Pentest anfragen

Ein Penetrationstest, oft auch als “Pen-Test” oder ethisches Hacking bezeichnet, ist eine autorisierte simulierte Cyberangriff auf ein Computersystem, Netzwerk oder eine Anwendung, um Sicherheitslücken oder Schwachstellen zu identifizieren und zu bewerten.

Das Ziel eines Penetrationstests ist es, festzustellen, wie weit ein böswilliger Angreifer in das getestete System eindringen könnte. Penetrationstests werden von spezialisierten Sicherheitsexperten durchgeführt und spielen eine wichtige Rolle in der Sicherheitsstrategie. Ein Penetrationstest (kurz: „Pentest“) soll die Sicherheit eines IT-Systems überprüfen. 

Webanwendung

Website, Webshop, API etc.
  • Automatisierte & manuelle Testverfahren
  • Schwachstellenscan
  • Check der Webfunktionen wie Login, Formulare, WaWi, CRM etc.
  • Prüfung u.a. OWASP Top Ten
  • mit oder ohne Zugangsdaten

Test von Außen

externe Infrastruktur, Servernetzwerke
  • Automatisierte & manuelle Testverfahren
  • Schwachstellenscan
  • Analyse der öffentlich zugänglichen Systeme
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
Topseller

Test von Innen

interne Infrastruktur, Client- und Servernetzwerke
  • Automatisierte & manuelle Testverfahren
  • Schwachstellenscan
  • Analyse des internen Netzwerks
  • Automatisierte AD Überprüfung
  • Check von DNS-Servern, Mail-Servern, Firewall etc.
Topseller

Standardarbeitsplatz

Überprüfung
  • Automatisierter Scan des Clients
  • Überprüfung der Absicherung vor physischem Zugriff
  • Überprüfung auf Fehlkonfigurationen

Phishing-Test

einmalig, individuell
  • ungefährliche Simulation
  • übersichtliche, anonyme Auswertung und Branchenvergleich
  • beliebige Anzahl von E-Mail Adressen

Social Engineering

Phishing, Telefon, Werbegeschenk ...
  • Security Awareness der Mitarbeiter überprüfen
  • einfache bis komplexe Angriffs-Szenarien
  • wir stimmen jedes Szenario auf Ihren Bedarf ab

Unsere Pentests | Vorgehen & Expertise

Erfahrung und Expertise: Wir sind ein Dienstleister mit nachgewiesener Erfahrung und Expertise in der Durchführung von Pentests. Flexibilität und Anpassungsfähigkeit: Wir sind flexibel und in der Lage, den Pentest gemäß Ihren spezifischen Anforderungen zu konfigurieren. 
Vertragliche Klarheit: Wir bieten klare vertragliche Vereinbarungen über den Umfang, die Ziele und die Verantwortlichkeiten im Rahmen des Pentests und sorgen für eine transparente Preisgestaltung und klare Definition der Leistungen.

Wir gewährleisten die Vertraulichkeit und Integrität der Informationen während und nach dem Pentest weil wir ein erfahrener Pentest-Dienstleister sind, der Ihren spezifischen Anforderungen gerecht wird und Ihnen hilft, die Sicherheitslage Ihres Unternehmens effektiv zu verbessern.

Pentest-Kompetenz

  • zertifizierte Ethical Hacker (CEH / OSCP) und IT-Forensiker (IHK)
  • Durchführung von über 300 Pentest-Projekten pro Jahr
  • Pentests nach BSI-Standard​

Kurzfristige Umsetzung

  • Kickoff innerhalb weniger Tage nach Auftragserteilung
  • Pentest-Umsetzung meist innerhalb von 2-4 Wochen
  • Zuverlässige Einhaltung von Deadlines

Faire & transparente Preise

  • Standard-Pentests zu Festpreisen
  • individuelle Pentests mit voller Kostenkontrolle / Budget-Obergrenzen
  • Angebote aus eigenständigen Modulen, die einzeln beauftragt werden können

Das gilt für alle unsere Tests

  • Transparente Kommunikation: Wir halten während des Testprozesses eine offene und transparente Kommunikation mit dem Pentest-Team aufrecht. Dokumentation und Berichterstattung: Wir stellen sicher, dass alle Testaktivitäten und Ergebnisse sorgfältig dokumentiert und in verständlichen Berichten zusammengefasst werden.

  • Analyse der Berichte: Wir prüfen die Berichte und Empfehlungen und priorisieren die identifizierten Schwachstellen. Maßnahmenplan: Wir entwickeln einen Maßnahmenplan zur Behebung der Schwachstellen und Verbesserung der Sicherheitsmaßnahmen.

