Penetrationstests
Haben Sie sich jemals gefragt, ob Ihre IT-Systeme bereit sind, eine echte Bedrohung abzuwehren? Um dies unter realitätsnahen Bedingungen zu prüfen, wäre ein tatsächlicher Angriff auf Ihre Infrastruktur erforderlich. Die während eines solchen Vorfalls gesammelten Daten würden es Ihnen ermöglichen, den Reifegrad Ihrer Sicherheitsstrategie zu bewerten und diese im Hinblick auf die gefundenen Schwachstellen zu verbessern. Idealerweise geschieht dies, ohne das System zu beschädigen. Glücklicherweise ist Penetration Testing unser Spezialgebiet.
Prüfen Sie unser Angebot:
Penetration Testing für Webanwendungen
Penetration Testing für mobile Anwendungen
IoT Penetration Testing
Penetration Testing für Netzwerkinfrastrukturen
Schwachstellen-Scanning
Überprüfung des Quellcodes auf Schwachstellen
Vorteile von Penetration Testing
Identifizierung von Sicherheitslücken
Überprüfung der Systembereitschaft für Hackerangriffe
Untersuchung der durch einen erfolgreichen Angriff verursachten Schäden auf geschäftlicher und operativer Ebene
Strategie zur Aktualisierung und Entwicklung des Systems sowie der Sicherheitsprotokolle
Was ist Penetration Testing?
Ein Penetrationstest ist ein kontrollierter Angriff auf das System eines Kunden, der von einem Spezialisten durchgeführt wird, der sein gesamtes Wissen und seine Erfahrung einsetzt, um die Sicherheit zu durchbrechen. Er besteht sowohl aus manuellen als auch aus automatisierten Tests, die zusammen Aufschluss darüber geben, wie ein potenzieller Angriff ablaufen würde.
Pentesting umfasst mehrere Bereiche:
- Netzwerk: Analyse des Netzwerks und seiner Schwachstellen sowie möglicher Eintrittspunkte in das System
- Web- und mobile Anwendungen: Bewertung des Sicherheitsniveaus unter Verwendung des OWASP-Frameworks, um das Bedrohungspotenzial zu maximieren
- Internet der Dinge: Identifizierung kritischer Punkte wie Protokolle, Verschlüsselung, APIs oder Benutzeroberflächen
Gut durchgeführte Pentests ermöglichen es Ihnen, das Risiko zu bewerten, Angriffsvektoren zu lokalisieren und vor allem die Bereitschaft Ihres Sicherheitssystems zu überprüfen. Das primäre Ziel ist die Erstellung eines Plans, der die Verschärfung der Sicherheit sowie deren weitere Entwicklung kurz- und langfristig beinhaltet.
Bei der Durchführung von Penetrationstests setzen wir erstklassige Tools ein, die den bewährten Branchenpraktiken zur Gewährleistung der digitalen Sicherheit entsprechen:
- Dynamic Application Security Testing (DAST) – um Schwachstellen in Anwendungen zu finden, die bereits in Betrieb sind
- Nessus – um schnell Lücken, Bedrohungen und Fehler zu finden, die es uns ermöglichen, potenzielle Angriffsvektoren zu identifizieren und während der Tests zu nutzen
- OWASP ZAP (Zed Attack Proxy Project) – zum Scannen von Webanwendungen auf Sicherheitslücken, was die Effektivität der Tests erhöht
- Static Application Security Testing (SAST) – um Fehler im Quellcode zu finden
- Checkmarx – zur Verwaltung von Software-Schwachstellen in Continuous Integration/Delivery-Streams
- SonarQube – zur Durchführung kontinuierlicher Tests zur Erhöhung der Codesicherheit
Für beste Ergebnisse nutzen wir bei der Prüfung von mobilen und Webanwendungen den OWASP Testing Guide. Komplexere Tests, die Infrastrukturen und Großprojekte abdecken, werden nach PTES-Standards durchgeführt.
