Was verstehen wir unter einem Penetration Test?
Beim Pentest (Penetration Testing) geht es um das manuelle Überprüfen von IT Systemen auf Sicherheitslücken oder auch Schwachstellen. Anders als beim IT Sicherheitsaudit werden Sicherheitslücken (z.B. Pufferüberläufe, Format String Vulnerabilities oder simple Rainbow Table Angriffe auf leider oft noch genutzte NTLMv2 Authentifizierungen) weitestgehend ausgenutzt, sodass ein realistisches Bild von der Unternehmenssicherheit entsteht.
Tauchen neben bekannten Sicherheitslücken bei der IT Sicherheitsanalyse zusätzlich bis Dato unbekannte Sicherheitslücken (sogenannte 0-Day Vulnerabilities) auf, stimmen wir das Vorgehen hier detailliert mit Dir ab, da i.d. R. Software befallen ist, bei der ein Dritter (Hersteller) verantwortlich ist, Du aber von der Sicherheitslücke betroffen bist. Diese 0-day Sicherheitslücken nutzen wir aus ethischen Gründen nicht aus, da der Hersteller die Chance haben muss, diese zu beheben. Da sich immer wieder 0-days im Rahmen von Penetration Tests bei unseren Kunden und vielleicht auch bei Dir auffinden lassen, haben wir für solche Fälle interne Compliance Vorgaben, wie mit diesen „Responsible Disclosures“ zu verfahren ist. Diese und weitere Themen werden mit Dir in einem gemeinsamem Kickoff Termin besprochen und dokumentiert.
Unser Penetrationstest Portfolio findest Du hier.
Können wir einfach zu eurem Hauptstandort fahren, hinein spazieren und irgendwo eine offene Netzwerkdose finden, an die wir uns anschließen können? Haben wir vielleicht Zugang zu sensitiven Informationen, die in den falschen Händen einen fatalen Schaden anrichten könnten?
Wenn der Zugang zu eurem Gebäude nicht so einfach möglich sein sollte, nehmen wir – wie echte Angreifer – den Faktor Mensch ins Visier. Die Chancen stehen nicht schlecht, dass eure Mitarbeiter uns einfach die Tür öffnen, wenn wir nur freundlich fragen.
Sprechen eure Mitarbeiter auffällige Personen an? Erregt es Aufsehen, wenn wir ohne Schlüssel versuchen, die Tür zum Serverraum zu öffnen? Ist euer Frontdesk aufmerksam genug und kontrolliert jeden Gast?
Wenn wir weder auf direktem Weg noch durch Freundlichkeit (und Dreistigkeit) in euer Gebäude gelangen können, nehmen wir uns hierfür mehr Zeit.
Nach einigen Stunden der Informationsbeschaffung könnten wir beispielsweise einen Mitarbeiter in seinem Stammkaffee antreffen, um dort im Vorbeigehen dessen RFID oder Mifare Zugangskarten zu klonen. Vielleicht öffnet sich auch irgendwann eine Tür, die sonst immer verschlossen ist.
Es gibt viele Fragen zum Thema physische Sicherheit. Diese Fragen möchten wir euch gerne beantworten, um euch einen realistischen Gesamteindruck von eurer Sicherheit geben zu können.
Es war mittlerweile 17:45 Uhr. Wir saßen im Auto, fünfhundert Meter vom Gebäude entfernt. Es war ein recht kleines Gebäude. Es gab zwei Eingänge (Haupt- und Hintertür), die nur mit Chipkarten zu öffnen waren.
Mittlerweile hatte der Großteil der Mitarbeiter das Gebäude verlassen und sich in den wohlverdienten Feierabend begeben. Laut unserer Schätzung waren nur noch zwei Mitarbeiter im Gebäude.
Um Punkt 18:00 Uhr kam nun endlich das Personal, auf welches wir sehnsüchtigst gewartet hatten: die Reinigungsfirma.
