Penetration Testing
Was verstehen wir unter einem Penetration Test?
Beim Pentest (Penetration Testing) geht es um das manuelle Überprüfen von IT Systemen auf Sicherheitslücken oder auch Schwachstellen. Anders als beim IT Sicherheitsaudit werden Sicherheitslücken (z.B. Pufferüberläufe, Format String Vulnerabilities oder simple Rainbow Table Angriffe auf leider oft noch genutzte NTLMv2 Authentifizierungen) weitestgehend ausgenutzt, sodass ein realistisches Bild von der Unternehmenssicherheit entsteht.
Tauchen neben bekannten Sicherheitslücken bei der IT Sicherheitsanalyse zusätzlich bis Dato unbekannte Sicherheitslücken – sogenannte 0-day Vulnerabilities auf, stimmen wir das Vorgehen hier detailliert mit Ihnen ab, da i.d. R. Software befallen ist, bei der ein Dritter (Hersteller) verantwortlich ist, Sie aber von der Sicherheitslücke betroffen sind. Diese 0-day Sicherheitslücken nutzen wir aus ethischen Gründen nicht aus, da der Hersteller die Chance haben muss, diese zu beheben – da sich immer wieder 0-days im Rahmen von Penetration Tests bei unseren Kunden und vielleicht auch bei Ihnen auffinden lassen, haben wir für solche Fälle interne Compliance Vorgaben, wie mit diesen „Responsible Disclosures“ zu verfahren ist. Diese und weitere Themen werden mit Ihnen in einem gemeinsamem Kickoff Termin besprochen und dokumentiert.
Unser Penetrationstest Portfolio finden Sie hier.
Penetration Testing Zertifizierungen und Standards
Penetration Testing ganzheitlich - Physical Security & Social Engineering
Neben der rein technischen IT Sicherheit gehören zu unserem Penetration Testing noch weitere Felder wie die physische IT Sicherheit. Damit wir diesen Bereich ausgiebig testen können, nutzen wir Hilfsmittel wie kopierte RFID oder Mifare Zutrittskarten für Türen oder Sicherheitsschleusen, um uns den direkten Unternehmenszutritt zu verschaffen – aber auch Lockpicking kommt bei uns nicht zu kurz.
Am Ende des Tages bleibt dann noch ein Restrisiko – der Mensch. Daher testen wir dieses Risiko mittels Social Engineering präferiert bei allen Penetration Tests mit – nur so schafft man echte User Awareness und viel wichtiger, ein ganzheitliches Bild der IT Sicherheit.
Jede Sicherheitslücke wird dokumentiert, im Anschluss wird das Gefahrenpotenzial eingestuft und Empfehlungen gegeben, wie die Sicherheitslücken gelöst werden können. Neben dem CVSS(v3) zur Einstufung der Sicherheitslücken ergänzen wir die Risikoeinstufung durch Senior Penetration Tester, da der CVSS alleine oft eine nicht geschäftsorientierte Einschätzung liefert, was folgendes Beispiel veranschaulicht: Kompromittieren wir eine Smartwatch, die im Mobile Device Management (MDM) vergessen wurde zu integrieren, welche über eine Sicherheitslücke mit einem CVSS größer als 9 versehen ist, wäre das Finding kritisch. Wenn diese Smartwatch aber keine sensiblen Daten, Zugänge oder sonstige Schnittstellen enthält, stufen wir das Risiko geringer ein – da Hackern schließlich „wertlose“ Assets nichts bringen.
Von uns erhalten Sie nicht einfach nur einen Nessus- oder OpenVAS Scan-Report – verkauft als Penetration Test. Wir führen einen speziell auf Ihr Unternehmen abgestimmten Penetration Test durch – Qualität statt Quantität.
Welche Vorteile bietet mir ein Penetration Test?
Mittels eines Pentests können Bedrohungen und unbekannte Schwachstellen in Ihren IT-Systemen aufgedeckt werden. Durch den neutralen Blick eines außenstehenden „Gutachters“ erhalten Sie eine objektive Einschätzung bezüglich potenzieller Gefahrenpunkte. Oft dient der Penetration Test auch als Instrument um dem Top Management Projektprioritäten zu verdeutlichen, da teils noch Defizite existieren, warum spezielle Themengebiete priorisiert bearbeitet werden müssen. Ein weiterer Grund ist häufig der Wechsel der IT Leitung, da nichts wichtiger ist, als Transparenz in den eigenen Reihen zu schaffen, um darauf aufbauend ganzheitliche IT Projektpläne zu überarbeiten.
Der meisten verbreitete Grund ist schlicht, ohne es abwertend zu meinen, die Betriebsblindheit. Ob Mittelstand oder Konzern, IT Leichen getreu dem Motto “Huch, das System oder die Library in der Software sollte doch schon abgeschaltet/ersetzt sein“ finden wir so gut wie überall.
Ein Cyberangriff kann nicht nur Auswirkungen auf Ihre IT-Systeme haben, sondern auch auf Ihre Finanzen oder Ihr Unternehmensimage. Durch Ihr Engagement im Bereich Cybersicherheit können Sie mittels Penetration Testing ein Zeichen für Ihre Geschäftspartner und Kunden setzen.
Nicht zuletzt sind Sie durch die Ergebnisse des Pentests in der Lage, entsprechende Maßnahmen zu treffen, um die aufgedeckten Schwachstellen zu schließen.
Welche Arten von Penetration Tests führen wir durch?
Es geht nicht um Fort Knox, Wirtschaftlichkeit und Realismus spielen eine große Rolle
Jedes Unternehmen ist differenziert zu betrachten und auf einen individuellen Schutz angewiesen. Genauso individuell sollte auch Ihr entsprechender Penetration Test aufgebaut sein. Sofern Sie Ihren Schutzbedarf bereits über ein Information Security Management System bestimmt haben, orientiert sich die Prüftiefe des Penetration Tests an diesem Verfahren.
Sofern kein ISMS oder kein vollständiges ISMS aufgebaut ist, legen wir die Prüftiefe für Ihren Pentest in einem gemeinsamen (kostenfreien) Termin und einem speziell darauf abgestimmtem Fragenkatalog fest. Anschließend erhalten Sie von uns ein individuell auf Ihren Anforderungen basierendes Angebot.
Die im B2B Sektor gern genutzte Floskel zur Preisverschleierung und Leadgenerierung „Wir erstellen individuelle Angebote, daher können wir keine Preise nennen“, trifft bei uns tatsächlich zu. Aufgrund der Komplexität und des unterschiedlichen Umfangs können vorab keine Projektpreise betiteln werden. Die Preise des Penetration Tests werden nach Bestimmung des Aufwands transparent im Angebot festgehalten. Bis es zum Angebot kommt, führen wir mit Ihnen intensive Gespräche, um a) Sie besser kennenzulernen und das Wichtigste wie die Philosophie und Sympathie zu prüfen – und b) die Aufwände und den Scope kennenzulernen, sodass wir den Umfang des Pentests bestimmen können. Das Ganze ist selbstverständlich kostenfrei.
Die Prüftiefen der Penetration Tests variieren von einfachen Script Kiddie Testings bis hin zum APT (Advanced persistent threat, oft bei Industriespionage oder Regierungen genutzt) Level. Somit kann ein Penetration Test zwischen 4 Tagen und mehreren Monaten dauern oder gar in Red Teaming übergehen. Damit Sie in Ihrem Tagesgeschäft nicht eingeschränkt sind, erfolgen in diesem Zeitraum keine Tests ohne Ihr Wissen und Ihre Zustimmung.
