Penetrationstest / Pentest

Unser zertifiziertes Pentest-Team verfügt über langjährige Erfahrung im Ethical Hacking. Wir haben bereits viele tausend Pentests für alle Branchen und Unternehmensgrößen durchgeführt. 

Verlassen Sie sich auf die Erfahrung und das aktuelle technische Know-How unserer Pentest-Profis, um alle IT-Schwachstellen in Ihrem Unternehmen zu finden. Anhand verständlicher Reports mit konkreten Handlungsempfehlungen können Sie potentielle Sicherheitslücken schnell schließen.

Pentest-Kompetenz

  • zertifizierte Ethical Hacker (CEH / OSCP) und IT-Forensiker (IHK)
  • Durchführung von über 300 Pentest-Projekten pro Jahr
  • Pentests nach BSI-Standard​

Kurzfristige Umsetzung

  • Kickoff innerhalb weniger Tage nach Auftragserteilung
  • Pentest-Umsetzung meist innerhalb von 2-4 Wochen
  • Zuverlässige Einhaltung von Deadlines

Faire & transparente Preise

  • Standard-Pentests zu Festpreisen
  • individuelle Pentests mit voller Kostenkontrolle / Budget-Obergrenzen
  • Angebote aus eigenständigen Modulen, die einzeln beauftragt werden können

Pentest-Kompetenz

  • zertifizierte Ethical Hacker (CEH / OSCP) und IT-Forensiker (IHK)
  • Durchführung von über 300 Pentest-Projekten pro Jahr
  • Pentests nach BSI-Standard​

Kurzfristige Umsetzung

  • Kickoff innerhalb weniger Tage nach Auftragserteilung
  • Pentest-Umsetzung meist innerhalb von 2-4 Wochen
  • Zuverlässige Einhaltung von Deadlines

Faire & transparente Preise

  • Standard-Pentests zu Festpreisen
  • individuelle Pentests mit voller Kostenkontrolle / Budget-Obergrenzen
  • Angebote aus eigenständigen Modulen, die einzeln beauftragt werden können

Pentest Angebot anfordern

Schwachstellenscan

Interne & externe Systeme
ab 1.590 €
  • Automatisierter Einstiegstest / Vulnerability Scan
  • kurzfristige Umsetzung innerhalb von 2 Wochen
  • Reporting mit Handlungsempfehlungen

Webanwendung

Website, Webshop, API etc.
ab 2.500 €
  • Check der Webfunktionen wie Login, Formulare, WaWi, CRM etc.
  • Prüfung u.a. OWASP Top Ten
  • mit oder ohne Zugangsdaten

Interne Netzwerke

Client- und Servernetzwerke
ab 6.250 €
  • Analyse des internen Netzwerks
  • Active Directory Audit
  • Wie sicher sind Ihre Standard-Arbeitsplätze?

Externe Netzwerke

Servernetzwerke
ab 3.750 €
  • Analyse der öffentlich zugänglichen Systeme
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
  • Automatisierte und manuelle Testverfahren

Mobile App

iOS & Android-Apps
ab 3.750 €
  • Test nach Application Security Verification Standard (OWASP)
  • Test von Frontend, Backend, Datenbanken & Schnittstellen
  • Begleitung in der App- Entwicklungsphase

Phishing-Test

Bis 100 Mitarbeiter kostenlos
ab 0 €
  • Klicken Ihre Mitarbeiter auf Links in Phishing E-Mails?
  • ungefährliche Simulation
  • übersichtliche, anonyme Auswertung und Branchenvergleich

Social Engineering

Per E-Mail, Telefon, Social Media
ab 1.490 €
  • Security Awareness der Mitarbeiter überprüfen
  • einfache bis komplexe Angriffs-Szenarien
  • Evil Employee, Stolen Notebook, Live-Hacking, Physisches Eindringen etc.

iKFZ

Internetbasierte Fahrzeugzulassung
ab 4.950 €
  • Prüfung nach Sicherheits-Vorgaben des KBA (MSADP)
  • Audit,IS-Pentest & IS-Webcheck
  • Stufe 4 mit BSI zertifiziertem Auditor

IoT

Smart Devices
Preis auf Anfrage
  • Analyse des gesamten Umfelds der IoT-Geräte
  • Wie sicher sind Hardware, Firmware, Server, Apps, APIs etc.?
  • Gibt es Schwachstellen in der Firmware?

