Penetrationstest / Pentest

Mit Penetrationstests Cyber-Resilienz stärken & Standards setzen

Ein Penetrationstest, oft auch als “Pen-Test” oder ethisches Hacking bezeichnet, ist eine autorisierte simulierte Cyberangriff auf ein Computersystem, Netzwerk oder eine Anwendung, um Sicherheitslücken oder Schwachstellen zu identifizieren und zu bewerten. Das Ziel eines Penetrationstests ist es, festzustellen, wie weit ein böswilliger Angreifer in das getestete System eindringen könnte. Penetrationstests werden von spezialisierten Sicherheitsexperten durchgeführt und spielen eine wichtige Rolle in der Sicherheitsstrategie. Ein Penetrationstest (kurz: „Pentest“) soll die Sicherheit eines IT-Systems überprüfen. 

Warum sind Pentests Wichtig? Ziele und Vorteile

Es gibt so viele mögliche Schwachstellen, machen einzelne Tests da Sinn?

Ja, um die Angriffsfläche zu minieren und die Chance auf einen erfolgreichen Angriff zu verringern. Nicht jede Schwachstelle endet in sofortiger Übernahme des Systems. Viel mehr werden Schwachstellen auch in Kombination genutzt, um dieses Ziel zu erreichen.

Pentests sind entscheidend, um potenzielle Sicherheitslücken aufzudecken, bevor sie von bösartigen Hackern ausgenutzt werden können. Sie helfen Unternehmen dabei, ihre Systeme zu schützen, Compliance-Vorschriften einzuhalten und das Risiko vor Cyberangriffen zu minimieren.

Was sind typische Angriffsvektoren?

Klassische Einfallstore sind unzureichend gepflegte Netzwerk- und Betriebssystemkonfigurationen, Webanwendungen oder auch Mitarbeiter, die sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben.

Warum sollte ich einen Pentest machen?

Schutz von Daten und geistigem Eigentum, Schutz vor Image-Verlust, Erfüllung gesetzlicher Anforderungen; Schutzbedarf berücksichtigen;

Es gibt so viele mögliche Schwachstellen, machen einzelne Tests da Sinn?

Ja, um die Angriffsfläche zu minieren und die Chance auf einen erfolgreichen Angriff zu verringern. Nicht jede Schwachstelle endet in sofortiger Übernahme des Systems. Viel mehr werden Schwachstellen auch in Kombination genutzt, um dieses Ziel zu erreichen.

Wie tragen Pentests zur Umsetzung von NIS2 bei?

Die NIS2-Richtlinie (Netz- und Informationssicherheit) legt EU-weite Standards für die Cybersicherheit fest. Pentests sind ein wichtiger Bestandteil der NIS2-Compliance, da sie Unternehmen dabei unterstützen, ihre digitalen Infrastrukturen zu schützen und auf potenzielle Sicherheitsbedrohungen vorbereitet zu sein. Penetrationstests sind unverzichtbar, um die Sicherheit Ihrer Systeme zu gewährleisten. 

Penetrationatests trotz Angriffserkennung?

Pentests sind trotz vorhandener Angriffserkennungssysteme zwingend erforderlich, weil sie einen proaktiven Ansatz zur Identifizierung von Schwachstellen bieten, während Angriffserkennungssysteme reaktiv sind.

Insgesamt ergänzen sich Pentests und Angriffserkennungssysteme, um die Sicherheit einer Organisation zu stärken. Während Angriffserkennungssysteme Bedrohungen in Echtzeit erkennen können, bieten Pentests eine proaktive Möglichkeit, potenzielle Schwachstellen zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

Angriffserkennungssysteme sind darauf ausgelegt, bekannte Angriffsmuster zu erkennen. Pentests können jedoch auch unbekannte Schwachstellen aufdecken, die möglicherweise nicht von Angriffserkennungssystemen erfasst werden.

Pentests simulieren reale Angriffe und testen die Reaktion des Systems auf verschiedene Szenarien. Dies ermöglicht es, die Effektivität von Sicherheitsmaßnahmen unter realen Bedingungen zu überprüfen und gegebenenfalls zu verbessern.

Während Angriffserkennungssysteme nur eine Komponente der Sicherheitsstrategie darstellen, bieten Pentests eine ganzheitliche Sicherheitsbewertung, die verschiedene Aspekte der IT-Infrastruktur abdeckt, einschließlich Anwendungen, Netzwerke und physische Sicherheitsmaßnahmen.

