Penetrationstest / Pentest

Mit Penetrationstests Cyber-Resilienz stärken & Standards setzen

Ein Penetrationstest, oft auch als “Pen-Test” oder ethisches Hacking bezeichnet, ist eine autorisierte simulierte Cyberangriff auf ein Computersystem, Netzwerk oder eine Anwendung, um Sicherheitslücken oder Schwachstellen zu identifizieren und zu bewerten. Das Ziel eines Penetrationstests ist es, festzustellen, wie weit ein böswilliger Angreifer in das getestete System eindringen könnte. Penetrationstests werden von spezialisierten Sicherheitsexperten durchgeführt und spielen eine wichtige Rolle in der Sicherheitsstrategie. Ein Penetrationstest (kurz: „Pentest“) soll die Sicherheit eines IT-Systems überprüfen. 

Warum sind Pentests Wichtig? Ziele und Vorteile

Es gibt so viele mögliche Schwachstellen, machen einzelne Tests da Sinn?

Ja, um die Angriffsfläche zu minieren und die Chance auf einen erfolgreichen Angriff zu verringern. Nicht jede Schwachstelle endet in sofortiger Übernahme des Systems. Viel mehr werden Schwachstellen auch in Kombination genutzt, um dieses Ziel zu erreichen.

Pentests sind entscheidend, um potenzielle Sicherheitslücken aufzudecken, bevor sie von bösartigen Hackern ausgenutzt werden können. Sie helfen Unternehmen dabei, ihre Systeme zu schützen, Compliance-Vorschriften einzuhalten und das Risiko vor Cyberangriffen zu minimieren.

Was sind typische Angriffsvektoren?

Klassische Einfallstore sind unzureichend gepflegte Netzwerk- und Betriebssystemkonfigurationen, Webanwendungen oder auch Mitarbeiter, die sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben.

Warum sollte ich einen Pentest machen?

Schutz von Daten und geistigem Eigentum, Schutz vor Image-Verlust, Erfüllung gesetzlicher Anforderungen; Schutzbedarf berücksichtigen;

Es gibt so viele mögliche Schwachstellen, machen einzelne Tests da Sinn?

Ja, um die Angriffsfläche zu minieren und die Chance auf einen erfolgreichen Angriff zu verringern. Nicht jede Schwachstelle endet in sofortiger Übernahme des Systems. Viel mehr werden Schwachstellen auch in Kombination genutzt, um dieses Ziel zu erreichen.

Warum sind regelmäßige Pentests nachhaltig?

Warum Testintervalle für Pentests?

Halbjährlich/Jährlich
Security ist ein Prozess. Schwachstellen werden jeden Tag gefunden und nur teilweise sind diese sofort öffentlich bekannt. Ein Schwachstellen Management und Monitoring + regelmäßige Pentests, können Ihnen helfen die Angriffsfläche so gering wie nur möglich zu halten.

Penetrationstests sind nicht nur für kurzfristige Sicherheitsverbesserungen von Bedeutung, sondern auch für langfristige Verbesserungen der Sicherheitslage eines Unternehmens. Durch regelmäßige Pentests können Schwachstellen kontinuierlich identifiziert und behoben werden, was zu einer ständigen Verbesserung der Sicherheit führt.
Die “Härtung” von Systemen bezieht sich auf den Prozess der Stärkung und Absicherung von Computersystemen, Netzwerken und Anwendungen, um sie widerstandsfähiger gegenüber potenziellen Angriffen zu machen. Dies kann beispielsweise das Aktualisieren von Software-Patches, das Konfigurieren von Firewalls, das Implementieren von Zugriffskontrollen und das Verwenden von sicheren Passwörtern umfassen.
Penetrationstests tragen zur langfristigen Verbesserung bei, indem sie Schwachstellen aufdecken, die dann behoben werden können, um die Sicherheit und Widerstandsfähigkeit der Systeme zu erhöhen. Durch die kontinuierliche Durchführung von Pentests und die anschließende Härtung der Systeme können Unternehmen proaktiv auf sich verändernde Bedrohungen reagieren und ihr Sicherheitsniveau langfristig verbessern. Dieser iterative Prozess ist entscheidend, um mit den sich ständig weiterentwickelnden Cyberbedrohungen Schritt zu halten und ein hohes Maß an Sicherheit zu gewährleisten.

