Welchen Pentest benötige ich?

Die Entscheidung, welchen Penetrationstest (Pentest) Ihr Unternehmen benötigt und wo Sie beginnen sollten, hängt von mehreren Faktoren ab, einschließlich der Art Ihres Unternehmens, der Branche, in der Sie tätig sind, und den spezifischen Risiken und Bedrohungen, denen Sie ausgesetzt sind. Hier sind einige Schritte und Überlegungen, die Ihnen helfen können, die richtige Entscheidung zu treffen:

Zusammenarbeit mit Experten

Es kann hilfreich sein, sich mit unseren erfahrenen IT-Sicherheitsberater und spezialisierten Pentest-Experten in Verbindung zu setzen, um die geeignete Vorgehensweise festzulegen. Wir können Ihnen helfen, die spezifischen Bedürfnisse Ihres Unternehmens zu bewerten und den Pentest zu planen und durchzuführen.

Durch die Kombination dieser Schritte und Überlegungen können Sie den geeigneten Penetrationstest für Ihr Unternehmen identifizieren und eine fundierte Entscheidung treffen, um die Sicherheitslage effektiv zu verbessern.

Schritte zur Bestimmung des geeigneten Pentests

Als typischer Penetrationstest-Anbieter haben wir ein breites Portfolio an Dienstleistungen, um verschiedene Aspekte der Cybersecurity und die spezifischen Bedürfnisse unterschiedlicher Kunden abzudecken. Hier die zentralen Schritte zur Bestimmung der geeigneten Pentests. 

1. Risikobewertung und Bedrohungsanalyse

Führen Sie eine umfassende Risikobewertung durch, um die spezifischen Bedrohungen und Schwachstellen zu identifizieren, denen Ihr Unternehmen ausgesetzt ist. Analysieren Sie vergangene Sicherheitsvorfälle und aktuelle Bedrohungstrends in Ihrer Branche.

2. Bestandsaufnahme der IT-Infrastruktur

Erfassen Sie eine detaillierte Übersicht über Ihre IT-Systeme, Netzwerke, Anwendungen und Daten. Identifizieren Sie kritische Systeme und Daten, die besonders schützenswert sind.

3. Compliance Anforderungen

Überprüfen Sie, ob es spezifische regulatorische Anforderungen oder Branchenstandards gibt, die Penetrationstests vorschreiben oder empfehlen. Beispiele sind PCI-DSS für Kreditkarteninformationen oder GDPR für personenbezogene Daten.

4. Ziele und Umfang definieren

Legen Sie fest, welche Ziele Sie mit dem Pentest erreichen wollen (z.B. Identifikation von Schwachstellen, Verbesserung der Sicherheitslage, Erfüllung von Compliance-Anforderungen). Bestimmen Sie den Umfang des Pentests (z.B. nur externe Netzwerke, interne Netzwerke, Webanwendungen).

Arten von Penetrationstests & Anwendungsbereiche

Mit welchem Pentest sollte ich beginnen?

Starten Sie mit einem externen Netzwerktest, wenn Ihre Internet-exponierten Systeme am anfälligsten erscheinen. Erwägen Sie einen internen Netzwerktest, wenn Insider-Bedrohungen oder die Sicherheit interner Systeme im Fokus stehen. Führen Sie einen Webanwendungstest durch, wenn Ihre Geschäftsprozesse stark auf Webanwendungen angewiesen sind.
Wichtig ist die Überlegung, was das Ziel ist, welcher Anwendungsbereich im Vordergrund steht und wann dieses Vorgehen sinnvoll für Sie ist.

  • Ziel: Testen der Sicherheitsmaßnahmen von außen, wie ein externer Angreifer es tun würde.
    Anwendungsbereich: Internet-exponierte Systeme, Firewalls, VPNs.
    Wann sinnvoll: Wenn Sie sicherstellen möchten, dass Ihre externen Systeme und Netzwerke gegen Angriffe von außerhalb geschützt sind.

  • Ziel: Simulieren von Angriffen innerhalb des internen Netzwerks.
    Anwendungsbereich: Interne Systeme, Netzwerksegmente, Mitarbeiterzugriffe.
    Wann sinnvoll: Um Schwachstellen zu identifizieren, die ausgenutzt werden könnten, wenn ein Angreifer Zugang zu Ihrem internen Netzwerk hat.

  • Ziel: Überprüfung der Sicherheit von Webanwendungen auf Schwachstellen wie SQL-Injection, XSS, CSRF.
    Anwendungsbereich: Webseiten, E-Commerce-Plattformen, webbasierte Anwendungen.
    Wann sinnvoll: Wenn Sie sicherstellen möchten, dass Ihre Webanwendungen sicher gegen Angriffe sind.

  • Ziel: Testen der menschlichen Faktoren und der Widerstandsfähigkeit gegen Social Engineering-Angriffe.
    Anwendungsbereich: Phishing, Telefonanrufe, physische Sicherheitsüberprüfung.
    Wann sinnvoll: Um die Sensibilisierung der Mitarbeiter für Sicherheitsbedrohungen und die Effektivität von Sicherheitsrichtlinien zu überprüfen.

  • Ziel: Überprüfung der Sicherheit von drahtlosen Netzwerken auf Schwachstellen und unsichere Konfigurationen.
  • Anwendungsbereich: WLANs, drahtlose Zugangsgeräte.
  • Wann sinnvoll: Wenn Sie drahtlose Netzwerke betreiben und deren Sicherheit überprüfen möchten.

Klassifikation von Penetrationstests (BSI)

Ein wichtiges Entscheidungskriterium ist dabei die Perspektive, aus der die Tests durchgeführt werden. Da die Angreifer unterschiedliche Motivationen und Möglichkeiten besitzen, können verschiedene Szenarien durchgespielt werden.

Der White-Box-Test stellt das Gegenstück zum Black-Box-Test dar. Hier erhält der Penetrationstester alle Informationen und Einstellungen über die zu testende Webanwendung bzw. IT-System. Dieser Test soll den Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit Detailkenntnissen simulieren.

Der Grey-Box-Test simuliert einen systematischen Angriff, bei dem ein außenstehender Hacker mit einem Insider des zu betrachtenden IT-Systems zusammenarbeitet. Der Insider verfügt dabei über einen begrenzten Zugang zum System, sowie eingeschränkte Rechte. In diesem Fall erhält der Penetrationstester nur bestimmte Informationen (Infrastruktur, Abwehrmechanismen,…) über das zu testenden IT-System.

Bei diesem Test soll ein realistischer Angriff eines Hackers simuliert werden. Der Penetrationstester erhält beispielsweise nur die URL der Webanwendung bzw. die IP-Adresse des IT-Systems. Die darüber hinaus benötigten Informationen werden in frei zugänglichen Informationsquellen recherchiert.