Red Teaming

Reale Angriffs-Simulation
Preis auf Anfrage
  • Methodenübergreifende Angriffsszenarien
  • Wie sicher ist das Unternehmen als Ganzes?
  • Sinnvoll für fortgeschrittene Sicherheits-Level

Multi-Pentest

Mehrere Pentests anfragen
Preis auf Anfrage
  • Mehrere Pentests kombinieren
  • Individuelle Test-Szenarien
  • Alle Module können separat beauftragt & durchgeführt werden

Schwachstellenscan

Interne & externe Systeme
ab 1.590 €
  • Automatisierter Einstiegstest / Vulnerability Scan
  • kurzfristige Umsetzung innerhalb von 2 Wochen
  • Reporting mit Handlungsempfehlungen

Webanwendung

Website, Webshop, API etc.
ab 2.500 €
  • Check der Webfunktionen wie Login, Formulare, WaWi, CRM etc.
  • Prüfung u.a. OWASP Top Ten
  • mit oder ohne Zugangsdaten

Externe Netzwerke

Servernetzwerke
ab 3.750 €
  • Analyse der öffentlich zugänglichen Systeme
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
  • Automatisierte und manuelle Testverfahren

Externe Netzwerke

Servernetzwerke
ab 3.750 €
  • Analyse der öffentlich zugänglichen Systeme
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
  • Automatisierte und manuelle Testverfahren

Mobile App

iOS & Android-Apps
ab 3.750 €
  • Test nach Application Security Verification Standard (OWASP)
  • Test von Frontend, Backend, Datenbanken & Schnittstellen
  • Begleitung in der App- Entwicklungsphase

Phishing-Test

Bis 100 Mitarbeiter kostenlos
ab 0 €
  • Klicken Ihre Mitarbeiter auf Links in Phishing E-Mails?
  • ungefährliche Simulation
  • übersichtliche, anonyme Auswertung und Branchenvergleich

Social Engineering

Per E-Mail, Telefon, Social Media
ab 1.490 €
  • Security Awareness der Mitarbeiter überprüfen
  • einfache bis komplexe Angriffs-Szenarien
  • Evil Employee, Stolen Notebook, Live-Hacking, Physisches Eindringen etc.

iKFZ

Internetbasierte Fahrzeugzulassung
ab 4.950 €
  • Prüfung nach Sicherheits-Vorgaben des KBA (MSADP)
  • IS-Penetrationstest
  • IS-Webcheck

IoT

Smart Devices
Preis auf Anfrage
  • Analyse des gesamten Umfelds der IoT-Geräte
  • Wie sicher sind Hardware, Firmware, Server, Apps, APIs etc.?
  • Gibt es Schwachstellen in der Firmware?

Red Teaming

Reale Angriffs-Simulation
Preis auf Anfrage
  • Methodenübergreifende Angriffsszenarien
  • Wie sicher ist das Unternehmen als Ganzes?
  • Sinnvoll für fortgeschrittene Sicherheits-Level

Kombi-Pentest

Mehrere Pentests anfragen
Preis auf Anfrage
  • Mehrere Pentest-Module kombinieren
  • Individuelle Test-Szenarien
  • Alle Module können separat beauftragt & durchgeführt werden

Ablauf eines neam Penetrationstest

Aufgrund der Individualität eines jeden Pentests begleiten unsere Pentest-Experten Sie in jeder der 6 Phasen mit umfangreichem Wissen und Erfahrung. 

1. Vorbereitung

In der Vorbereitungsphase werden Ziele, Umfang, Vorgehen, Notfallmaßnahmen sowie rechtliche und organisatorische Aspekte und die nötigen Voraussetzungen definiert.

2. Recherche nach Informationen über das Zielsystem

Öffentliche Quellen ermöglichen das Zusammentragen von nützlichen Informationen über die Zielsysteme und deren Umgebungen. Diese helfen bei der Planung des weiteren Vorgehens und der Identifizierung der Angriffsfläche.