Pentests auf Basis internationaler Normen & Standards

Wir orientieren uns an weltweit anerkannten Standards und integrieren uns in ein vorhandenes Informationssicherheitsmanagementsystem (ISMS).  In einem funktionierenden ISMS müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. Wir sind ISO 9001 und ISO 27001 zertifiziert. 

Pentestarten

Ein wichtiges Entscheidungskriterium ist dabei die Perspektive, aus der die Tests durchgeführt werden. Da die Angreifer unterschiedliche Motivationen und Möglichkeiten besitzen, können verschiedene Szenarien durchgespielt werden.

Der White-Box-Test stellt das Gegenstück zum Black-Box-Test dar. Hier erhält der Penetrationstester alle Informationen und Einstellungen über die zu testende Webanwendung bzw. IT-System. Dieser Test soll den Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit Detailkenntnissen simulieren.

Der Grey-Box-Test simuliert einen systematischen Angriff, bei dem ein außenstehender Hacker mit einem Insider des zu betrachtenden IT-Systems zusammenarbeitet. Der Insider verfügt dabei über einen begrenzten Zugang zum System, sowie eingeschränkte Rechte. In diesem Fall erhält der Penetrationstester nur bestimmte Informationen (Infrastruktur, Abwehrmechanismen,…) über das zu testenden IT-System.

Bei diesem Test soll ein realistischer Angriff eines Hackers simuliert werden. Der Penetrationstester erhält beispielsweise nur die URL der Webanwendung bzw. die IP-Adresse des IT-Systems. Die darüber hinaus benötigten Informationen werden in frei zugänglichen Informationsquellen recherchiert.

Ablauf eines neam Penetrationstest (BSI konform)

Aufgrund der Individualität eines jeden Pentests begleiten unsere Pentest-Experten Sie in jeder der 6 Phasen mit umfangreichem Wissen und Erfahrung. 

1. Vorbereitung

In der Vorbereitungsphase werden Ziele, Umfang, Vorgehen, Notfallmaßnahmen sowie rechtliche und organisatorische Aspekte und die nötigen Voraussetzungen definiert.

2. Recherche nach Informationen über das Zielsystem

Öffentliche Quellen ermöglichen das Zusammentragen von nützlichen Informationen über die Zielsysteme und deren Umgebungen. Diese helfen bei der Planung des weiteren Vorgehens und der Identifizierung der Angriffsfläche.

3. Identifikation der verfügbaren Dienste

Die an den Zielsystemen verfügbare Dienste werden festgestellt und anschließend automatisiert und manuell überprüft.

4. Recherche nach Schwachstellen

Mit Hilfe der gesammelten Informationen können zielgerichtet mögliche Schwachstellen der Anwendungen und Betriebssysteme gesucht und identifiziert werden. Sollten während der Überprüfungen kritische Sicherheitslücken festgestellt werden, erfolgt unverzüglich eine Mitteilung, damit die Schwachstelle zeitnah beseitigt werden kann.

5. Ausnutzen der Schwachstellen

In Abstimmung mit dem Kunden erfolgt das Ausnutzen der gefundenen Schwachstellen, um das Ausmaß eines potenziellen Angriffs aufzuzeigen.

6. Dokumentation

Nach Beendigung des Penetrationstests erfolgt die Erstellung eines Berichts. Dieser beschreibt die gefundenen Schwachstellen und Behebungsmaßnahmen sowohl für das Management als auch für die technischen Verantwortlichen. Die Resultate werden anhand ihres Schweregrads kategorisiert und priorisiert.

Netzwerkinfrastruktur Penetrationstests

Was ist der Unterschied zwischen externen und internen Pentests?

Ein externer Penetrationstest konzentriert sich auf die Bewertung der Sicherheit der öffentlich zugänglichen digitalen Assets eines Unternehmens, wie Websites, Webanwendungen, E-Mail- und Domain-Name-Server (DNS), aus der Perspektive eines externen Angreifers. Das Hauptziel ist es, Sicherheitslücken zu finden, die ein Angreifer ausnutzen könnte, um unbefugten Zugriff auf Systeme oder Daten zu erlangen, ohne physischen Zugriff oder interne Netzwerkzugriffsrechte zu haben.