Als sie ihr Fahrzeug auf dem Parkplatz abstellten, machten wir uns langsam fertig. Klemmbrett, Ausweis und eine nettes Auftreten. Wer kann da schon etwas Böses vermuten?
Wir warteten noch 10 Minuten und gingen dann zielstrebig um das Gebäude und auf den Hintereingang zu. Wir erwartet war hier ein Holzkeil zwischen Tür und Türrahmen und wir benötigten keinen Chip, um das Gebäude zu betreten. Die erste Begegnung mit den Reinigungskräften verlief unkompliziert. Ein freundliches „Hallo!” und zielgerichtete Schritte in die Büros genügten.
Im Erdgeschoss liefen wir an einer Reinigungskraft vorbei, die gerade eines der Büros saugte, und betraten das Büro der Buchhaltung. Hier waren allerlei interessante Informationen zu finden. Nachdem wir genug Beweisfotos geschossen hatten, liefen wir in das erste Obergeschoss – vorbei an einem Büro, in dem noch einer der Mitarbeiter in einer wichtigen Webkonferenz saß.
Im Obergeschoss fanden wir schnell unser Ziel: Netzwerkdokumentationen, Datenträger und 19 Zoll Servereinschübe.
Ein beherzter Griff, schnelle Schritte in Richtung Hintertür und wir waren stolze Besitzer recht sensitiver Informationen und Hardware.
Es vergeht kein Tag in einem Büro ohne einen Drucker, der nicht das tut, was er soll. Entweder er verschluckt sich am Papier oder er druckt nur noch leere Seiten. Ärgerlich.
Zum Glück lässt der Dienstleister nicht lange auf sich warten: Erst vor einer Viertelstunde habe ich die IT-Abteilung telefonisch informiert, dass nur noch Hyroglyphen aus dem Drucker kommen. Ich bin gerade auf dem Weg zur Küche, um mir einen neuen Kaffee zu holen (das ist dann heute schon mein dritter), da kommt mir der nette Herr entgegen und fragt mich, wo er denn das Problemkind finden könne.
Erfreut über die schnelle Bearbeitung und Lösung des Problems zeige ich dem Techniker den Weg zum Druckerraum.
Schon etwas beängstigend. Als hätte er geahnt, dass unser Drucker genau am heutigen Tag Probleme machen würde. Er ist ausgestattet mit jeglichem technischen Schnickschnack und, so wie es aussieht, auf jedes Problem vorbereitet.
Erstaunt beobachte ich den Techniker. Behände fliegt er durch die Einstellungen des Druckers. Es scheint, als läge es doch nicht am Drucker. Laut seiner Meinung liegt es wohl an meinem Computer. Irgendwas mit „…falscher Treiber durch ein Update…“ erzählt er mir. Die letzten Jahre habe ich gelernt, dass Updates wichtig sind für die Sicherheit, und nun hat eines dieser Updates mir das Drucken zerstört.
Zum Glück ist der nette Herr so freundlich und guckt sich das Problem gleich mal an. Irgendetwas muss er wohl in den Systemeinstellungen ändern. Viel zu technisch für einen Anwender wie mich. Ich lass ihn einfach weiter an den Einstellungen herum probieren und gehe mir meinen wohlverdienten Kaffee holen.
Als ich in das Büro zurückkehre, kommt der Techniker gerade unter meinem Schreibtisch hervor.
Meine Kabel haben wohl nicht richtig im Computer gesteckt, deshalb habe die Datenübertragung nicht funktioniert. So schnell wie er erschien, so schnell ist der Techniker auch wieder verschwunden.
Mein Problem besteht aber trotzdem noch und zehn Minuten später meldet sich die IT-Abteilung bei mir:
Es tue ihnen leid, aber um mein Druckerproblem könne sich wohl erst morgen jemand kümmern.
Ich habe für mich behalten, dass gerade schon jemand da war. Vielleicht bekommt der Techniker
morgen das Problem endgültig gelöst.