3. Identifikation der verfügbaren Dienste

Die an den Zielsystemen verfügbare Dienste werden festgestellt und anschließend automatisiert und manuell überprüft.

4. Recherche nach Schwachstellen

Mit Hilfe der gesammelten Informationen können zielgerichtet mögliche Schwachstellen der Anwendungen und Betriebssysteme gesucht und identifiziert werden. Sollten während der Überprüfungen kritische Sicherheitslücken festgestellt werden, erfolgt unverzüglich eine Mitteilung, damit die Schwachstelle zeitnah beseitigt werden kann.

5. Ausnutzen der Schwachstellen

In Abstimmung mit dem Kunden erfolgt das Ausnutzen der gefundenen Schwachstellen, um das Ausmaß eines potenziellen Angriffs aufzuzeigen.

6. Dokumentation

Nach Beendigung des Penetrationstests erfolgt die Erstellung eines Berichts. Dieser beschreibt die gefundenen Schwachstellen und Behebungsmaßnahmen sowohl für das Management als auch für die technischen Verantwortlichen. Die Resultate werden anhand ihres Schweregrads kategorisiert und priorisiert.

Give me 5 - Q & A

Warum sollte ich einen Pentest machen?

Schutz von Daten und geistigem Eigentum, Schutz vor Image-Verlust, Erfüllung gesetzlicher Anforderungen; Schutzbedarf berücksichtigen;

Warum sollte ich Opfer eine Phishing Attacke sein?

Phishing ist eine der meistgenutzten Angriffsarten. Angreifer benötigen hier kein tiefes technisches Wissen und es lässt sich leicht automatisieren. Hier wird nicht ein einzelner Mitarbeiter angegriffen, sondern Erfolg über die Menge und Breite generiert. 

 

So viele mögliche Schwachstellen, machen Pentests da Sinn?

Um die Angriffsfläche zu minieren und die Chance auf einen erfolgreichen Angriff zu verringern. Nicht jede Schwachstelle endet in sofortiger Übernahme des Systems. Viel mehr werden Schwachstellen auch in Kombination genutzt, um dieses Ziel zu erreichen.

Was sind typische Angriffsvektoren?

Klassische Einfallstore sind unzureichend gepflegte Netzwerk- und Betriebssystemkonfigurationen, Webanwendungen oder auch Mitarbeiter, die sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben.

Warum Testintervalle für Pentests?

Halbjährlich/Jährlich
Security ist ein Prozess. Schwachstellen werden jeden Tag gefunden und nur teilweise sind diese sofort öffentlich bekannt. Ein Schwachstellen Management und Monitoring + regelmäßige Pentests, können Ihnen helfen die Angriffsfläche so gering wie nur möglich zu halten.

Warum sollte ich einen Pentest machen?

Schutz von Daten und geistigem Eigentum, Schutz vor Image-Verlust, Erfüllung gesetzlicher Anforderungen; Schutzbedarf berücksichtigen;

Warum sollte ich Opfer eine Phishing Attacke sein?

Phishing ist eine der meistgenutzten Angriffsarten. Angreifer benötigen hier kein tiefes technisches Wissen und es lässt sich leicht automatisieren. Hier wird nicht ein einzelner Mitarbeiter angegriffen, sondern Erfolg über die Menge und Breite generiert. 

 

So viele mögliche Schwachstellen, machen Pentests da Sinn?

Um die Angriffsfläche zu minieren und die Chance auf einen erfolgreichen Angriff zu verringern. Nicht jede Schwachstelle endet in sofortiger Übernahme des Systems. Viel mehr werden Schwachstellen auch in Kombination genutzt, um dieses Ziel zu erreichen.

Was sind typische Angriffsvektoren?

Klassische Einfallstore sind unzureichend gepflegte Netzwerk- und Betriebssystemkonfigurationen, Webanwendungen oder auch Mitarbeiter, die sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben.

Warum Testintervalle für Pentests?

