserer Leistungen. Darin werden die durchzuführenden Tests in ihrem Umfang und Detailgrad im Vorfeld geplant, Anforderungen an die Auditoren gestellt und Erwartungen an den Auditbericht definiert.

Wir berücksichtigen dabei auch die Anforderungen spezieller Standards, wie z. Bsp. PCI DSS für Zahlungssysteme, die des Kraftfahrtbundesamtes (KBA) für die Kfz-Zulassung (iKfz MSADP) oder digitaler Medizinprodukte. Somit sind die Penetrationstests Bestandteil Ihres ISMS nach ISO 27001:2017 bzw. BSI IT-Grundschutz und Teil Ihrer internen Audits.

Als Ergebnis erhalten Sie einen umfangreichen und aussagekräftigen Auditbericht mit einer Einschätzung der Risiken und Handlungsempfehlungen. Diese Risikobewertung ist ein wichtiger Bestandteil unserer Dokumentation, dabei werden international anerkannte Datenbanken (Risk Scores) zugrunde gelegt.

Wir erklären Ihnen auch, wie wir zu diesen Ergebnissen gelangt sind. Die Empfehlungen der relevanten BSI-Bausteine werden hinsichtlich ihres Umsetzungsstatus bewertet und dokumentiert. Die Ergebnisse unseres Penetrationstests können damit unmittelbar in ein Informationssicherheitsmanagementsystem (BSI oder ISO27001) einfließen.

Wir testen nicht nur und geben Empfehlungen. Wir setzen die empfohlenen Maßnahmen um bzw. unterstützen Sie dabei.

Auf Wunsch überprüfen wir die Wirksamkeit der getroffenen Gegenmaßnahmen nach deren Umsetzung bzw. in regelmäßigen Abständen. Damit stellen wir sicher, dass auch bei Änderungen Ihrer IT-Landschaft die Sicherheit gewährleistet wird.

Werkzeuge

Dabei nutzen wir eine Reihe unterschiedlichster OpenSource und kommerzieller Tools bei unseren Penetrations-Tests, wie zum Beispiel:

Wireshark
Discover
nmap
NESSUS
Acunetix Suite
BURP Suite
Nikto Web Scanner
Verschiedene Tools zum Scannen von CMS Systemen (u.a. WPscan, Joomscan) etc.
ExploitDB
CVE Details
Rapid7
Microsoft Technet
Metasploit Framework
SQLMap
selbst entwickelte Scripte und Tools
Brainware – DAS WICHTIGSTE – also unser Wissen und unsere Erfahrung unserer Security-Consultants

Weitere Tools und Methoden setzen wir in Abhängigkeit der Anforderungen des jeweiligen Penetrationstests ein (z.B. beim Thema Social Engineering).

Fordern Sie unseren kostenlosen Beispielbericht an: wir zeigen Ihnen, wie wir unseren Auditbericht aufbauen und exemplarisch, was er beinhaltet. Damit erhalten Sie einen Einblick in die Aussagekraft unserer Dokumentation und können unsere Arbeit bereits im Vorfeld einschätzen!

Web-Anwendung
Infrastruktur
Mobile Apps
Social Engineering

Penetrationstest von Web-Anwendungen

Webanwendungen sind mittlerweile ein fester Bestandteil in jeder IT-Umgebung. Da diese Anwendungen oftmals weitreichende Berechtigungen auf interne Informationen besitzen, eröffnen sie den Unternehmen eine neue Welt, die jedoch nicht ohne Gefahren ist. Diese Gefahren entstehen durch Angreifer, die bekannte Schwachstellen in Webanwendungen oder APIs ausnutzen und sich damit Zugriff auf interne Ressourcen (zum Beispiel Datenbanken) ermöglichen.

Wir führen unsere Audits basierend auf etablierten Standards durch:

Open Web Application Security Project (OWASP)
Web Application Security Consortium
Bundesamt für Sicherheit in der Informationstechnik

Penetrationstests von Web-Anwendungen (Webshops, Datawarehouse, CRM, ERP, Webportale etc.) aus Sicht externer Angreifer:

Identifizierung von Schwachstellen (Google Hacking, Bug Reports, Security Advisors, OWASP Top10 etc.)
Verifizierung aktuellster Schwachstellen (SQL Injection, XSS Cross Site Scripting, Session Hijacking, Drive by Downloads etc.)
Aufdecken von Schwachstellen durch fehlerhafte Prozessabläufe in der Webanwendung (Insufficient Process Validation)
Möglichkeiten für automatisierte Angriffe (z. Bsp. Versand von eMails, Erstellen von Accounts etc.) durch Bots (Insufficient Anti Automation)
Überprüfung von Softwarenentwicklungen (Code Review)

Nicht aktualisierte Content Management Systeme (CMS) sind ein typisches Beispiel für derartige Einfallstore. Sie bieten eine einfache und elegante Lösung, eine Webpräsenz zu entwickeln und redaktionell zu pflegen. Oft wird jedoch die Sicherheit zu Gunsten der einfachen Installation und Konfiguration vernachlässigt, da sich auch IT-ferne Abteilungen wie z.B. das Marketing mit der Pflege der Webpräsenz beschäftigen müssen.