Viele Branchenstandards und Compliance-Anforderungen fordern regelmäßige Pentests als Teil eines umfassenden Sicherheitsprogramms. Selbst wenn ein Unternehmen ein Angriffserkennungssystem hat, kann es dennoch erforderlich sein, Pentests durchzuführen, um Compliance-Vorgaben zu erfüllen.

Warum sind Pentests Langfristig Sinnvoll?

Warum Testintervalle für Pentests?

Halbjährlich/Jährlich
Security ist ein Prozess. Schwachstellen werden jeden Tag gefunden und nur teilweise sind diese sofort öffentlich bekannt. Ein Schwachstellen Management und Monitoring + regelmäßige Pentests, können Ihnen helfen die Angriffsfläche so gering wie nur möglich zu halten.

Penetrationstests sind nicht nur für kurzfristige Sicherheitsverbesserungen von Bedeutung, sondern auch für langfristige Verbesserungen der Sicherheitslage eines Unternehmens. Durch regelmäßige Pentests können Schwachstellen kontinuierlich identifiziert und behoben werden, was zu einer ständigen Verbesserung der Sicherheit führt.
Die “Härtung” von Systemen bezieht sich auf den Prozess der Stärkung und Absicherung von Computersystemen, Netzwerken und Anwendungen, um sie widerstandsfähiger gegenüber potenziellen Angriffen zu machen. Dies kann beispielsweise das Aktualisieren von Software-Patches, das Konfigurieren von Firewalls, das Implementieren von Zugriffskontrollen und das Verwenden von sicheren Passwörtern umfassen.
Penetrationstests tragen zur langfristigen Verbesserung bei, indem sie Schwachstellen aufdecken, die dann behoben werden können, um die Sicherheit und Widerstandsfähigkeit der Systeme zu erhöhen. Durch die kontinuierliche Durchführung von Pentests und die anschließende Härtung der Systeme können Unternehmen proaktiv auf sich verändernde Bedrohungen reagieren und ihr Sicherheitsniveau langfristig verbessern. Dieser iterative Prozess ist entscheidend, um mit den sich ständig weiterentwickelnden Cyberbedrohungen Schritt zu halten und ein hohes Maß an Sicherheit zu gewährleisten.

Pentests auf Basis internationaler Normen & Standards

Wir orientieren uns an weltweit anerkannten Standards und integrieren uns in ein vorhandenes Informationssicherheitsmanagementsystem (ISMS).  In einem funktionierenden ISMS müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. Wir sind ISO 9001 und ISO 27001 zertifiziert. 

Pentestarten

Ein wichtiges Entscheidungskriterium ist dabei die Perspektive, aus der die Tests durchgeführt werden. Da die Angreifer unterschiedliche Motivationen und Möglichkeiten besitzen, können verschiedene Szenarien durchgespielt werden.

Der White-Box-Test stellt das Gegenstück zum Black-Box-Test dar. Hier erhält der Penetrationstester alle Informationen und Einstellungen über die zu testende Webanwendung bzw. IT-System. Dieser Test soll den Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit Detailkenntnissen simulieren.

Der Grey-Box-Test simuliert einen systematischen Angriff, bei dem ein außenstehender Hacker mit einem Insider des zu betrachtenden IT-Systems zusammenarbeitet. Der Insider verfügt dabei über einen begrenzten Zugang zum System, sowie eingeschränkte Rechte. In diesem Fall erhält der Penetrationstester nur bestimmte Informationen (Infrastruktur, Abwehrmechanismen,…) über das zu testenden IT-System.

Bei diesem Test soll ein realistischer Angriff eines Hackers simuliert werden. Der Penetrationstester erhält beispielsweise nur die URL der Webanwendung bzw. die IP-Adresse des IT-Systems. Die darüber hinaus benötigten Informationen werden in frei zugänglichen Informationsquellen recherchiert.

Ablauf eines neam Penetrationstest (BSI konform)

Aufgrund der Individualität eines jeden Pentests begleiten unsere Pentest-Experten Sie in jeder der 6 Phasen mit umfangreichem Wissen und Erfahrung. 

1. Vorbereitung

In der Vorbereitungsphase werden Ziele, Umfang, Vorgehen, Notfallmaßnahmen sowie rechtliche und organisatorische Aspekte und die nötigen Voraussetzungen definiert.