Halbjährlich/Jährlich
Security ist ein Prozess. Schwachstellen werden jeden Tag gefunden und nur teilweise sind diese sofort öffentlich bekannt. Ein Schwachstellen Management und Monitoring + regelmäßige Pentests, können Ihnen helfen die Angriffsfläche so gering wie nur möglich zu halten.

Pentest Know-How

Ein Penetrationstest (kurz: „Pentest“) soll die Sicherheit eines IT-Systems überprüfen. Dabei lässt sich dieser grundsätzlich in den klassischen Penetrationstest (Infrastruktur-Pentest), dem Web-Application-Penetrationstest (Web-Pentest), Social-Engineering und dem WLAN-Test unterteilen. Ein wichtiges Entscheidungskriterium ist dabei die Perspektive, aus der die Tests durchgeführt werden. Da die Angreifer unterschiedliche Motivationen und Möglichkeiten besitzen, können verschiedene Szenarien durchgespielt werden.

BLACK-BOX-ANSATZ

Bei diesem Test soll ein realistischer Angriff eines Hackers simuliert werden. Der Penetrationstester erhält beispielsweise nur die URL der Webanwendung bzw. die IP-Adresse des IT-Systems. Die darüber hinaus benötigten Informationen werden in frei zugänglichen Informationsquellen recherchiert.

WHITE-BOX-ANSATZ

Der White-Box-Test stellt das Gegenstück zum Black-Box-Test dar. Hier erhält der Penetrationstester alle Informationen und Einstellungen über die zu testende Webanwendung bzw. IT-System. Dieser Test soll den Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit Detailkenntnissen simulieren.

GREY-BOX-ANSATZ

Der Grey-Box-Test simuliert einen systematischen Angriff, bei dem ein außenstehender Hacker mit einem Insider des zu betrachtenden IT-Systems zusammenarbeitet. Der Insider verfügt dabei über einen begrenzten Zugang zum System, sowie eingeschränkte Rechte. In diesem Fall erhält der Penetrationstester nur bestimmte Informationen (Infrastruktur, Abwehrmechanismen,…) über das zu testenden IT-System.

Um die Vorgehensweise der unterschiedlichen Tests näher zu durchleuchten, werden im Folgenden die einzelnen Test-Module geschildert.

Der Penetrationstest (Pentest) ist ein kontrollierter, realitätsnaher Angriff auf Netzwerke, Systeme, Applikationen, um Schwachstellen zu identifizieren, die durch potenzielle Angreifer genutzt werden können. Überprüfen Sie jetzt proaktiv das Sicherheitslevel Ihrer Organisation.

  • Identifizierung physischer, menschlicher sowie hard- und softwarebedingter Schwachstellen
  • Simulation von Hacker-Angriffen mit realitätsnahen Szenarien
  • Nicht-invasive Schwachstellen-Scans mit definierten Adressbereichen
  • Häufig notwendig für Cyber-Risk-Versicherung und abgestimmten Szenarien
  • Präsentation der Ergebnisse und konkreter Handlungsempfehlungen, Adressierung und Behebung aller identifizierten Sicherheitsschwachstellen
  • Schutz von Firmengeheimnissen
  • Reduzierung von Ausfallzeiten und Folgekosten
  • Vermeidung von Bußgeldern bei Datenpannen nach DSGVO
  • Schutz vor Image-Schäden
  • Unterstützung durch technische Teams & Berater aus den Fachbereichen IT-Service & Informationssicherheit

Wir orientieren uns an weltweit anerkannten Standards und integrieren uns in ein vorhandenes Informationssicherheitsmanagementsystem (ISMS).  In einem funktionierenden ISMS müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. Wir sind ISO 9001 und ISO 27001 zertifiziert. 

