- About us
- ServicesSolution Services
- Knowledge base
- Jobs
- Kontakt
Standards & Zertifizierungen
Was verstehen wir unter einem Penetration Test?
Beim Pentest (Penetration Testing) geht es um das manuelle Überprüfen von IT Systemen auf Sicherheitslücken oder auch Schwachstellen. Anders als beim IT Sicherheitsaudit werden Sicherheitslücken (z.B. Pufferüberläufe, Format String Vulnerabilities oder simple Rainbow Table Angriffe auf leider oft noch genutzte NTLMv2 Authentifizierungen) weitestgehend ausgenutzt, sodass ein realistisches Bild von der Unternehmenssicherheit entsteht.
Tauchen neben bekannten Sicherheitslücken bei der IT Sicherheitsanalyse zusätzlich bis Dato unbekannte Sicherheitslücken (sogenannte 0-Day Vulnerabilities) auf, stimmen wir das Vorgehen hier detailliert mit Dir ab, da i.d. R. Software befallen ist, bei der ein Dritter (Hersteller) verantwortlich ist, Du aber von der Sicherheitslücke betroffen bist. Diese 0-day Sicherheitslücken nutzen wir aus ethischen Gründen nicht aus, da der Hersteller die Chance haben muss, diese zu beheben. Da sich immer wieder 0-days im Rahmen von Penetration Tests bei unseren Kunden und vielleicht auch bei Dir auffinden lassen, haben wir für solche Fälle interne Compliance Vorgaben, wie mit diesen „Responsible Disclosures“ zu verfahren ist. Diese und weitere Themen werden mit Dir in einem gemeinsamem Kickoff Termin besprochen und dokumentiert.
Unser Penetrationstest Portfolio findest Du hier.
Neben der rein technischen IT Sicherheit gehören zu unserem Penetration Testing noch weitere Felder wie die physische IT Sicherheit. Damit wir diesen Bereich ausgiebig testen können, nutzen wir Hilfsmittel wie kopierte RFID oder Mifare Zutrittskarten für Türen oder Sicherheitsschleusen, um uns den direkten Unternehmenszutritt zu verschaffen – aber auch Lockpicking kommt bei uns nicht zu kurz.
Am Ende des Tages bleibt dann noch ein Restrisiko – der Mensch. Daher testen wir dieses Risiko mittels Social Engineering präferiert bei allen Penetration Tests mit – nur so schafft man echte User Awareness und viel wichtiger, ein ganzheitliches Bild der IT Sicherheit.
Jede Sicherheitslücke wird dokumentiert, im Anschluss wird das Gefahrenpotenzial eingestuft und Empfehlungen gegeben, wie die Sicherheitslücken gelöst werden können. Neben dem CVSS(v3) zur Einstufung der Sicherheitslücken ergänzen wir die Risikoeinstufung durch Senior Penetration Tester, da der CVSS alleine oft eine nicht geschäftsorientierte Einschätzung liefert, was folgendes Beispiel veranschaulicht: Kompromittieren wir eine Smartwatch, die im Mobile Device Management (MDM) vergessen wurde zu integrieren, welche über eine Sicherheitslücke mit einem CVSS größer als 9 versehen ist, wäre das Finding kritisch. Wenn diese Smartwatch aber keine sensiblen Daten, Zugänge oder sonstige Schnittstellen enthält, stufen wir das Risiko geringer ein – da Hackern schließlich „wertlose“ Assets nichts bringen.
Von uns erhältst Du nicht einfach nur einen Nessus- oder OpenVAS Scan-Report – verkauft als Penetration Test. Wir führen einen speziell auf dein Unternehmen abgestimmten Penetration Test durch – Qualität statt Quantität.
Mittels eines Pentests können Bedrohungen und unbekannte Schwachstellen in deinen IT-Systemen aufgedeckt werden. Durch den neutralen Blick eines außenstehenden „Gutachters“ erhältst Du eine objektive Einschätzung bezüglich potenzieller Gefahrenpunkte.
Oft dient der Penetration Test auch als Instrument um dem Top Management Projektprioritäten zu verdeutlichen, da teils noch Defizite existieren, warum spezielle Themengebiete priorisiert bearbeitet werden müssen
Ein weiterer Grund ist häufig der Wechsel der IT Leitung, da nichts wichtiger ist als Transparenz in den eigenen Reihen zu schaffen, um darauf aufbauend ganzheitliche IT Projektpläne zu überarbeiten.
Der am meisten verbreitete Grund ist schlicht, ohne es abwertend zu meinen, die Betriebsblindheit. Ob Mittelstand oder Konzern, IT Leichen getreu dem Motto “Huch, das System oder die Library in der Software sollte doch schon abgeschaltet/ersetzt sein“ finden wir so gut wie überall.
Durch dein Engagement im Bereich Cybersicherheit kannst Du mittels Penetration Testing ein Zeichen für deine Geschäftspartner und Kunden setzen.
Nicht zuletzt bist Du durch die Ergebnisse des Pentests in der Lage, entsprechende Maßnahmen zu treffen, um die aufgedeckten Schwachstellen zu schließen.
Es geht nicht um Fort Knox. Wirtschaftlichkeit und Realismus spielen eine große Rolle.
Jedes Unternehmen ist differenziert zu betrachten und auf einen individuellen Schutz angewiesen. Genauso individuell sollte auch dein entsprechender Penetration Test aufgebaut sein. Sofern Du deinen Schutzbedarf bereits über ein Information Security Management System bestimmt hast, orientiert sich die Prüftiefe des Penetration Tests an diesem Verfahren.
Sofern kein ISMS oder kein vollständiges ISMS aufgebaut ist, legen wir die Prüftiefe für deinen Pentest in einem gemeinsamen (kostenfreien) Termin und einem speziell darauf abgestimmtem Fragenkatalog fest. Anschließend erhältst Du von uns ein individuell auf deinen Anforderungen basierendes Angebot.
Die im B2B Sektor gerne genutzte Floskel zur Preisverschleierung und Leadgenerierung „Wir erstellen individuelle Angebote, daher können wir keine Preise nennen“, trifft bei uns tatsächlich zu. Aufgrund der Komplexität und des unterschiedlichen Umfangs können vorab keine Projektpreise betiteln werden. Die Preise des Penetration Tests werden nach Bestimmung des Aufwands transparent im Angebot festgehalten. Bis es zum Angebot kommt, führen wir mit Dir intensive Gespräche, um
a] Dich besser kennenzulernen und das Wichtigste wie die Philosophie und Sympathie zu prüfen – und
b] die Aufwände und den Scope kennenzulernen, sodass wir den Umfang des Pentests bestimmen können. Das Ganze ist selbstverständlich kostenfrei.
Die Prüftiefen der Penetration Tests variieren von einfachen Script Kiddie Testings bis hin zum APT (Advanced persistent threat, oft bei Industriespionage oder Regierungen genutzt) Level. Somit kann ein Penetration Test zwischen 4 Tagen und mehreren Monaten dauern oder gar in Red Teaming übergehen. Damit Du in deinem Tagesgeschäft nicht eingeschränkt bist, erfolgen in diesem Zeitraum keine Tests ohne dein Wissen und deine Zustimmung.