Der Weg der Zusammenarbeit gestaltet sich wie folgt:
Vertraulichkeitsvereinbarung
Nach Unterzeichnung der Vertraulichkeitsvereinbarung wird uns Zugriff auf das System gewährt.
Vorläufige Systemanalyse
Wir analysieren die Architektur und Funktionsweise des Systems, um geeignete Testmethoden auszuwählen und ein Projektangebot zu erstellen.
Preparing a team of testers
Wir stellen sicher, dass wir die besten Spezialisten für das Projekt ausgewählt haben, die über Fachwissen in der Branche des Kunden verfügen.
Präsentation des Angebots
Wir präsentieren unseren Aktionsplan detailliert und geben Einblick in die IP-Adressen des Teams, damit der Kunde sicher sein kann, dass es sich um Tests und nicht um einen tatsächlichen Angriff handelt.
Vorbereitung auf die Tests
Wir stellen sicher, dass alle Beteiligten auf Kundenseite über Umfang und Zeitplan der Tests informiert sind (einschließlich des vom Kunden genutzten Server-Hostings). Wir gewährleisten, dass die Tests den Geschäftsbetrieb nicht stören und den Systembetrieb des Kunden nicht beeinträchtigen.
Durchführung der Tests
Der Moment der Wahrheit, in dem Sie erfahren, wie es ist, von einem Hacker angegriffen zu werden. In dieser Phase melden wir kritische Schwachstellen, auf die wir stoßen, sofort.
Detaillierter Bericht
Der Bericht besteht aus zwei Teilen:
- Zusammenfassung ausschließlich zur Durchsicht durch die Unternehmensleitung
- detaillierte Richtlinien für das technische Personal
Der Bericht stellt die Arten von Bedrohungen und einzelne Beispiele zusammen mit Empfehlungen zu deren Behebung dar. Jede Schwachstelle wird detailliert beschrieben, einschließlich ihres Ursprungs, des Weges zur Reproduktion und der empfohlenen Schritte zu ihrer Beseitigung. Der Bericht wird über einen vom Kunden gewählten sicheren Kanal zugestellt.
Beratung und Re-Tests
Um die Wirksamkeit der eingeführten Änderungen zu überprüfen, werden Re-Tests empfohlen, deren Termin wir mit dem Kunden vereinbaren. Es ist auch möglich, interne Schulungen durchzuführen, um Mitarbeiter für Cybersicherheitsthemen zu sensibilisieren und weiterzubilden.
Kontaktieren Sie uns und erfahren Sie mehr
Häufig gestellte Fragen
Was ist Red Teaming?
Red Teaming ist ein simulierter Angriff, der auf das schwächste Element eines Systems abzielt – dies können ahnungslose Mitarbeiter, eine Lücke in der Sicherheitsarchitektur oder eine Software-Schwachstelle sein. Das Ziel ist es, die Sicherheit um jeden Preis zu durchbrechen.
Wie funktioniert Red Teaming?
Unsere Spezialisten nutzen eine breite Palette von Techniken sowie ihr eigenes Wissen und ihre Erfahrung. Unter den angewandten Methoden sind Social Engineering (Phishing, Smishing) und Black-Box-Tests (Einschleusen von Schadsoftware) hervorzuheben.
Kann ich nur einen bestimmten Angriffsbereich auswählen?
Wenn Sie sich Ihrer Sicherheit sicher genug fühlen, können wir uns natürlich darauf konzentrieren, Zugangsdaten über Mitarbeiter zu erlangen. Es ist jedoch dringend ratsam, das Sicherheitssystem regelmäßig zu testen, da es kein absolut angriffssicheres System gibt.
Wird Red Teaming meinen Geschäftsbetrieb beeinträchtigen?
Die Geschäftskontinuität des Kunden hat für uns oberste Priorität! Wir werden einen Angriff zu einem Zeitpunkt und in einem Umfang versuchen, der zuvor mit der Geschäftsführung und den Gesellschaftern vereinbart wurde.
Angebot anfordern
Kontaktdaten