Ein interner Penetrationstest hingegen simuliert einen Angriff auf das interne Netzwerk des Unternehmens, der von einem Insider mit Zugriffsberechtigungen durchgeführt wird. Dies könnte ein Mitarbeiter, ein temporärer Angestellter oder jemand mit kompromittierten Anmeldeinformationen sein. Der Test bewertet, wie viel Schaden ein solcher Insider anrichten könnte, einschließlich Zugriff auf sensible Daten, Systemkontrolle oder die Fähigkeit, sich im Netzwerk weiter auszubreiten.

Beide Tests sind wesentliche Bestandteile eines umfassenden Sicherheitsprogramms, da sie unterschiedliche Bedrohungsvektoren und Angriffsszenarien abdecken. Die Kombination beider Ansätze bietet eine vollständigere Bewertung der Sicherheitslage einer Organisation.

  • Externer Penetrationstest: Identifiziert Schwachstellen, die von außerhalb des Netzwerks ausgenutzt werden könnten.
  • Interner Penetrationstest: Bewertet das Risiko und die potenziellen Schäden, die durch interne Bedrohungen oder durch externe Angreifer nach einer Erstpenetration entstehen könnten.
  • Extern: Simuliert einen externen Angreifer, der versucht, in das Netzwerk einzudringen.
  • Intern: Simuliert einen bereits authentifizierten Benutzer oder Angreifer, der versucht, seine Privilegien zu eskalieren oder interne Ressourcen zu missbrauchen.
  • Extern: Öffentlich zugängliche Systeme und Dienste.
  • Intern: Das gesamte interne Netzwerk und alle internen Dienste.
  • Extern: Konzentriert sich auf Perimeter-Sicherheit, einschließlich Firewall-Konfiguration, ungesicherte Dienste, Schwachstellen in Webanwendungen und andere externe Angriffsvektoren.
  • Intern: Konzentriert sich auf Zugriffskontrollen, Netzwerksegmentierung, interne Dienste, Missbrauch von Benutzerberechtigungen und andere Bedrohungen von innen.

Beide Arten von Tests generieren wichtige Einblicke in die Sicherheitslage einer Organisation, aber die aus einem internen Test resultierenden Empfehlungen sind in der Regel auf die Stärkung der internen Kontrollen und Verfahren ausgerichtet, während externe Tests Empfehlungen zur Absicherung der externen Angriffsoberfläche bieten.

Webanwendung

Website, Webshop, API etc.
  • Automatisierte & manuelle Testverfahren
  • Schwachstellenscan
  • Check der Webfunktionen wie Login, Formulare, WaWi, CRM etc.
  • Prüfung u.a. OWASP Top Ten
  • mit oder ohne Zugangsdaten

Test von Außen

externe Infrastruktur, Servernetzwerke
  • Automatisierte & manuelle Testverfahren
  • Schwachstellenscan
  • Analyse der öffentlich zugänglichen Systeme
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
Topseller

Test von Innen

interne Infrastruktur, Client- und Servernetzwerke
  • Automatisierte & manuelle Testverfahren
  • Schwachstellenscan
  • Analyse des internen Netzwerks
  • Automatisierte AD Überprüfung
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
Topseller

Standardarbeitsplatz

Überprüfung
  • Automatisierter Scan des Clients
  • Überprüfung der Absicherung vor physischem Zugriff
  • Überprüfung auf Fehlkonfigurationen

Phishing-Test

einmalig, individuell
  • ungefährliche Simulation
  • übersichtliche, anonyme Auswertung und Branchenvergleich
  • beliebige Anzahl von E-Mail Adressen

Social Engineering

Phishing, Telefon, Werbegeschenk ...
  • Security Awareness der Mitarbeiter überprüfen
  • einfache bis komplexe Angriffs-Szenarien
  • wir stimmen jedes Szenario auf Ihren Bedarf ab

Pentestanbieter

Ein typischer Penetrationstest-Anbieter hat heutzutage ein breites Portfolio an Dienstleistungen, um verschiedene Aspekte der Cybersecurity und die spezifischen Bedürfnisse unterschiedlicher Kunden abzudecken. Hier ist eine Übersicht über die gängigen Arten von Penetrationstests:

Schwachstellenscans

Während Schwachstellenscans weniger tiefgehend als vollständige Penetrationstests sind, bieten sie einen schnellen Überblick über bekannte Schwachstellen in Systemen und Anwendungen. Sie sind ein wichtiger erster Schritt in Richtung umfassenderer Sicherheitsbewertungen. 