2. Recherche nach Informationen über das Zielsystem

Öffentliche Quellen ermöglichen das Zusammentragen von nützlichen Informationen über die Zielsysteme und deren Umgebungen. Diese helfen bei der Planung des weiteren Vorgehens und der Identifizierung der Angriffsfläche.

3. Identifikation der verfügbaren Dienste

Die an den Zielsystemen verfügbare Dienste werden festgestellt und anschließend automatisiert und manuell überprüft.

4. Recherche nach Schwachstellen

Mit Hilfe der gesammelten Informationen können zielgerichtet mögliche Schwachstellen der Anwendungen und Betriebssysteme gesucht und identifiziert werden. Sollten während der Überprüfungen kritische Sicherheitslücken festgestellt werden, erfolgt unverzüglich eine Mitteilung, damit die Schwachstelle zeitnah beseitigt werden kann.

5. Ausnutzen der Schwachstellen

In Abstimmung mit dem Kunden erfolgt das Ausnutzen der gefundenen Schwachstellen, um das Ausmaß eines potenziellen Angriffs aufzuzeigen.

6. Dokumentation

Nach Beendigung des Penetrationstests erfolgt die Erstellung eines Berichts. Dieser beschreibt die gefundenen Schwachstellen und Behebungsmaßnahmen sowohl für das Management als auch für die technischen Verantwortlichen. Die Resultate werden anhand ihres Schweregrads kategorisiert und priorisiert.

Vorteile durch erfahrene Pentester

Das Engagement eines erfahrenen Pentest-Anbieters bietet viele Vorteile für Unternehmen.

Insgesamt bietet die Zusammenarbeit mit einem erfahrenen Pentest-Anbieter Unternehmen die Gewissheit, dass ihre Systeme gründlich getestet werden und dass sie fundierte Entscheidungen zur Verbesserung ihrer Sicherheitslage treffen können.

Erfahrene Anbieter verfügen über spezialisierte Kenntnisse und langjährige Erfahrung in der Durchführung von Penetrationstests. Sie kennen die neuesten Angriffstechniken und -taktiken und sind in der Lage, komplexe Sicherheitslücken aufzudecken.

Erfahrene Anbieter können eine breite Palette von Penetrationstests durchführen, die verschiedene Aspekte der IT-Infrastruktur abdecken, darunter Webanwendungen, Netzwerke, mobile Apps und physische Sicherheitsmaßnahmen.

Durch den Einsatz bewährter Methoden und Tools liefern erfahrene Anbieter zuverlässige und präzise Ergebnisse. Sie können Schwachstellen identifizieren, priorisieren und klare Empfehlungen für deren Behebung geben.

Ein erfahrener Pentest-Anbieter kann Unternehmen bei der Einhaltung von Compliance-Vorschriften unterstützen und Zertifizierungen wie ISO 27001 oder PCI DSS erleichtern.

Durch die Identifizierung und Behebung von Sicherheitslücken helfen erfahrene Anbieter dabei, das Risiko von Datenverlust, Betriebsunterbrechungen und finanziellen Verlusten durch Cyberangriffe zu minimieren.

Unser Pentest team

Unser zertifiziertes Pentest-Team verfügt über langjährige Erfahrung im Ethical Hacking. Wir haben bereits viele tausend Pentests für alle Branchen und Unternehmensgrößen durchgeführt. Verlassen Sie sich auf die Erfahrung und das aktuelle technische Know-How unserer Pentest-Profis, um alle IT-Schwachstellen in Ihrem Unternehmen zu finden. Anhand verständlicher Reports mit konkreten Handlungsempfehlungen können Sie potentielle Sicherheitslücken schnell schließen.

Pentests bei neam

Ein typischer Penetrationstest-Anbieter hat heutzutage ein breites Portfolio an Dienstleistungen, um verschiedene Aspekte der Cybersecurity und die spezifischen Bedürfnisse unterschiedlicher Kunden abzudecken. Hier ist eine Übersicht über die gängigen Arten von Penetrationstests:

Schwachstellenscans

Während Schwachstellenscans weniger tiefgehend als vollständige Penetrationstests sind, bieten sie einen schnellen Überblick über bekannte Schwachstellen in Systemen und Anwendungen. Sie sind ein wichtiger erster Schritt in Richtung umfassenderer Sicherheitsbewertungen. 

