Standards & Zertifizierungen

Pentest – was verstehen wir darunter?

Beim Pentest (Penetration Testing) geht es um das manuelle Überprüfen von IT Systemen auf Sicherheitslücken oder auch Schwachstellen. Anders als beim IT Sicherheitsaudit werden Sicherheitslücken weitestgehend ausgenutzt, sodass ein realistisches Bild von der Unternehmenssicherheit entsteht.

100-prozentige Sicherheit gibt es nicht – die Frage ist, wie viel Schaden Angreifer bei dir anrichten können, wenn sie eine Schwachstelle ausnutzen konnten.

Beispiele für gefundene Sicherheitslücken (Findings) bei unseren Pentests sind Pufferüberläufe, Format String Vulnerabilities oder simple Rainbow Table Angriffe auf leider oft noch genutzte NTLMv2 Authentifizierungen.

Tauchen bei einem Pentest bis Dato unbekannte Sicherheitslücken (sogenannte 0-Day Vulnerabilities) auf, stimmen wir das Vorgehen hier detailliert mit dir ab. In der Regel ist in diesen Fällen Software befallen, für die ein Dritter (Hersteller) verantwortlich ist, von der du aber betroffen bist. Diese 0-day Sicherheitslücken nutzen wir aus ethischen Gründen nicht aus, da der Hersteller die Chance haben muss, diese zu beheben.

Diese und weitere Themen besprechen und dokumentieren wir gemeinsam bei einem Kickoff Termin.

Brauchst du
spezifische Informationen zu
einem bestimmten Einsatzgebiet?

Gehörst du zum C-Level oder benötigst für deine unternehmensinterne Kommunikation entsprechend zugeschnittene Informationen?

Penetration Testing ganzheitlich – weil hinter dem Bildschirm immer ein Mensch sitzt

Bei unseren Pentests gehen wir vor wie echte Angreifer. Bevor wir also deine interne IT-Infrastruktur überprüfen können, müssen wir uns Zugang zu deinem internen Netzwerk verschaffen. Dies kann über mehrere Wege stattfinden. Einer dieser Wege ist der physische Zugang, den wir im Sinne einer ganzheitlichen Überprüfung deiner IT-Sicherheit einschließen. Eine weitere Möglichkeit ist eine Social Engineering Kampagne mit Phishing-Mails.

Die beste Firewall bringt nichts, wenn der Schlüssel zum Serverraum im Schloss steckt – oder deine Mitarbeiter ihre Passwörter auf Phishing-Seiten preisgeben.

Unsere Standorte in Polch (Nähe Koblenz), Berlin und München sind nicht in deiner Nähe? Macht nichts, wir kommen zu dir!

Physische Sicherheit & Faktor Mensch: Verschaff dir einen Überblick und härte deine Sicherheit.

Wie einfach ist es, in das Unternehmensgebäude einzudringen?

Können wir einfach zu eurem Hauptstandort fahren, hinein spazieren und irgendwo eine offene Netzwerkdose finden, an die wir uns anschließen können? Haben wir vielleicht Zugang zu sensiblen Informationen, die in den falschen Händen einen fatalen Schaden anrichten könnten? Und wenn wir uns erfolgreich Zugang zu euren Räumlichkeiten verschaffen konnten, wie weit kommen wir dann? Finden wir einen unbeaufsichtigten Drucker? Kommen wir in den Server-Raum?

Wie geschult sind die Mitarbeiter?

Wenn der Zugang zum Gebäude nicht so einfach möglich sein sollte, nehmen wir – wie echte Angreifer – den Faktor Mensch ins Visier. Die Chancen stehen nicht schlecht, dass deine Mitarbeiter uns einfach die Tür öffnen, wenn wir nur freundlich fragen.

Sprechen eure Mitarbeiter auffällige Personen an? Erregt es Aufsehen, wenn wir ohne Schlüssel versuchen, die Tür zum Serverraum zu öffnen? Ist euer Frontdesk aufmerksam genug und kontrolliert jeden Gast?

Manchmal braucht man Zeit.

Wenn wir weder auf direktem Weg noch durch Freundlichkeit (und Dreistigkeit) in euer Gebäude gelangen können, nehmen wir uns hierfür mehr Zeit.