Mittels eines Pentests können Bedrohungen und unbekannte Schwachstellen in deinen IT-Systemen aufgedeckt werden. Durch den neutralen Blick eines außenstehenden „Gutachters“ erhältst Du eine objektive Einschätzung bezüglich potenzieller Gefahrenpunkte.
Oft dient der Penetration Test auch als Instrument um dem Top Management Projektprioritäten zu verdeutlichen, da teils noch Defizite existieren, warum spezielle Themengebiete priorisiert bearbeitet werden müssen
Ein weiterer Grund ist häufig der Wechsel der IT Leitung, da nichts wichtiger ist als Transparenz in den eigenen Reihen zu schaffen, um darauf aufbauend ganzheitliche IT Projektpläne zu überarbeiten.
Der am meisten verbreitete Grund ist schlicht, ohne es abwertend zu meinen, die Betriebsblindheit. Ob Mittelstand oder Konzern, IT Leichen getreu dem Motto “Huch, das System oder die Library in der Software sollte doch schon abgeschaltet/ersetzt sein“ finden wir so gut wie überall.
Durch dein Engagement im Bereich Cybersicherheit kannst Du mittels Penetration Testing ein Zeichen für deine Geschäftspartner und Kunden setzen.
Nicht zuletzt bist Du durch die Ergebnisse des Pentests in der Lage, entsprechende Maßnahmen zu treffen, um die aufgedeckten Schwachstellen zu schließen.
Es geht nicht um Fort Knox. Wirtschaftlichkeit und Realismus spielen eine große Rolle.
Jedes Unternehmen ist differenziert zu betrachten und auf einen individuellen Schutz angewiesen. Genauso individuell sollte auch dein entsprechender Penetration Test aufgebaut sein. Sofern Du deinen Schutzbedarf bereits über ein Information Security Management System bestimmt hast, orientiert sich die Prüftiefe des Penetration Tests an diesem Verfahren.
Sofern kein ISMS oder kein vollständiges ISMS aufgebaut ist, legen wir die Prüftiefe für deinen Pentest in einem gemeinsamen (kostenfreien) Termin und einem speziell darauf abgestimmtem Fragenkatalog fest. Anschließend erhältst Du von uns ein individuell auf deinen Anforderungen basierendes Angebot.
Die im B2B Sektor gerne genutzte Floskel zur Preisverschleierung und Leadgenerierung „Wir erstellen individuelle Angebote, daher können wir keine Preise nennen“, trifft bei uns tatsächlich zu. Aufgrund der Komplexität und des unterschiedlichen Umfangs können vorab keine Projektpreise betiteln werden. Die Preise des Penetration Tests werden nach Bestimmung des Aufwands transparent im Angebot festgehalten. Bis es zum Angebot kommt, führen wir mit Dir intensive Gespräche, um
a] Dich besser kennenzulernen und das Wichtigste wie die Philosophie und Sympathie zu prüfen – und
b] die Aufwände und den Scope kennenzulernen, sodass wir den Umfang des Pentests bestimmen können. Das Ganze ist selbstverständlich kostenfrei.
Die Prüftiefen der Penetration Tests variieren von einfachen Script Kiddie Testings bis hin zum APT (Advanced persistent threat, oft bei Industriespionage oder Regierungen genutzt) Level. Somit kann ein Penetration Test zwischen 4 Tagen und mehreren Monaten dauern oder gar in Red Teaming übergehen. Damit Du in deinem Tagesgeschäft nicht eingeschränkt bist, erfolgen in diesem Zeitraum keine Tests ohne dein Wissen und deine Zustimmung.
„Wenn du willst, dass es gut wird, musst du es selber machen!“
Dieser Satz ging jedem Unternehmer vermutlich nicht nur einmal durch den Kopf. Wenn du verantwortlich bist, machst du deinen Erfolg nur
ungerne abhängig von der Leistung externer Fachleute.
Wir verstehen das. Darum machen wir dich einfach selbst handlungsfähig beim Schutz deines Unternehmens gegen Hacking-Angriffe.