Was ist ein Pentest?
Ein Pentest (Kurzform für Penetrationstest oder auch Penetration Testing / Pentesting genannt) ist ein umfassender Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größen mit den Mitteln und Methoden, die ein Angreifer verwenden würde. Mithilfe des Penetration Testing können wir Ihre IT-Infrastruktur auf Fehler und Lücken prüfen. Unser Ziel ist es einen realistischen Angriff auf Ihr Unternehmen zu simulieren - dafür versetzen wir uns zum Beispiel in die Lage eines kriminellen Hackers oder Innentäters.
Mit unserem Pentest prüfen wir, ob wir sicherheitskritische Punkte in Ihren Systemen entdecken, die von diesen Akteuren ausgenutzt werden könnten, um Daten zu stehlen oder Zugang zu ihrer IT-Infrastruktur zu erlangen.
Arten von Pentests unterscheiden sich unter anderem im Ziel, in der Aggressivität oder im Umfang. Falls Sie sich nicht sicher sind, welcher Pentest der Richtige für Sie oder Ihr Unternehmen ist, lohnt sich ein Blick in unseren Magazin-Artikel.
Die 6 Vorteile vom Pentest
- Bestehende Schwachstellen frühzeitig erkennen, um wirtschaftliche Schäden zu verhindern
- Erfüllung von Compliance-Anforderungen wie ISO 27001, PCI DSS oder DSGVO
- Entscheidungshilfe zur Optimierung der eigenen IT Sicherheit
- Objektive Einschätzung zum bestehenden Gefahrenpotenzial
- 30 Jahre Erfahrung bei der Entwicklung hochsicherer Satelliten-Systeme und externe Akkreditierung nach ISO 27001
- Maximale Transparenz und nachvollziehbare Dokumentation der identifizierten Schwachstellen
Pentest: Red Teaming
Unser Red-Team führt Penetrationstests in verschiedenen Szenarien durch, beachtet dabei Bedrohungen durch externe sowie interne Akteure, und identifiziert so zuverlässig die Einfallstore für Botnetze & Ransomware.
Durch methodisches Vorgehen nach unserem Ethical-Hacking-Codex und unter Nutzung anerkannter Tools finden unsere zertifizierten Penetration Tester die Schwachstellen in Ihrem Unternehmen, bevor andere sie ausnutzen. Im Anschluss helfen wir Ihnen, durch regelmäßige Reviews oder ein eigenes Schwachstellenmanagement, den Hackern immer einen Schritt vorauszubleiben!
Je nach Kunde, Branche und weiteren Kriterien kreieren wir einen Plan, welcher zu Ihrem Unternehmen passt - hierbei stimmen wir unser Vorgehen detailliert mit Ihnen ab.
Profitieren Sie von Best-Practices im Bereich Cyber Security aus über 30 Jahren Erfahrung bei der Entwicklung hochsicherer Satelliten-Systeme.
Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch zu den Themen Schwachstellenanalyse, Awareness Trainings oder zur Phishing-Simulation!
Mit unserer Vorgehensweise haben wir für jeden Kunden hochindividuelle Anpassungsmöglichkeiten, um den Pentest so effektiv wie möglich zu gestalten. Vom rein passiven Vorgehen, über die reine Schwachstellenanlyse bis zur aktiven Ausnutzung von Sicherheitslücken ist dabei alles möglich. Gefundene Sicherheitslücken werden genauestens dokumentiert und abhängig von Branche und Unternehmen individuell bewertet. Darüber hinaus erhalten Sie von uns konkrete Empfehlungen, wie die identifizierte Sicherheitslücken behoben werden können.
Hierbei gehen wir modular vor, um branchenspezifische Eigenschaften verstärkt testen zu können. Während einer Bank ein vollständiger System-Penetrationstest dringend zu empfehlen ist, ist dies bei dem 3-Mann Software-Startup nicht immer der Fall - gleichzeitig ist hier in beiden Fällen eine OSINT-Analyse zu empfehlen. Wir können gemeinsam eine Struktur für Ihren Penetrationstest erarbeiten, die Ihnen nachhaltig hilft und neben einer optimalen Abdeckung relevanter und branchenspezifischer Sicherheitsmechanismen auch kundenspezifische Lösungsansätze und realistische Umsetzungsvorschläge gewährleistet.
Uns ist wichtig, dass unsere Pentest-Lösung auf Sie, auf Ihr Unternehmen und auf Ihre Branche zugeschnitten und realistisch umsetzbar ist.
Unsere zertifizierten IT-Security-Experten / Penetration Tester arbeiten nach höchsten Raumfahrt-Standards sowie den Standards des Bundesamts für Sicherheit und Informationstechnik (BSI).
Unser Vorgehen wurde von uns über Jahre hinweg auf Kundenfreundlichkeit und Transparenz angepasst. Sie haben volle Kontrolle darüber, was wir zu welchen Uhrzeiten und mit welcher Aggressivität testen dürfen.