Webanwendungen

Diese Tests konzentrieren sich auf das Aufdecken von Sicherheitslücken in Webanwendungen, wie z.B. SQL-Injection, Cross-Site Scripting (XSS), und Sicherheitskonfigurationsfehler. Sie sind entscheidend für Unternehmen, die Online-Dienste oder E-Commerce-Plattformen betreiben. 

Netzwerkinfrastruktur

Diese Tests zielen darauf ab, Schwachstellen in der öffentlichen und internen Netzwerkinfrastruktur eines Unternehmens zu identifizieren, einschließlich Schwachstellen in Firewalls, Routern, Switches, und VPN-Zugängen. Sie sind wesentlich für die Gewährleistung der Sicherheit von internen und externen Netzwerkverbindungen.

Phishing Test

Phishing ist eine Art von Cyberangriff, bei dem Betrüger versuchen, sensible Informationen von Nutzern zu erschleichen, indem sie sich als vertrauenswürdige Quellen oder Institutionen ausgeben. Bei einem Phishing-Angriff werden in der Regel E-Mails, Textnachrichten oder Websites verwendet, die so gestaltet sind, dass sie denen legitimer Unternehmen oder Organisationen ähneln. 

Social Engineering

Diese Tests simulieren Angriffe, die auf menschliche Fehler oder Manipulation abzielen, wie Phishing, Vishing (Voice-Phishing) oder Pretexting. Ziel ist es, die Awareness und Reaktionsfähigkeit der Mitarbeiter gegenüber solchen Bedrohungen zu erhöhen. 

Physische Tests

Obwohl oft übersehen, sind physische Sicherheitstests ein wichtiger Bestandteil eines umfassenden Sicherheitskonzepts. Sie bewerten, wie gut physische Sicherheitsmaßnahmen wie Zugangskontrollen, Sicherheitsschlösser und Überwachungskameras, physische Bedrohungen abwehren können. 

AD Pentest

Ein AD Pentest (Active Directory Penetrationstest) ist ein sicherheitstechnischer Test, der darauf abzielt, Schwachstellen und Sicherheitslücken in der Active Directory (AD) Umgebung eines Unternehmens zu identifizieren und zu bewerten. Die Active Directory ist ein Verzeichnisdienst von Microsoft, der für die Verwaltung von Benutzerkonten, Gruppen, Computern und anderen Ressourcen innerhalb eines Netzwerks verwendet wird.

API Pentest

Ein API Pentest (Application Programming Interface Penetrationstest) ist ein sicherheitstechnischer Test, der darauf abzielt, Schwachstellen und Sicherheitslücken in den Schnittstellen (APIs) einer Anwendung zu identifizieren und zu bewerten. APIs ermöglichen den Datenaustausch und die Interaktion zwischen verschiedenen Softwareanwendungen und -diensten.

Workstation

Um die Client-Sicherheit im Netzwerk zu prüfen, wird ein repräsentativer Arbeitsplatzrechner auf Schwachstellen und Fehlkonfigurationen untersucht.

Pentest-Kompetenz

  • zertifizierte Ethical Hacker (CEH / OSCP) und IT-Forensiker (IHK)
  • Durchführung von über 300 Pentest-Projekten pro Jahr
  • Pentests nach BSI-Standard​

Kurzfristige Umsetzung

  • Kickoff innerhalb weniger Tage nach Auftragserteilung
  • Pentest-Umsetzung meist innerhalb von 2-4 Wochen
  • Zuverlässige Einhaltung von Deadlines

Transparente Preise

  • Standard-Pentests zu Festpreisen
  • individuelle Pentests mit voller Kostenkontrolle / Budget-Obergrenzen
  • Angebote aus eigenständigen Modulen, die einzeln beauftragt werden können

Pentest Angebot anfordern

Schwachstellenscan

Interne & externe Systeme
  • Automatisierter Einstiegstest / Vulnerability Scan
  • kurzfristige Umsetzung innerhalb von 2 Wochen
  • Reporting mit Handlungsempfehlungen

Phishing-Test

Bis 100 Mitarbeiter kostenlos
  • Klicken Ihre Mitarbeiter auf Links in Phishing E-Mails?
  • ungefährliche Simulation
  • übersichtliche, anonyme Auswertung und Branchenvergleich

Social Engineering

Per E-Mail, Telefon, Social Media
  • Security Awareness der Mitarbeiter überprüfen
  • einfache bis komplexe Angriffs-Szenarien
  • Evil Employee, Stolen Notebook, Live-Hacking, Physisches Eindringen etc.