  • Nachtests: Wir führen auf Wunsch Nachtests durch, um sicherzustellen, dass die Schwachstellen erfolgreich behoben wurden. Kontinuierliche Überwachung:  Wir implementieren auch regelmäßige Sicherheitsüberprüfungen und Pentests, um die Sicherheitslage kontinuierlich zu verbessern.

Ablauf eines neam Penetrationstest (BSI konform)

Aufgrund der Individualität eines jeden Pentests begleiten unsere Pentest-Experten Sie in jeder der 6 Phasen mit umfangreichem Wissen und Erfahrung. Ein erfahrener Pentester folgt einem systematischen Ansatz, der die Planung, Informationssammlung, Schwachstellenanalyse, Exploitation, Berichtserstellung und Nachtests umfasst. Durch die Kombination von automatisierten Tools und manuellen Techniken können wir tiefgehende und umfassende Sicherheitsbewertungen durchführen und konkrete Empfehlungen zur Verbesserung der Sicherheitslage geben.

 

1. Vorbereitung

In der Vorbereitungsphase werden Ziele, Umfang, Vorgehen, Notfallmaßnahmen sowie rechtliche und organisatorische Aspekte und die nötigen Voraussetzungen definiert.

2. Recherche nach Informationen über das Zielsystem

Öffentliche Quellen ermöglichen das Zusammentragen von nützlichen Informationen über die Zielsysteme und deren Umgebungen. Diese helfen bei der Planung des weiteren Vorgehens und der Identifizierung der Angriffsfläche.

3. Identifikation der verfügbaren Dienste

Die an den Zielsystemen verfügbare Dienste werden festgestellt und anschließend automatisiert und manuell überprüft.

4. Recherche nach Schwachstellen

Mit Hilfe der gesammelten Informationen können zielgerichtet mögliche Schwachstellen der Anwendungen und Betriebssysteme gesucht und identifiziert werden. Sollten während der Überprüfungen kritische Sicherheitslücken festgestellt werden, erfolgt unverzüglich eine Mitteilung, damit die Schwachstelle zeitnah beseitigt werden kann.

5. Ausnutzen der Schwachstellen

In Abstimmung mit dem Kunden erfolgt das Ausnutzen der gefundenen Schwachstellen, um das Ausmaß eines potenziellen Angriffs aufzuzeigen.

6. Dokumentation

Nach Beendigung des Penetrationstests erfolgt die Erstellung eines Berichts. Dieser beschreibt die gefundenen Schwachstellen und Behebungsmaßnahmen sowohl für das Management als auch für die technischen Verantwortlichen. Die Resultate werden anhand ihres Schweregrads kategorisiert und priorisiert.

Netzwerkinfrastruktur Penetrationstests

Was ist der Unterschied zwischen externen und internen Pentests?

Ein externer Penetrationstest konzentriert sich auf die Bewertung der Sicherheit der öffentlich zugänglichen digitalen Assets eines Unternehmens, wie Websites, Webanwendungen, E-Mail- und Domain-Name-Server (DNS), aus der Perspektive eines externen Angreifers. Das Hauptziel ist es, Sicherheitslücken zu finden, die ein Angreifer ausnutzen könnte, um unbefugten Zugriff auf Systeme oder Daten zu erlangen, ohne physischen Zugriff oder interne Netzwerkzugriffsrechte zu haben.

Ein interner Penetrationstest hingegen simuliert einen Angriff auf das interne Netzwerk des Unternehmens, der von einem Insider mit Zugriffsberechtigungen durchgeführt wird. Dies könnte ein Mitarbeiter, ein temporärer Angestellter oder jemand mit kompromittierten Anmeldeinformationen sein. Der Test bewertet, wie viel Schaden ein solcher Insider anrichten könnte, einschließlich Zugriff auf sensible Daten, Systemkontrolle oder die Fähigkeit, sich im Netzwerk weiter auszubreiten.

Beide Tests sind wesentliche Bestandteile eines umfassenden Sicherheitsprogramms, da sie unterschiedliche Bedrohungsvektoren und Angriffsszenarien abdecken. Die Kombination beider Ansätze bietet eine vollständigere Bewertung der Sicherheitslage einer Organisation.