Nach einigen Stunden der Informationsbeschaffung könnten wir beispielsweise einen Mitarbeiter in seinem Stammkaffee antreffen, um dort im Vorbeigehen dessen RFID oder Mifare Zugangskarten zu klonen. Vielleicht öffnet sich auch irgendwann eine Tür, die sonst immer verschlossen ist.

Erkennen und melden deine Mitarbeiter Phishing-Mails?

Schlecht übersetzte Phishing-Mails voller Tippfehler erkennen inzwischen vermutlich die meisten und ignorieren sie entsprechend. Aber wie sieht es mit einer gut gemachten Phishing-Kampagne aus? Eine Mail, die scheinbar vom CEO des Unternehmens kommt und darum bittet, sich über einen Link einzuloggen – wissen deine Nutzer, wie sie die Echtheit überprüfen können? Melden sie sich bei dir, wenn sie versehentlich auf einen dubiosen Link geklickt haben? Finde es heraus und nutze die Erkenntnisse für echte und nachhaltige Security Awareness.

Storys von 2 echten Einsätzen

Ein sauberes Büro ist das A und O.

Geduld

Es war mittlerweile 17:45 Uhr. Wir saßen im Auto, fünfhundert Meter vom Gebäude entfernt. Es war ein recht kleines Gebäude. Es gab zwei Eingänge (Haupt- und Hintertür), die nur mit Chipkarten zu öffnen waren.

Mittlerweile hatte der Großteil der Mitarbeiter das Gebäude verlassen und sich in den wohlverdienten Feierabend begeben. Laut unserer Schätzung waren nur noch zwei Mitarbeiter im Gebäude.

Um Punkt 18:00 Uhr kam nun endlich das Personal, auf welches wir sehnsüchtigst gewartet hatten: die Reinigungsfirma.

Als sie ihr Fahrzeug auf dem Parkplatz abstellten, machten wir uns langsam fertig. Klemmbrett, Ausweis und eine nettes Auftreten. Wer kann da schon etwas Böses vermuten?

Lächeln und winken

Wir warteten noch 10 Minuten und gingen dann zielstrebig um das Gebäude und auf den Hintereingang zu. Wir erwartet war hier ein Holzkeil zwischen Tür und Türrahmen und wir benötigten keinen Chip, um das Gebäude zu betreten. Die erste Begegnung mit den Reinigungskräften verlief unkompliziert. Ein freundliches „Hallo!” und zielgerichtete Schritte in die Büros genügten.

Im Erdgeschoss liefen wir an einer Reinigungskraft vorbei, die gerade eines der Büros saugte, und betraten das Büro der Buchhaltung. Hier waren allerlei interessante Informationen zu finden. Nachdem wir genug Beweisfotos geschossen hatten, liefen wir in das erste Obergeschoss – vorbei an einem Büro, in dem noch einer der Mitarbeiter in einer wichtigen Webkonferenz saß.

Im Obergeschoss fanden wir schnell unser Ziel: Netzwerkdokumentationen, Datenträger und 19 Zoll Servereinschübe.

Ein beherzter Griff, schnelle Schritte in Richtung Hintertür und wir waren stolze Besitzer recht sensitiver Informationen und Hardware.

Täglich grüßt das Druckerproblem

Glück im Unglück

Es vergeht kein Tag in einem Büro ohne einen Drucker, der nicht das tut, was er soll. Entweder er verschluckt sich am Papier oder er druckt nur noch leere Seiten. Ärgerlich.

Zum Glück lässt der Dienstleister nicht lange auf sich warten: Erst vor einer Viertelstunde habe ich die IT-Abteilung telefonisch informiert, dass nur noch Hyroglyphen aus dem Drucker kommen. Ich bin gerade auf dem Weg zur Küche, um mir einen neuen Kaffee zu holen (das ist dann heute schon mein dritter), da kommt mir der nette Herr entgegen und fragt mich, wo er denn das Problemkind finden könne.

Erfreut über die schnelle Bearbeitung und Lösung des Problems zeige ich dem Techniker den Weg zum Druckerraum.