Vorgehensweise nach BSI-Standards
Standardkonforme Auditierung (OWASP Top 10, OSSTMM etc.)​
aussagekräftiger Ergebnisbericht mit Risikoeinschätzung, detaillierte Dokumentation & „Proof of Concept“​
Einbindung von Penetrationstest als externe Audits im Rahmen eines ISMS nach ISO 27001
BSI – Bundesamt für Sicherheit in der Informationstechnik
DSGVO – Datenschutz-Grundverordnung
OWASP – The Open Web Application Security Project
OSSTM – Open Source Security Testing Methodology Manual
NIST – U.S. National Institute of Standards and Technology

Ist die Vorbereitungsphase abgeschlossen, beginnen die Penetrationstester mit der Phase der Informationsbeschaffung. Hier werden in frei zugänglichen Informationsquellen so viele Informationen wie möglich über die zu testende Anwendung gesammelt. Auch das sogenannte „Google-Hacking“ kommt hier zum Einsatz, bei dem spezielle Google-Suchparameter verwendet werden, um beispielsweise geschützte Verzeichnisse der Anwendung ausfindig zu machen.

IDENTIFIKATION DER ANGRIFFSVEKTOREN

Sind alle benötigten Informationen recherchiert und gesammelt worden, werden nun mögliche Angriffsvektoren, also Eintrittspunkte für einen Angreifer, identifiziert. Dazu werden die beschafften Informationen ausgewertet und nach bekannten Schwachstellen hin untersucht.

ANGRIFFSPHASE – AUTOMATISIERT

Nun beginnt die Angriffsphase, in der die zu testende Anwendung mit automatisierten Angriffen auf Sicherheit und Zuverlässigkeit geprüft wird. Sogenannte „Brute-Force-Angriffe“ (Durchprobieren aller Schlüssel) oder Wörterbuch-Angriffe (Angriff mit einer Passwortliste) überprüfen die Stärke bzw. Sicherheit der verwendeten Passwörter.

ANGRIFFSPHASE – TEILAUTOMATISIERT UND MANUELL

Die meisten Tests bzw. Angriffe werden jedoch manuell durchgeführt, da die jeweiligen Schwachstellen durch ihren hohen Individualisierungsgrad nicht automatisiert getestet werden können. Ein besonderes Augenmerk beim Testen wird auf die sogenannten „OWASP Top10“ gelegt. OWASP steht für „Open Web Application Security Project“ und ist eine Organisation, die die Verbesserung der Sicherheit im Internet zum Ziel hat. Die OWASP Top10 werden regelmäßig aktualisiert und bezeichnen die zehn gefährlichsten und meist genutzten Sicherheitslücken von Webanwendungen.

 

Auch bei einem Infrastruktur-Pentest müssen Informationen über das zu testende IT-System gesammelt werden. Hier werden die nötigen Informationen jedoch durch das sogenannte „Portscanning“ gewonnen.  Diese werden dazu genutzt, um die in einem Netz aktiven IT-Systeme ausfindig zu machen und die dort angebotenen Dienste (Ports) zu identifizieren. Die beim Portscan erkannten Dienste werden anschließend durch einen Schwachstellen-Scan auf ihre Anfälligkeit hin untersucht.

Der ANGRIFF

Durch verschiedene Passwort-Angriffe, wie sie auch beim Web-Pentest durchgeführt werden, wird die Sicherheit der verwendeten Passwörter überprüft. Spezielle Exploits (Ausnutzung von Schwachstellen) kommen zum Einsatz, um vorhandene Sicherheitslücken aufzudecken.

Die Port- und Schwachstellenscans können auch vor Ort über das Intranet durchgeführt werden. Die Unterschiede beim Intranet-Scan bestehen darin, dass keine Internet-Firewall dazwischen geschaltet i

Um Unbefugte daran zu hindern in das Firmen-Netzwerk einzudringen, ist eine sichere Einrichtung des WLANs essentieller Bestandteil. Dabei spielen zwei wichtige Faktoren eine Rolle. Zum einen ist die Zugänglichkeit der Access-Points sowie des WLAN-Routers entscheidend. Darüber hinaus bietet nur eine starke Verschlüsselung und ein aktuelles Authentifizierungsverfahren genügend Schutz. Die Zugänglichkeit der Access-Points und WLAN-Router sollte nur für bestimmtes Personal und nicht für die Öffentlichkeit gewährleistet werden. Die eingesetzte Verschlüsselung sowie die verwendeten Passwörter werden auf ihre Aktualität bzw. Sicherheit hin überprüft.