Webanwendungen

Diese Tests konzentrieren sich auf das Aufdecken von Sicherheitslücken in Webanwendungen, wie z.B. SQL-Injection, Cross-Site Scripting (XSS), und Sicherheitskonfigurationsfehler. Sie sind entscheidend für Unternehmen, die Online-Dienste oder E-Commerce-Plattformen betreiben. 

Netzwerkinfrastruktur

Diese Tests zielen darauf ab, Schwachstellen in der öffentlichen und internen Netzwerkinfrastruktur eines Unternehmens zu identifizieren, einschließlich Schwachstellen in Firewalls, Routern, Switches, und VPN-Zugängen. Sie sind wesentlich für die Gewährleistung der Sicherheit von internen und externen Netzwerkverbindungen.

Phishing Test

Phishing ist eine Art von Cyberangriff, bei dem Betrüger versuchen, sensible Informationen von Nutzern zu erschleichen, indem sie sich als vertrauenswürdige Quellen oder Institutionen ausgeben. Bei einem Phishing-Angriff werden in der Regel E-Mails, Textnachrichten oder Websites verwendet, die so gestaltet sind, dass sie denen legitimer Unternehmen oder Organisationen ähneln. 

Social Engineering

Diese Tests simulieren Angriffe, die auf menschliche Fehler oder Manipulation abzielen, wie Phishing, Vishing (Voice-Phishing) oder Pretexting. Ziel ist es, die Awareness und Reaktionsfähigkeit der Mitarbeiter gegenüber solchen Bedrohungen zu erhöhen. 

Physische Tests

Obwohl oft übersehen, sind physische Sicherheitstests ein wichtiger Bestandteil eines umfassenden Sicherheitskonzepts. Sie bewerten, wie gut physische Sicherheitsmaßnahmen wie Zugangskontrollen, Sicherheitsschlösser und Überwachungskameras, physische Bedrohungen abwehren können. 

AD Pentest

Ein AD Pentest (Active Directory Penetrationstest) ist ein sicherheitstechnischer Test, der darauf abzielt, Schwachstellen und Sicherheitslücken in der Active Directory (AD) Umgebung eines Unternehmens zu identifizieren und zu bewerten. Die Active Directory ist ein Verzeichnisdienst von Microsoft, der für die Verwaltung von Benutzerkonten, Gruppen, Computern und anderen Ressourcen innerhalb eines Netzwerks verwendet wird.

API Pentest

Ein API Pentest (Application Programming Interface Penetrationstest) ist ein sicherheitstechnischer Test, der darauf abzielt, Schwachstellen und Sicherheitslücken in den Schnittstellen (APIs) einer Anwendung zu identifizieren und zu bewerten. APIs ermöglichen den Datenaustausch und die Interaktion zwischen verschiedenen Softwareanwendungen und -diensten.

Workstation

Um die Client-Sicherheit im Netzwerk zu prüfen, wird ein repräsentativer Arbeitsplatzrechner auf Schwachstellen und Fehlkonfigurationen untersucht.

Penetrationatests trotz Angriffserkennung?

Pentests sind trotz vorhandener Angriffserkennungssysteme zwingend erforderlich, weil sie einen proaktiven Ansatz zur Identifizierung von Schwachstellen bieten, während Angriffserkennungssysteme reaktiv sind.

Insgesamt ergänzen sich Pentests und Angriffserkennungssysteme, um die Sicherheit einer Organisation zu stärken. Während Angriffserkennungssysteme Bedrohungen in Echtzeit erkennen können, bieten Pentests eine proaktive Möglichkeit, potenzielle Schwachstellen zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

Angriffserkennungssysteme sind darauf ausgelegt, bekannte Angriffsmuster zu erkennen. Pentests können jedoch auch unbekannte Schwachstellen aufdecken, die möglicherweise nicht von Angriffserkennungssystemen erfasst werden.

Pentests simulieren reale Angriffe und testen die Reaktion des Systems auf verschiedene Szenarien. Dies ermöglicht es, die Effektivität von Sicherheitsmaßnahmen unter realen Bedingungen zu überprüfen und gegebenenfalls zu verbessern.