Schon etwas beängstigend. Als hätte er geahnt, dass unser Drucker genau am heutigen Tag Probleme machen würde. Er ist ausgestattet mit jeglichem technischen Schnickschnack und, so wie es aussieht, auf jedes Problem vorbereitet.

Erstaunt beobachte ich den Techniker. Behände fliegt er durch die Einstellungen des Druckers. Es scheint, als läge es doch nicht am Drucker. Laut seiner Meinung liegt es wohl an meinem Computer. Irgendwas mit „…falscher Treiber durch ein Update…“ erzählt er mir. Die letzten Jahre habe ich gelernt, dass Updates wichtig sind für die Sicherheit, und nun hat eines dieser Updates mir das Drucken zerstört.

Endlich kümmert sich mal jemand!

Zum Glück ist der nette Herr so freundlich und guckt sich das Problem gleich mal an. Irgendetwas muss er wohl in den Systemeinstellungen ändern. Viel zu technisch für einen Anwender wie mich. Ich lass ihn einfach weiter an den Einstellungen herum probieren und gehe mir meinen wohlverdienten Kaffee holen.

Als ich in das Büro zurückkehre, kommt der Techniker gerade unter meinem Schreibtisch hervor.

Meine Kabel haben wohl nicht richtig im Computer gesteckt, deshalb habe die Datenübertragung nicht funktioniert. So schnell wie er erschien, so schnell ist der Techniker auch wieder verschwunden.

Mein Problem besteht aber trotzdem noch und zehn Minuten später meldet sich die IT-Abteilung bei mir:
Es tue ihnen leid, aber um mein Druckerproblem könne sich wohl erst morgen jemand kümmern.
Ich habe für mich behalten, dass gerade schon jemand da war. Vielleicht bekommt der Techniker
morgen das Problem endgültig gelöst.

So nutzt du einen PENTEST für nachhaltige Cyber Resilienz

Durch einen Pentests werden Bedrohungen und unbekannte Schwachstellen in deinen IT-Systemen aufgedeckt. Durch den neutralen Blick eines außenstehenden „Gutachters“ erhältst du eine objektive Einschätzung bezüglich potenzieller Gefahrenpunkte.

Die häufigsten Probleme beim Thema IT Security: keine Zeit, keine Fachkräfte, keine Ressourcen. Hier ist ein Penetration Test ein nützliches Instrument, um auf Ebene des TOP-Managements Prioritäten zu setzen und Ressourcen effizient einzusetzen. Wir unterstützen euch gerne bei der Kommunikation zwischen IT und Management.

Eine weitere Herausforderung ist häufig der Wechsel der IT Leitung. Hier ist Transparenz in den eigenen Reihen entscheidend, um darauf aufbauend ganzheitliche IT Projektpläne zu überarbeiten. Ein Pentest ist dafür die ideale Basis.

Eines der größten Hindernisse auf dem Weg zu mehr IT Sicherheit ist oft, ohne es abwertend zu meinen, die Betriebsblindheit. Ob Mittelstand oder Konzern, IT Leichen getreu dem Motto “Huch, das System oder die Library in der Software sollte doch schon abgeschaltet/ ersetzt sein“ finden wir so gut wie überall. Die Ergebnisse eines Pentests helfen dir beim kontrollierten Ausmisten.

Ein Cyberangriff kann nicht nur Auswirkungen auf deine IT-Systeme haben,
sondern auch auf deine Finanzen oder dein Unternehmensimage.

Durch dein Engagement im Bereich Cybersicherheit kannst du mittels Penetration Testing ein Zeichen für deine Geschäftspartner und Kunden setzen.

Die Ergebnisse des Pentests versetzen dich in der Lage, aufgedeckten Schwachstellen effizient und nachhaltig zu schließen.

Ein PENTEST nach Maß, passend zu deinem Schutzbedarf

Es geht nicht um Fort Knox.

Wirtschaftlichkeit und Realismus spielen eine große Rolle.

Jedes Unternehmen ist differenziert zu betrachten und auf einen individuellen Schutz angewiesen. Genauso individuell sollte auch dein entsprechender Pentest aufgebaut sein. Sofern du deinen Schutzbedarf bereits über ein Information Security Management System (ISMS) bestimmt hast, orientiert sich die Prüftiefe des Penetration Tests an diesem Verfahren.