Social Engineering wird von vielen Experten als die effektivste und effizienteste Möglichkeit zur Überwindung von Sicherheitstechnologien angesehen. Grundlage dieser raffinierten Methode ist die Manipulation von Menschen mit dem Ziel, durch Sie an sensible Daten zu gelangen und unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen.

Es sind Klassiker, aber stellen Sie sich folgende Fragen gewissenhaft?

  • Der USB-Stick, den Sie gerade nutzen möchten, wo ist der eigentlich her?
  • Super, dass Sie zufällig über ein soziales Netzwerk jemanden kennenglernt haben, der exakt in der gleichen Branche tätig ist. So ein Austausch unter „Kollegen“ ist doch immer eine gute Sache. Oder?
  • Die Aushilfe vom Paket-Service – war das Logo auf der Jacke nicht irgendwie anders als gestern? Na was soll es, wird schon passen?
  • Wer war die junge Dame, die zuletzt den Fahrstuhl verlassen hat und der Sie eben die Tür aufgehalten haben? Hatte Sie überhaupt eine Zugangskarte?

Diese Auflistung lässt sich vermutlich bis in alle Ewigkeiten fortführen. Was sie aber in jedem Fall klar zum Ausdruck bringt. Menschen neigen gerade in Stresssituation oder Momenten des Leichtsinns dazu, auf den ersten Blick unkritische Sachverhalte nicht aus mehreren Blickwinkeln zu beatrachten. Angreifer wären schön blöd, wenn sie daraus keinen Nutzen ziehen würden.

Social Engineers wissen um bestimmte Phänomene wie Reziprozität, Autoritätsgehorsam oder Verantwortungsdiffusion und richten ihre Handlungen danach aus. Sie nutzen die Emotionen, Motive und Bedürfnisse ihrer Opfer, um sie zu manipulieren wie z. B. Angst, Vertrauen, Unsicherheit, Scham, Konfliktvermeidung, Hilfsbereitschaft, Kunden­freundlichkeit, Wunsch ein guter Teamplayer zu sein.

Die Vorgehensweise der Angreifer folgt meist einem bestimmten Muster

Mit Recherchen im Umfeld von Unternehmen, Behörden und Organisationen spionieren Social Engineers auf Basis öffentlich zugänglicher Datenquellen das persönliche Umfeld ihres Opfers aus. Soziale Netzwerke und Firmenwebseiten geben hier in der Regel eine gute Möglichkeit einer umfangreichen Recherche über die Zielpersonen. Der Täter nutzt diese Informationen, um potentielle Opfer zu identifizieren oder mehr über eine bereits gewählte Zielperson zu erfahren.

Eine Möglichkeit zum Schutz gegen Social Engineering Angriffe ist die Sensibilisierung, Schulung und Training der Mitarbeiter im Umgang mit Informationssicherheit. Kernaspekte der Informationssicherheit sind die Aufrecht­erhaltung der Verfügbarkeit, Integrität und der Vertraulichkeit von Informationen.

Der Umgang mit Informationssicherheit ist Teil jeder Unternehmenskultur und daher von großer Bedeutung. Die gesamte Organisation und die Mitarbeiter sollten in die Maßnahmen zur Informationssicherheit mit einbezogen werden.

Wir bieten durch unsere erfahrenen Penetrationstester spezielle Module zum Bereich Social Engineering an. Mit Phishing-Attacken oder z. B. dem USB-Drop testen wir Ihr ISMS auf diese „Lücke“ hin durch eine realitätsnahe Simulation.

Unser Ziel ist es, die Schwachstellen im ISMS unserer Kunden zu finden, um durch Aufklärung und Schulung zukünftige Angriffe zu verhindern oder zumindest zu erschweren. Dabei sind wir uns bewusst, dass es gerade im Bereich Social Engineering immer wieder möglich sein wird, einen erfolgreichen Angriff auszuführen.

Der Social Engineer gehört nicht zur Gemeinschaft der Ethical Hacker, sondern nutzt positive Eigenschaften wie Hilfsbereitschaft und Vertrauen aus, um Menschen für seine Zwecke zu manipulieren. Eine Unternehmenskultur von Misstrauen und Angst halten wir dennoch nicht für erstrebenswert.