Während Angriffserkennungssysteme nur eine Komponente der Sicherheitsstrategie darstellen, bieten Pentests eine ganzheitliche Sicherheitsbewertung, die verschiedene Aspekte der IT-Infrastruktur abdeckt, einschließlich Anwendungen, Netzwerke und physische Sicherheitsmaßnahmen.

Viele Branchenstandards und Compliance-Anforderungen fordern regelmäßige Pentests als Teil eines umfassenden Sicherheitsprogramms. Selbst wenn ein Unternehmen ein Angriffserkennungssystem hat, kann es dennoch erforderlich sein, Pentests durchzuführen, um Compliance-Vorgaben zu erfüllen.

Wie tragen Pentests zur Umsetzung von NIS2 bei?

Die NIS2-Richtlinie (Netz- und Informationssicherheit) legt EU-weite Standards für die Cybersicherheit fest. Pentests sind ein wichtiger Bestandteil der NIS2-Compliance, da sie Unternehmen dabei unterstützen, ihre digitalen Infrastrukturen zu schützen und auf potenzielle Sicherheitsbedrohungen vorbereitet zu sein. Penetrationstests sind unverzichtbar, um die Sicherheit Ihrer Systeme zu gewährleisten. 

Pentest Know-How

Das entscheidende Kriterium: Wer führt den Test durch? Eine gute Bewertungsbasis bieten hierfür die „gängigen“ Zertifizierungen (zum Beispiel Certified Ethical Hacker oder Offensive Security Certified Professional ) oder in einer Kombination mit einer Referenzliste. Idealerweise enthält die Referenzliste anrufbare Ansprechpartner, die telefonisch Auskunft über die Qualität des durchgeführten Penetrationstests geben können.

DOKUMENTATION

Das Ergebnis. Daraus müssen Sie Rückschlüsse ziehen können, welche Maßnahmen sinnvoll und angemessen die identifizierten Schwachstellen eliminieren und das daraus resultierende Risiko verringern können. Achten Sie auf eine verständliche Präsentation, Erklärung und Bewertung der Risiken. Nicht jede gefundene Schwachstelle bedeutet ein Risiko für Sie! Fordern Sie Beispieldokumentationen an, um sich ein Bild über das zu erwartende Ergebnis machen zu können. Ein ausgedrucktes Protokoll eines Schwachstellenscanners hilft Ihnen nur wenig, Sie sollten aus der Dokumentation erkennen können, wie das festgestellte Ergebnis erreicht wurde.

ANGEBOTSAUFBAU

Transparenz im Vorfeld. Verstehen Sie, wie der angebotene Penetrationstest durchgeführt werden soll? Machen Sie sich im Vorfeld Gedanken, inwiefern Sie Ihre IT-Infrastruktur, Webanwendungen, IT-Arbeitsplätze, LANs und WLANs auditieren lassen wollen. Ist eventuell eine Überprüfung des Sicherheitsbewusstseins Ihrer Mitarbeiter angebracht? Passt der im Angebot beschriebene Penetrationstest zu Ihren Sicherheitszielen? Werden Sie auf die rechtlichen Voraussetzungen hingewiesen? Die Test-Module sollten soweit abgestimmt sein, dass sie die Angriffsmöglichkeiten abdecken, die große Schäden verursachen können. Lassen Sie sich vom Anbieter einen Nachtest vorschlagen, mit dem Sie – nachdem die Gegenmaßnahmen getroffen wurden – die Wirksamkeit der umgesetzten Maßnahmen geprüft werden.

TOOLS

Prüfen Sie, ob aus dem Angebot bzw. den Produktinformationen hervorgeht, welche Tools eingesetzt werden sollen. In der Regel sollte hier eine Kombination von mehreren Werkzeugen verwendet werden.

Klären Sie zudem im Vorfeld ab, in welchem Umfang vor dem Penetrationstest dem Dienstleister Informationen bereitgestellt werden, also ob der Test als Blackbox-, Greybox- oder Whitebox-Penetrationstest durchgeführt werden soll. Oftmals empfiehlt sich der Greybox-Ansatz, da hier die Informationen über den Prüfungsgegenstand übermittelt werden, so dass der Penetrationstester effizient arbeiten kann.