Sofern kein (vollständiges) ISMS aufgebaut ist, legen wir die Prüftiefe für deinen Pentest in einem gemeinsamen (kostenfreien) Termin mit einem speziell darauf abgestimmtem Fragenkatalog fest. Anschließend erhältst du von uns ein individuell auf deine Anforderungen abgestimmtes Angebot.

Wir finden die richtige Prüftiefe für dich.

Die im B2B Sektor gerne genutzte Floskel zur Preisverschleierung und Leadgenerierung „Wir erstellen individuelle Angebote, daher können wir keine Preise nennen“, trifft bei uns tatsächlich zu. Aufgrund der Komplexität und des unterschiedlichen Umfangs können vorab keine Projektpreise betitelt werden. Die Preise des Pentests werden nach Bestimmung des Aufwands transparent im Angebot festgehalten. Bis es zum Angebot kommt, führen wir mit dir intensive Gespräche, um

• dich besser kennenzulernen und das Wichtigste wie die Philosophie und Sympathie zu prüfen – und

• die Aufwände und den Scope kennenzulernen, sodass wir den Umfang des Pentests bestimmen können.

Diese Abstimmung ist für dich selbstverständlich kostenfrei.

Die Prüftiefen der Penetration Tests reichen von einfachem Script Kiddie Testing bis hin zum Advanced Persistent Threat (APT, oft bei Industriespionage oder Regierungen genutzt) Level. Somit kann ein Pentest zwischen 4 Tagen und mehreren Monaten dauern oder gar in Red Teaming übergehen. Damit Du in deinem Tagesgeschäft nicht eingeschränkt bist, erfolgen in diesem Zeitraum keine Tests ohne dein Wissen und deine Zustimmung.

Wir machen dich handlungsfähig im Aufbau deiner Cyber Resilienz

Das Ziel all unserer Services ist es, dich selbst handlungsfähig zu machen im Kampf gegen Hacking-Angriffe. Ein detaillierter Action Plan und gemeinsame Workshops sorgen für den nötigen Wissenstransfer.

Start: Vorbereitung

Wir hören dir und deinen IT-Fachkräften zu

Die IT von Unternehmen ist meist historisch gewachsen und je nach vorhandenen Ressourcen unterschiedlich stark beim Thema Cyber Security. Wir betrachten jeden Kunden individuell, hören euch zu und passen unseren Service speziell an den Stand und die Bedürfnisse deines Unternehmens an.

Durchführung

Wir arbeiten ganzheitlich

Genau wie die böswilligen Hacker, vor denen du dein Unternehmen schützen willst, beschränken wir uns nicht auf technische Schwachstellen. Wir testen auch die physische Sicherheit, die Abläufe deines Sicherheits-Managements und die Awareness deiner Team-Mitglieder.

Technische Ergebnis Präsentation

Wir arbeiten transparent

Wir fassen die Rahmenbedingungen des Projekts für dein technisches Personal zusammen und erläutern die Findings unseres Penetration Test.

Übergabe Dokumentation

Wir geben unser Fachwissen an deine IT weiter

Deine IT-Fachkräfte erhalten von uns einen umfassenden Actionplan mit einer Übersicht aller Findings und weiterführenden Informationen aus unserer Knowledge Base zur Behebung der Schwachstellen. Die Dokumentation wird während der Durchführung kontinuierlich durchgeführt.

Technischer Workshop

Wir machen deine IT sicher

„Keine Zeit!” ist vermutlich das größte Problem deiner IT Fachkräfte beim Ausbau eurer Sicherheit. Darum setzen wir auf einen effizienten Wissenstransfer und das gemeinsame Setzen von Prioritäten, um möglichst schnell eine Optimierung deine IT Sicherheit zu erreichen.

Management Präsentation

Wir holen dein TOP-Management ab

Damit deine IT nachhaltig gut aufgestellt ist in Sachen Security, musst du im Management die Weichen richtig stellen. Wir holen dich und die Mitglieder deines TOP-Managements auf eurem aktuellen fachlichen und organisatorischen Stand ab und erarbeiten mit euch gemeinsam auf Management-Ebene den Fahrplan zur Entwicklung eurer IT.