So können wir gewährleisten, dass Sie Ihrer Arbeit problemlos nachgehen können und unsere Tests reibungslos verlaufen.
Was kommt nach dem Penetrationstest?
Ein Pentest ist eine Momentaufnahme. Die stetig voranschreitende Digitalisierung in allen Branchen ist immer anfällig für Sicherheitslücken. Hardware altert, Systeme müssen Updates bekommen, der Mensch muss regelmäßig geschult werden.
Daher bieten wir regelmäßige Personalschulungen, sowohl aktiv als Workshop, als auch passiv per Phishing-Simulation. Diese Simulation eignet sich besonders gut, um den aktuellen Wissensstand und auch den Fortschritt zu dokumentieren. Hierbei versenden wir realistische Phishing-Mail mit typischen Merkmalen, die ein geschultes Auge erkennen würde. Dieses Vorgehen nennt sich Social Engineering und ist meistens der erste Schritt eines aktiven Angreifers, der das Ziel hat, in ein System einzudringen. Mit Social Engineering können sich Angreifer Informationen wie Passwörter und weitere sensible Daten beschaffen - und die Statistiken zeigen: das machen diese auch! Die Anzahl der Phishing-Versuche ist seit Jahren stark ansteigend. Besonders seit Corona und Homeoffice ist dieses Thema so aktuell wie nie.
Awareness ist daher eines der großen Themen unserer Zeit. Es reicht nicht mehr eine Firewall, einen Spam-Filter, oder einen Security-Beauftragten zu haben. Mitarbeitende müssen aktiv geschult werden, gleichzeitig muss der Wissensstand eines jeden Mitarbeiters regelmäßig geprüft werden, um sicherzustellen, dass dieser kein sicherheitstechnisches Risiko darstellt. Der Handlungsdruck ist hier enorm gestiegen.
FAQ: Pentest
Zum gegenwärtigen Zeitpunkt kann ein qualifizierter Penetrationstester, unserer Meinung nach, durch kein automatisiertes Pentest-Tool ersetzt werden: Das sogenannte „Dynamic Application Security Testing“ (kurz: DAST-Tools) oder Schwachstellen-Scanner (engl. Vulnerability Scanner) werden häufig als kostengünstige Alternative, zum professionellen Pentest, angepriesen und beworben. Aufgrund der vielfältigen Programmiersprachen und -technologien, der steigenden Komplexität in der Anwendungslogik, der Vielzahl von Anwendungsbereichen und der fehlenden Standardisierung in den Dialogabläufen zwischen Client und Server, sollten Sie sich heutzutage nicht ausschließlich auf Pentest-Tools bzw. Schwachstellen-Scanner verlassen.
DAST-Tools können durchaus ergänzend, bei bestimmten Schwachstellen oder in Build-Umgebungen, genutzt werden. Als Allheilmittel sind diese Tools allerdings ungeeignet und sollten daher primär als Unterstützung genutzt werden.
Es existieren in Deutschland keine Gesetze, die ein Unternehmen oder eine Behörde unmittelbar zur Durchführung eines Penetrationstests verpflichte. Es gibt lediglich Vorschriften zur (1) Sicherheit und Verfügbarkeit von steuerrechtlich und handelsrechtlich relevanter Daten, (2) zur Handhabung personenbezogenen Daten und (3) zu der Einrichtung und Ausgestaltung eines internen Kontrollsystems. Unternehmen sind dazu verpflichtet Maßnahmen zu ergreifen, um die Verfügbarkeit, Vertraulichkeit und Integrität der relevanten Daten zu gewährleisten. Die getroffenen Maßnahmen werden in regelmäßigen Abständen darauf geprüft, ob die Systeme den gesetzlichen Vorgaben genügen. Hier kommen unter anderem Pentest zum Einsatz.
Ein Pentest ist darauf ausgelegt, eventuell bestehende Schwachstellen zu identifizieren und diese sicher auszunutzen. Als Auftraggeber müssen Sie damit rechnen, dass es zu Beeinträchtigungen Ihrer IT-Systeme bzw. Unregelmäßigkeiten im Geschäftsbetrieb kommen kann. Dies kann man unter Umständen durch den Einsatz von Entwicklungs- oder Integrationsumgebungen vermeiden / minimieren. Daher planen wir bereits vor dem Pentest die erforderlichen Maßnahmen, um potenzielle Störungen möglichst gering zu halten. Dafür kann es z.B. sinnvoll sein, dass Sie einen Mitarbeitenden bereitstellen, der den Penetrationstest überwacht und uns ggf. informiert, falls wir den Pentest stoppen sollen. Darüber hinaus fertigen wir unter Umständen (zusätzliche) Datensicherungen an und erstellen einen Notfallplan, sofern dieser nicht bereits vorliegt. Sollte für den Pentest der sogenannte White-Box Ansatz gewählt werden, so müssen zusätzliche Informationen bzw. ein Ansprechpartner für den Pentester zur Verfügung gestellt werden. Hier erfahren Sie mehr über die Arten von Pentest sowie den White-Box Ansatz.