Unterstützt Sie der Anbieter im Vorfeld bei Durchführungsfragen, zum Beispiel wer vorab zu informieren ist (Betriebsrat, Datenschutz, externer Dienstleister, Provider usw.)? Legen Sie gemeinsam mit Ihrem Dienstleister fest, wann die Arbeiten erfolgen und wer zu dieser Zeit zur Verfügung steht.

UND DANACH?

Auch nach der erfolgten Durchführung eines Penetrationstest sollte ein Anbieter in der Lage sein, Sie bei der Verbesserung Ihres Informationssicherheitsmanagementsystems (ISMS) zu unterstützen, Begriffe wie ISO27001 bzw. BSI Grundschutz sind wichtig für eine ganzheitliche Betrachtung des Themas „Informationssicherheit“. Schließlich werden im Rahmen von Penetrationstests nur Teile der Informationssicherheit geprüft.

Social Engineering wird von vielen Experten als die effektivste und effizienteste Möglichkeit zur Überwindung von Sicherheitstechnologien angesehen. Grundlage dieser raffinierten Methode ist die Manipulation von Menschen mit dem Ziel, durch Sie an sensible Daten zu gelangen und unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen.

Es sind Klassiker, aber stellen Sie sich folgende Fragen gewissenhaft?

  • Der USB-Stick, den Sie gerade nutzen möchten, wo ist der eigentlich her?
  • Super, dass Sie zufällig über ein soziales Netzwerk jemanden kennenglernt haben, der exakt in der gleichen Branche tätig ist. So ein Austausch unter „Kollegen“ ist doch immer eine gute Sache. Oder?
  • Die Aushilfe vom Paket-Service – war das Logo auf der Jacke nicht irgendwie anders als gestern? Na was soll es, wird schon passen?
  • Wer war die junge Dame, die zuletzt den Fahrstuhl verlassen hat und der Sie eben die Tür aufgehalten haben? Hatte Sie überhaupt eine Zugangskarte?

Diese Auflistung lässt sich vermutlich bis in alle Ewigkeiten fortführen. Was sie aber in jedem Fall klar zum Ausdruck bringt. Menschen neigen gerade in Stresssituation oder Momenten des Leichtsinns dazu, auf den ersten Blick unkritische Sachverhalte nicht aus mehreren Blickwinkeln zu beatrachten. Angreifer wären schön blöd, wenn sie daraus keinen Nutzen ziehen würden.

Social Engineers wissen um bestimmte Phänomene wie Reziprozität, Autoritätsgehorsam oder Verantwortungsdiffusion und richten ihre Handlungen danach aus. Sie nutzen die Emotionen, Motive und Bedürfnisse ihrer Opfer, um sie zu manipulieren wie z. B. Angst, Vertrauen, Unsicherheit, Scham, Konfliktvermeidung, Hilfsbereitschaft, Kunden­freundlichkeit, Wunsch ein guter Teamplayer zu sein.

Die Vorgehensweise der Angreifer folgt meist einem bestimmten Muster

Mit Recherchen im Umfeld von Unternehmen, Behörden und Organisationen spionieren Social Engineers auf Basis öffentlich zugänglicher Datenquellen das persönliche Umfeld ihres Opfers aus. Soziale Netzwerke und Firmenwebseiten geben hier in der Regel eine gute Möglichkeit einer umfangreichen Recherche über die Zielpersonen. Der Täter nutzt diese Informationen, um potentielle Opfer zu identifizieren oder mehr über eine bereits gewählte Zielperson zu erfahren.

Eine Möglichkeit zum Schutz gegen Social Engineering Angriffe ist die Sensibilisierung, Schulung und Training der Mitarbeiter im Umgang mit Informationssicherheit. Kernaspekte der Informationssicherheit sind die Aufrecht­erhaltung der Verfügbarkeit, Integrität und der Vertraulichkeit von Informationen.

Der Umgang mit Informationssicherheit ist Teil jeder Unternehmenskultur und daher von großer Bedeutung. Die gesamte Organisation und die Mitarbeiter sollten in die Maßnahmen zur Informationssicherheit mit einbezogen werden.

Wir bieten durch unsere erfahrenen Penetrationstester spezielle Module zum Bereich Social Engineering an. Mit Phishing-Attacken oder z. B. dem USB-Drop testen wir Ihr ISMS auf diese „Lücke“ hin durch eine realitätsnahe Simulation.