Im Gegenteil, unser Ziel ist es, die Mitarbeiter in Ihrem Unternehmen für Social Engineering Attacken zu sensibilisieren und das Bewusstsein für Informationssicherheit zu stärken, damit Ihre Mitarbeiter besser informiert und Ihre Daten in Zukunft sicherer sind.

Das entscheidende Kriterium: Wer führt den Test durch? Eine gute Bewertungsbasis bieten hierfür die „gängigen“ Zertifizierungen (zum Beispiel Certified Ethical Hacker oder Offensive Security Certified Professional ) oder in einer Kombination mit einer Referenzliste. Idealerweise enthält die Referenzliste anrufbare Ansprechpartner, die telefonisch Auskunft über die Qualität des durchgeführten Penetrationstests geben können.

DOKUMENTATION

Das Ergebnis. Daraus müssen Sie Rückschlüsse ziehen können, welche Maßnahmen sinnvoll und angemessen die identifizierten Schwachstellen eliminieren und das daraus resultierende Risiko verringern können. Achten Sie auf eine verständliche Präsentation, Erklärung und Bewertung der Risiken. Nicht jede gefundene Schwachstelle bedeutet ein Risiko für Sie! Fordern Sie Beispieldokumentationen an, um sich ein Bild über das zu erwartende Ergebnis machen zu können. Ein ausgedrucktes Protokoll eines Schwachstellenscanners hilft Ihnen nur wenig, Sie sollten aus der Dokumentation erkennen können, wie das festgestellte Ergebnis erreicht wurde.

ANGEBOTSAUFBAU

Transparenz im Vorfeld. Verstehen Sie, wie der angebotene Penetrationstest durchgeführt werden soll? Machen Sie sich im Vorfeld Gedanken, inwiefern Sie Ihre IT-Infrastruktur, Webanwendungen, IT-Arbeitsplätze, LANs und WLANs auditieren lassen wollen. Ist eventuell eine Überprüfung des Sicherheitsbewusstseins Ihrer Mitarbeiter angebracht? Passt der im Angebot beschriebene Penetrationstest zu Ihren Sicherheitszielen? Werden Sie auf die rechtlichen Voraussetzungen hingewiesen? Die Test-Module sollten soweit abgestimmt sein, dass sie die Angriffsmöglichkeiten abdecken, die große Schäden verursachen können. Lassen Sie sich vom Anbieter einen Nachtest vorschlagen, mit dem Sie – nachdem die Gegenmaßnahmen getroffen wurden – die Wirksamkeit der umgesetzten Maßnahmen geprüft werden.

TOOLS

Prüfen Sie, ob aus dem Angebot bzw. den Produktinformationen hervorgeht, welche Tools eingesetzt werden sollen. In der Regel sollte hier eine Kombination von mehreren Werkzeugen verwendet werden.

Klären Sie zudem im Vorfeld ab, in welchem Umfang vor dem Penetrationstest dem Dienstleister Informationen bereitgestellt werden, also ob der Test als Blackbox-, Greybox- oder Whitebox-Penetrationstest durchgeführt werden soll. Oftmals empfiehlt sich der Greybox-Ansatz, da hier die Informationen über den Prüfungsgegenstand übermittelt werden, so dass der Penetrationstester effizient arbeiten kann.

Unterstützt Sie der Anbieter im Vorfeld bei Durchführungsfragen, zum Beispiel wer vorab zu informieren ist (Betriebsrat, Datenschutz, externer Dienstleister, Provider usw.)? Legen Sie gemeinsam mit Ihrem Dienstleister fest, wann die Arbeiten erfolgen und wer zu dieser Zeit zur Verfügung steht.

UND DANACH?

Auch nach der erfolgten Durchführung eines Penetrationstest sollte ein Anbieter in der Lage sein, Sie bei der Verbesserung Ihres Informationssicherheitsmanagementsystems (ISMS) zu unterstützen, Begriffe wie ISO27001 bzw. BSI Grundschutz sind wichtig für eine ganzheitliche Betrachtung des Themas „Informationssicherheit“. Schließlich werden im Rahmen von Penetrationstests nur Teile der Informationssicherheit geprüft.

Zitat