Webanwendung

Website, Webshop, API etc.
  • Check der Webfunktionen wie Login, Formulare, WaWi, CRM etc.
  • Prüfung u.a. OWASP Top Ten
  • mit oder ohne Zugangsdaten

Öffentliche Infrastruktur

Servernetzwerke
  • Analyse der öffentlich zugänglichen Systeme
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
  • Automatisierte und manuelle Testverfahren

Interne Infrastruktur

Client- und Servernetzwerke
  • Analyse des internen Netzwerks
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
  • Automatisierte und manuelle Testverfahren

AD Pentest

Überprüfung AD-Umgebung
  • Benutzer- und Gruppenrechte
  • Sicherheitsrichtlinien
  • Authentifizierungs- und Autorisierungsmechanismen

API Pentest

Überprüfung Schnittstellen (APIs)
  • Authentifizierung und Autorisierung
  • Datenverschlüsselung
  • Fehlkonfigurationen

iKFZ

Internetbasierte Fahrzeugzulassung
  • Prüfung nach Sicherheits-Vorgaben des KBA (MSADP)
  • Audit,IS-Pentest & IS-Webcheck
  • Stufe 4 mit BSI zertifiziertem Auditor

Zitat

Pentest Know-How

Das entscheidende Kriterium: Wer führt den Test durch? Eine gute Bewertungsbasis bieten hierfür die „gängigen“ Zertifizierungen (zum Beispiel Certified Ethical Hacker oder Offensive Security Certified Professional ) oder in einer Kombination mit einer Referenzliste. Idealerweise enthält die Referenzliste anrufbare Ansprechpartner, die telefonisch Auskunft über die Qualität des durchgeführten Penetrationstests geben können.

DOKUMENTATION

Das Ergebnis. Daraus müssen Sie Rückschlüsse ziehen können, welche Maßnahmen sinnvoll und angemessen die identifizierten Schwachstellen eliminieren und das daraus resultierende Risiko verringern können. Achten Sie auf eine verständliche Präsentation, Erklärung und Bewertung der Risiken. Nicht jede gefundene Schwachstelle bedeutet ein Risiko für Sie! Fordern Sie Beispieldokumentationen an, um sich ein Bild über das zu erwartende Ergebnis machen zu können. Ein ausgedrucktes Protokoll eines Schwachstellenscanners hilft Ihnen nur wenig, Sie sollten aus der Dokumentation erkennen können, wie das festgestellte Ergebnis erreicht wurde.

ANGEBOTSAUFBAU

Transparenz im Vorfeld. Verstehen Sie, wie der angebotene Penetrationstest durchgeführt werden soll? Machen Sie sich im Vorfeld Gedanken, inwiefern Sie Ihre IT-Infrastruktur, Webanwendungen, IT-Arbeitsplätze, LANs und WLANs auditieren lassen wollen. Ist eventuell eine Überprüfung des Sicherheitsbewusstseins Ihrer Mitarbeiter angebracht? Passt der im Angebot beschriebene Penetrationstest zu Ihren Sicherheitszielen? Werden Sie auf die rechtlichen Voraussetzungen hingewiesen? Die Test-Module sollten soweit abgestimmt sein, dass sie die Angriffsmöglichkeiten abdecken, die große Schäden verursachen können. Lassen Sie sich vom Anbieter einen Nachtest vorschlagen, mit dem Sie – nachdem die Gegenmaßnahmen getroffen wurden – die Wirksamkeit der umgesetzten Maßnahmen geprüft werden.

TOOLS

Prüfen Sie, ob aus dem Angebot bzw. den Produktinformationen hervorgeht, welche Tools eingesetzt werden sollen. In der Regel sollte hier eine Kombination von mehreren Werkzeugen verwendet werden.

Klären Sie zudem im Vorfeld ab, in welchem Umfang vor dem Penetrationstest dem Dienstleister Informationen bereitgestellt werden, also ob der Test als Blackbox-, Greybox- oder Whitebox-Penetrationstest durchgeführt werden soll. Oftmals empfiehlt sich der Greybox-Ansatz, da hier die Informationen über den Prüfungsgegenstand übermittelt werden, so dass der Penetrationstester effizient arbeiten kann.