  • Externer Penetrationstest: Identifiziert Schwachstellen, die von außerhalb des Netzwerks ausgenutzt werden könnten.
  • Interner Penetrationstest: Bewertet das Risiko und die potenziellen Schäden, die durch interne Bedrohungen oder durch externe Angreifer nach einer Erstpenetration entstehen könnten.
  • Extern: Simuliert einen externen Angreifer, der versucht, in das Netzwerk einzudringen.
  • Intern: Simuliert einen bereits authentifizierten Benutzer oder Angreifer, der versucht, seine Privilegien zu eskalieren oder interne Ressourcen zu missbrauchen.
  • Extern: Öffentlich zugängliche Systeme und Dienste.
  • Intern: Das gesamte interne Netzwerk und alle internen Dienste.
  • Extern: Konzentriert sich auf Perimeter-Sicherheit, einschließlich Firewall-Konfiguration, ungesicherte Dienste, Schwachstellen in Webanwendungen und andere externe Angriffsvektoren.
  • Intern: Konzentriert sich auf Zugriffskontrollen, Netzwerksegmentierung, interne Dienste, Missbrauch von Benutzerberechtigungen und andere Bedrohungen von innen.

Beide Arten von Tests generieren wichtige Einblicke in die Sicherheitslage einer Organisation, aber die aus einem internen Test resultierenden Empfehlungen sind in der Regel auf die Stärkung der internen Kontrollen und Verfahren ausgerichtet, während externe Tests Empfehlungen zur Absicherung der externen Angriffsoberfläche bieten.

Vorteile individueller Konfiguration

Die Hauptgründe für eine individuell konfigurierbare Pentest-Lösung:

  • Gezielte Tests: Sie können den Umfang und die Schwerpunkte des Pentests auf die spezifischen Bereiche Ihrer IT-Infrastruktur legen, die besonders schützenswert oder risikobehaftet sind.
    Branchenanforderungen: Berücksichtigung spezifischer Anforderungen und Bedrohungen, die für Ihre Branche relevant sind.

  • Kosteneffizienz: Durch die Fokussierung auf kritische Systeme und Anwendungen können Sie Ressourcen gezielt und effizient einsetzen, was besonders für kleine und mittelständische Unternehmen von Vorteil ist.
    Zeitersparnis: Ein maßgeschneiderter Pentest kann schneller durchgeführt werden, da unnötige Tests vermieden werden.

  • Dynamische Anpassung: Sie haben die Möglichkeit, den Pentest-Umfang flexibel anzupassen, wenn sich die Anforderungen oder Prioritäten ändern.
    Kontrolle über den Testprozess: Sie behalten die Kontrolle über den gesamten Testprozess und können sicherstellen, dass alle relevanten Aspekte berücksichtigt werden.

  • Ganzheitlicher Ansatz: Sie können sicherstellen, dass alle relevanten Teile Ihrer IT-Infrastruktur abgedeckt werden, einschließlich Netzwerke, Anwendungen, mobile Geräte und Cloud-Dienste.
    Berücksichtigung interner und externer Bedrohungen: Durch die Kombination von internen und externen Tests erhalten Sie ein umfassendes Bild der Sicherheitslage.

  • Erfüllung spezifischer Vorschriften: Sie können den Pentest so konfigurieren, dass er spezifische regulatorische Anforderungen und Compliance-Vorgaben erfüllt, wie z.B. PCI-DSS, GDPR oder ISO 27001.
    Dokumentation und Nachweis: Eine maßgeschneiderte Konfiguration ermöglicht es Ihnen, spezifische Berichte zu erstellen, die für Audits und Nachweise erforderlich sind.

  • Detaillierte Erkenntnisse: Ein gezielter Pentest liefert detaillierte und spezifische Erkenntnisse über Schwachstellen, die für Ihr Unternehmen besonders relevant sind.
    Maßgeschneiderte Empfehlungen: Die Ergebnisse und Empfehlungen sind direkt auf Ihre IT-Umgebung und Geschäftsprozesse abgestimmt, was die Umsetzung effektiver Maßnahmen erleichtert.

    Wie eine selbst konfigurierbare Pentest-Lösung umgesetzt werden kann

  • Analyse der IT-Infrastruktur: Führen Sie eine gründliche Analyse Ihrer IT-Infrastruktur durch, um die kritischen Systeme und potenziellen Schwachstellen zu identifizieren.
    Festlegung der Ziele: Definieren Sie klare Ziele und Prioritäten für den Pentest, basierend auf den spezifischen Sicherheitsanforderungen Ihres Unternehmens.

  • Detaillierte Planung: Arbeiten Sie eng mit dem Pentest-Team zusammen, um den Umfang und die Methodik des Tests detailliert zu planen.
    Integration von automatisierten und manuellen Tests: Kombinieren Sie automatisierte Scans mit manuellen Tests, um eine gründliche und umfassende Sicherheitsbewertung zu gewährleisten.