Unser Ziel ist es, die Schwachstellen im ISMS unserer Kunden zu finden, um durch Aufklärung und Schulung zukünftige Angriffe zu verhindern oder zumindest zu erschweren. Dabei sind wir uns bewusst, dass es gerade im Bereich Social Engineering immer wieder möglich sein wird, einen erfolgreichen Angriff auszuführen.

Der Social Engineer gehört nicht zur Gemeinschaft der Ethical Hacker, sondern nutzt positive Eigenschaften wie Hilfsbereitschaft und Vertrauen aus, um Menschen für seine Zwecke zu manipulieren. Eine Unternehmenskultur von Misstrauen und Angst halten wir dennoch nicht für erstrebenswert.

Im Gegenteil, unser Ziel ist es, die Mitarbeiter in Ihrem Unternehmen für Social Engineering Attacken zu sensibilisieren und das Bewusstsein für Informationssicherheit zu stärken, damit Ihre Mitarbeiter besser informiert und Ihre Daten in Zukunft sicherer sind.

Ist die Vorbereitungsphase abgeschlossen, beginnen die Penetrationstester mit der Phase der Informationsbeschaffung. Hier werden in frei zugänglichen Informationsquellen so viele Informationen wie möglich über die zu testende Anwendung gesammelt. Auch das sogenannte „Google-Hacking“ kommt hier zum Einsatz, bei dem spezielle Google-Suchparameter verwendet werden, um beispielsweise geschützte Verzeichnisse der Anwendung ausfindig zu machen.

IDENTIFIKATION DER ANGRIFFSVEKTOREN

Sind alle benötigten Informationen recherchiert und gesammelt worden, werden nun mögliche Angriffsvektoren, also Eintrittspunkte für einen Angreifer, identifiziert. Dazu werden die beschafften Informationen ausgewertet und nach bekannten Schwachstellen hin untersucht.

ANGRIFFSPHASE – AUTOMATISIERT

Nun beginnt die Angriffsphase, in der die zu testende Anwendung mit automatisierten Angriffen auf Sicherheit und Zuverlässigkeit geprüft wird. Sogenannte „Brute-Force-Angriffe“ (Durchprobieren aller Schlüssel) oder Wörterbuch-Angriffe (Angriff mit einer Passwortliste) überprüfen die Stärke bzw. Sicherheit der verwendeten Passwörter.

ANGRIFFSPHASE – TEILAUTOMATISIERT UND MANUELL

Die meisten Tests bzw. Angriffe werden jedoch manuell durchgeführt, da die jeweiligen Schwachstellen durch ihren hohen Individualisierungsgrad nicht automatisiert getestet werden können. Ein besonderes Augenmerk beim Testen wird auf die sogenannten „OWASP Top10“ gelegt. OWASP steht für „Open Web Application Security Project“ und ist eine Organisation, die die Verbesserung der Sicherheit im Internet zum Ziel hat. Die OWASP Top10 werden regelmäßig aktualisiert und bezeichnen die zehn gefährlichsten und meist genutzten Sicherheitslücken von Webanwendungen.

 

Auch bei einem Infrastruktur-Pentest müssen Informationen über das zu testende IT-System gesammelt werden. Hier werden die nötigen Informationen jedoch durch das sogenannte „Portscanning“ gewonnen.  Diese werden dazu genutzt, um die in einem Netz aktiven IT-Systeme ausfindig zu machen und die dort angebotenen Dienste (Ports) zu identifizieren. Die beim Portscan erkannten Dienste werden anschließend durch einen Schwachstellen-Scan auf ihre Anfälligkeit hin untersucht.

Der ANGRIFF

Durch verschiedene Passwort-Angriffe, wie sie auch beim Web-Pentest durchgeführt werden, wird die Sicherheit der verwendeten Passwörter überprüft. Spezielle Exploits (Ausnutzung von Schwachstellen) kommen zum Einsatz, um vorhandene Sicherheitslücken aufzudecken.

Die Port- und Schwachstellenscans können auch vor Ort über das Intranet durchgeführt werden. Die Unterschiede beim Intranet-Scan bestehen darin, dass keine Internet-Firewall dazwischen geschaltet i