Unterstützt Sie der Anbieter im Vorfeld bei Durchführungsfragen, zum Beispiel wer vorab zu informieren ist (Betriebsrat, Datenschutz, externer Dienstleister, Provider usw.)? Legen Sie gemeinsam mit Ihrem Dienstleister fest, wann die Arbeiten erfolgen und wer zu dieser Zeit zur Verfügung steht.

UND DANACH?

Auch nach der erfolgten Durchführung eines Penetrationstest sollte ein Anbieter in der Lage sein, Sie bei der Verbesserung Ihres Informationssicherheitsmanagementsystems (ISMS) zu unterstützen, Begriffe wie ISO27001 bzw. BSI Grundschutz sind wichtig für eine ganzheitliche Betrachtung des Themas „Informationssicherheit“. Schließlich werden im Rahmen von Penetrationstests nur Teile der Informationssicherheit geprüft.

Social Engineering wird von vielen Experten als die effektivste und effizienteste Möglichkeit zur Überwindung von Sicherheitstechnologien angesehen. Grundlage dieser raffinierten Methode ist die Manipulation von Menschen mit dem Ziel, durch Sie an sensible Daten zu gelangen und unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen.

Es sind Klassiker, aber stellen Sie sich folgende Fragen gewissenhaft?

  • Der USB-Stick, den Sie gerade nutzen möchten, wo ist der eigentlich her?
  • Super, dass Sie zufällig über ein soziales Netzwerk jemanden kennenglernt haben, der exakt in der gleichen Branche tätig ist. So ein Austausch unter „Kollegen“ ist doch immer eine gute Sache. Oder?
  • Die Aushilfe vom Paket-Service – war das Logo auf der Jacke nicht irgendwie anders als gestern? Na was soll es, wird schon passen?
  • Wer war die junge Dame, die zuletzt den Fahrstuhl verlassen hat und der Sie eben die Tür aufgehalten haben? Hatte Sie überhaupt eine Zugangskarte?

Diese Auflistung lässt sich vermutlich bis in alle Ewigkeiten fortführen. Was sie aber in jedem Fall klar zum Ausdruck bringt. Menschen neigen gerade in Stresssituation oder Momenten des Leichtsinns dazu, auf den ersten Blick unkritische Sachverhalte nicht aus mehreren Blickwinkeln zu beatrachten. Angreifer wären schön blöd, wenn sie daraus keinen Nutzen ziehen würden.

Social Engineers wissen um bestimmte Phänomene wie Reziprozität, Autoritätsgehorsam oder Verantwortungsdiffusion und richten ihre Handlungen danach aus. Sie nutzen die Emotionen, Motive und Bedürfnisse ihrer Opfer, um sie zu manipulieren wie z. B. Angst, Vertrauen, Unsicherheit, Scham, Konfliktvermeidung, Hilfsbereitschaft, Kunden­freundlichkeit, Wunsch ein guter Teamplayer zu sein.

Die Vorgehensweise der Angreifer folgt meist einem bestimmten Muster

Mit Recherchen im Umfeld von Unternehmen, Behörden und Organisationen spionieren Social Engineers auf Basis öffentlich zugänglicher Datenquellen das persönliche Umfeld ihres Opfers aus. Soziale Netzwerke und Firmenwebseiten geben hier in der Regel eine gute Möglichkeit einer umfangreichen Recherche über die Zielpersonen. Der Täter nutzt diese Informationen, um potentielle Opfer zu identifizieren oder mehr über eine bereits gewählte Zielperson zu erfahren.

Eine Möglichkeit zum Schutz gegen Social Engineering Angriffe ist die Sensibilisierung, Schulung und Training der Mitarbeiter im Umgang mit Informationssicherheit. Kernaspekte der Informationssicherheit sind die Aufrecht­erhaltung der Verfügbarkeit, Integrität und der Vertraulichkeit von Informationen.

Der Umgang mit Informationssicherheit ist Teil jeder Unternehmenskultur und daher von großer Bedeutung. Die gesamte Organisation und die Mitarbeiter sollten in die Maßnahmen zur Informationssicherheit mit einbezogen werden.