Wir überprüfen u.a.

Joomla
Drupal
iKiss
Typo3
WordPress
Infopark CMS Fiona
CMS Foundation (RedDot)
PHP Nuke
Plone

Penetrationstests von Infrastruktur- und Serverkomponenten

Internet

Aktuelle Zahlen weisen darauf hin, dass die Zahl der Angriffe über das Internet stetig zunimmt. Ziel sind dabei zum Einen die Komponenten Ihres Internetzugangs, aber auch die internen Netzwerk- und Serversysteme.

Identifizierung aktuellster Schwachstellen in Routern, Switches, Firewalls, Betriebssystemen etc. von innen oder außen
Möglichkeiten zum Ausnutzen der gefundenen Schwachstellen (ARP Poisoning, DHCP Hijacking, Brute Force Passwort-Angriffe, Denial of Service, DNS Poisoning)
Überprüfung der WLAN-Sicherheit (Funkreichweite, Verschlüsselung, Zugriffsmöglichkeiten, Vortäuschen von falschen Access Points etc.)

Intranet

Wir versuchen, Angriffe gegen das Netzwerk von einem Ihrer Standard-Arbeitsplätze aus Sicht eines Mitarbeiters durchzuführen. Zusätzlich prüfen und dokumentieren wir die sichere Konfiguration des Arbeitsplatzes anhand von Checklisten (ausgehend von den passenden BSI-Bausteinen des IT-Grundschutz-Kompendiums). Damit lassen sich u.a. die Folgen von Diebstahl von Endgeräten besser abschätzen. Ergänzend prüfen wir die Angriffsmöglichkeiten, die Angreifer (z. Bsp. Gäste) in Ihrem Unternehmensnetzwerk haben. Typische Angriffsziele sind dabei Fileserver, AD-Domänencontroller, SharePoint- oder Exchange-Umgebungen.

Unsere Durchführung basiert auf etablierten Standards:

Open Source Security Testing Methodology Manual (OSSTMM)
Bundesamt für Sicherheit in der Informationstechnik (BSI)

Mobile Apps

Um Informationssicherheit bereits in der Softwareentwicklung – insbesondere bei der Entwicklung von Apps für Mobile Devices (Android und iOS) – zu berücksichtigen, sollten regelmäßige Pentests Bestandteil eines Entwicklungsprozesses sein.

ABAP
ASP.NET
C/C#/C++
Java
PHP
Python usw.

Wir prüfen dabei die grundsätzliche Art des Umgangs mit Daten in der App (Speicherung, Authentisierend der Benutzer etc), die möglichen Schwachstellen bei der regulären Nutzung der App (z. Bsp. Logik in der Anwendung, Rechteeinschränkung) und das Zusammenspiel mit den Systemen im Hintergrund (Backend APIs, Datenbanken etc). Unsere Penetrationstests für mobile Anwendungen basieren auf OWASP Mobile Top 10.

Social Engineering

Ohne jegliches technisches Hackerwissen lässt sich das „HumanOS“ – die Mitarbeiter – „angreifen“. Gerade im Rahmen von Wirtschaftsspionage erschleichen sich die Täter häufig den Zugang zu Gebäuden und Firmenrechnern oder sie befragen Mitarbeiter um an die gewünschten Informationen zu gelangen. Im Rahmen unserer Social Engineering – Projekte auditieren wir das vorhandene Sicherheitsbewusstsein bei den Mitarbeitern und die Einhaltung der Sicherheitsrichtlinien. Die – vollständig anonymisierten – Ergebnisse sind ideale Bestandteile einer Security Awareness Kampagne.

Computerbasiert
- Phishing Mails
- mobile Datenträger (USB Sticks)
- Umgang mit Social Media
- manipulierte Websites etc.

Persönlich
- Telefonate oder Besuche unter einem bestimmten Vorwand (Cover Story)
- „Dumpster Diving“ (Durchsuchen von Mülltonnen)
- Begehungen von Gebäuden etc.

Mitarbeitersensibilisierung

Nutzen Sie die Präsentation der (vollständig anonymisierten) Ergebnisse vor den Mitarbeitern bzw. der Leitungsebene, um das Sicherheitsbewusstsein zu erhöhen und an die Einhaltung von Vorgaben und Richtlinien zu appellieren.

Ihre Vorteile

Aufdeckung vorhandener Schwachstellen
Standardkonforme Auditierung (OWASP Top 10, OSSTMM etc)
Vorgehensweise nach BSI (u.a. gem. Studie „Durchführungskonzept für Penetrationstest“ des BSI)
Aussagekräftiger und verständlicher Ergebnisbericht mit Risikoeinschätzung
Ergebnispräsentation (Web Session oder persönlich vor Ort) nach Absprache
regelmäßige Überprüfungen in Absprache (z. Bsp. monatlich bei Begleitung von Softwareentwicklungen)
Zertifizierte Penetrationstester (Certified Ethical Hacker)
Einbindung von Penetrationstest als externe Audits im Rahmen eines ISMS nach ISO 27001
ISO 9001 zertifiziertes Qualitätsmanagement
ISO 27001 zertifizierte Informationssicherheit