Wir bieten durch unsere erfahrenen Penetrationstester spezielle Module zum Bereich Social Engineering an. Mit Phishing-Attacken oder z. B. dem USB-Drop testen wir Ihr ISMS auf diese „Lücke“ hin durch eine realitätsnahe Simulation.

Unser Ziel ist es, die Schwachstellen im ISMS unserer Kunden zu finden, um durch Aufklärung und Schulung zukünftige Angriffe zu verhindern oder zumindest zu erschweren. Dabei sind wir uns bewusst, dass es gerade im Bereich Social Engineering immer wieder möglich sein wird, einen erfolgreichen Angriff auszuführen.

Der Social Engineer gehört nicht zur Gemeinschaft der Ethical Hacker, sondern nutzt positive Eigenschaften wie Hilfsbereitschaft und Vertrauen aus, um Menschen für seine Zwecke zu manipulieren. Eine Unternehmenskultur von Misstrauen und Angst halten wir dennoch nicht für erstrebenswert.

Im Gegenteil, unser Ziel ist es, die Mitarbeiter in Ihrem Unternehmen für Social Engineering Attacken zu sensibilisieren und das Bewusstsein für Informationssicherheit zu stärken, damit Ihre Mitarbeiter besser informiert und Ihre Daten in Zukunft sicherer sind.

Ist die Vorbereitungsphase abgeschlossen, beginnen die Penetrationstester mit der Phase der Informationsbeschaffung. Hier werden in frei zugänglichen Informationsquellen so viele Informationen wie möglich über die zu testende Anwendung gesammelt. Auch das sogenannte „Google-Hacking“ kommt hier zum Einsatz, bei dem spezielle Google-Suchparameter verwendet werden, um beispielsweise geschützte Verzeichnisse der Anwendung ausfindig zu machen.

IDENTIFIKATION DER ANGRIFFSVEKTOREN

Sind alle benötigten Informationen recherchiert und gesammelt worden, werden nun mögliche Angriffsvektoren, also Eintrittspunkte für einen Angreifer, identifiziert. Dazu werden die beschafften Informationen ausgewertet und nach bekannten Schwachstellen hin untersucht.

ANGRIFFSPHASE – AUTOMATISIERT

Nun beginnt die Angriffsphase, in der die zu testende Anwendung mit automatisierten Angriffen auf Sicherheit und Zuverlässigkeit geprüft wird. Sogenannte „Brute-Force-Angriffe“ (Durchprobieren aller Schlüssel) oder Wörterbuch-Angriffe (Angriff mit einer Passwortliste) überprüfen die Stärke bzw. Sicherheit der verwendeten Passwörter.

ANGRIFFSPHASE – TEILAUTOMATISIERT UND MANUELL

Die meisten Tests bzw. Angriffe werden jedoch manuell durchgeführt, da die jeweiligen Schwachstellen durch ihren hohen Individualisierungsgrad nicht automatisiert getestet werden können. Ein besonderes Augenmerk beim Testen wird auf die sogenannten „OWASP Top10“ gelegt. OWASP steht für „Open Web Application Security Project“ und ist eine Organisation, die die Verbesserung der Sicherheit im Internet zum Ziel hat. Die OWASP Top10 werden regelmäßig aktualisiert und bezeichnen die zehn gefährlichsten und meist genutzten Sicherheitslücken von Webanwendungen.

 

Auch bei einem Infrastruktur-Pentest müssen Informationen über das zu testende IT-System gesammelt werden. Hier werden die nötigen Informationen jedoch durch das sogenannte „Portscanning“ gewonnen.  Diese werden dazu genutzt, um die in einem Netz aktiven IT-Systeme ausfindig zu machen und die dort angebotenen Dienste (Ports) zu identifizieren. Die beim Portscan erkannten Dienste werden anschließend durch einen Schwachstellen-Scan auf ihre Anfälligkeit hin untersucht.

Der ANGRIFF

Durch verschiedene Passwort-Angriffe, wie sie auch beim Web-Pentest durchgeführt werden, wird die Sicherheit der verwendeten Passwörter überprüft. Spezielle Exploits (Ausnutzung von Schwachstellen) kommen zum Einsatz, um vorhandene Sicherheitslücken aufzudecken.

Die Port- und Schwachstellenscans können auch vor Ort über das Intranet durchgeführt werden. Die Unterschiede beim Intranet-Scan bestehen darin, dass keine Internet-Firewall dazwischen geschaltet i