Hacked
Hacked

Penetrationstest

Transparenz schaffen – Schwachstellen finden – Risiken verringern

Erfolgreiche Angriffe auf Portale, Webshops und andere im Internet exponierte IT-Services beeinflussen die Reputation von Unternehmen und können wirtschaftlichen Schaden verursachen.

Da sich mit Cyber-Kriminalität heute viel Geld verdienen lässt und Industrie- und Wirtschaftsspionage so allgegenwärtig sind wie noch nie, ist hier für Unternehmen besondere Vorsicht geboten.

Die IT-Services müssen innerhalb der Wertschöpfungskette über das Internet exponiert werden, damit die Zusammenarbeit mit Kunden, Partnern und Lieferanten funktioniert. Jedoch ist es für Unternehmen bisher äußerst schwer zu ermitteln, ob diese Dienste auch adäquat geschützt sind. Dies wird in den meisten Fällen durch regelmäßiges Patch-Management, Vertrauen auf eigenes Know-how sowie der Konfiguration von Firewalls und Webservern nach bestem Wissen gelöst. Diese Lösung ist nicht optimal.

Vor allem fehlendes Spezialwissen ist eine häufige Ursache für Konfigurationsfehler. Verantwortliche für IT und Sicherheit, aber auch das Management sind gefordert zu agieren. Im Zweifel haften sie für Nachlässigkeit und die resultierenden Konsequenzen.

Wählbare Module beim Ablauf eines Penetrationstests

  • Kickoff mit Security Workshop
  • Basis Scan externer und interner IP-Adressen
  • Deep Dive Penetration
  • OWASP TOP10 Webserver Analyse
  • Ergebnisbericht
  • Handlungsempfehlungen inklusive Workshop Maßnahmen
  • Retesting
  • Betriebsphase

Schwachstellen schnell und zuverlässig aufdecken

Wir bieten als Lösung für dieses Problem die Durchführung eines Penetrationstests inklusive anschließender Maßnahmenempfehlung an.

Mithilfe unseres Penetrationstests suchen wir Schwächen, priorisieren die erkannten Risiken und bieten Strategien zur Lösung. Datenlecks, DoS-Attacken und andere Angriffe können somit verhindert werden, bevor sie entstehen. Unser umfangreiches OSCP-zertifiziertes Expertenwissen wird dabei in verschiedenen Modulen unterschiedlich genutzt.

Das erste Modul beinhaltet eine toolbasierte Schwachstellenanalyse, den sogenannten „Basis Scan“. Dieser prüft automatisiert auf Sicherheitslücken. Daran kann mit weiteren Modulen angeknüpft werden. Bei diesen wird Ihre IT-Infrastruktur gezielt von unseren Penetrationstestern angegriffen. Diese vereinbarten Angriffe werden erst von außerhalb und anschließend von innerhalb Ihres Unternehmens durchgeführt. Dies wird je nach Anforderungen um verschiedene Angriffsszenarien erweitert. Dem Penetrationstester sind dabei die Zugangsdaten und Systeme bekannt. Klassischerweise wird beispielsweise ein Mitarbeiter-PC eingerichtet, von dem aus weitere Sicherheitslücken gesucht werden.

Alle Vorteile auf einen Blick

  • Erkennen von Schwachstellen
  • Priorisierung von Gefährdungspotenzialen
  • Aufdecken von Konfigurationsfehlern
  • Analyse von Web-Anwendungen
  • Empfehlung konkreter Schutzmaßnahmen
  • Ableiten eines operativen Maßnahmenplans aus den Ergebnissen
  • Geringer Aufwand bei vergleichsweise sehr hohem Nutzen

Eine weitere sinnvolle Ergänzung sind Untersuchungen von Webapplikationen, die sich an den OWASP Top 10 orientieren. Hierbei handelt es sich um eine unabhängig erstellte Rangliste der zehn häufigsten Sicherheitsrisiken für Webanwendungen. Alle Module können sowohl im Black-, Grey- als auch White Box-Modus durchgeführt werden.

Um eine aussagekräftige und verifizierte Analyse zu gewährleisten, ist es während unseres Penetrationstests nötig, die ermittelten Schwachstellen auszunutzen. Dies geschieht immer in direkter Absprache mit Ihnen, um Ihren produktiven Betrieb nicht oder so wenig wie möglich einzuschränken.

Zu allen Angriffsverfahren und Systemtests erhalten Sie im Anschluss einen ausführlichen technischen Bericht, der ein Management Summary enthält. Wir präsentieren die Ergebnisse zudem gerne vor Ort. So können die Risiken nochmals gemeinsam besprochen, bewertet und Handlungsempfehlungen vorgestellt werden.

Vom Penetrationstest zum Maßnahmenplan

Durch den Penetrationstest können Sie zügig Schwachstellen aus der Sicht eines Angreifers erkennen und anschließend beseitigen. Die vorgeschlagenen Maßnahmen orientieren sich dabei an den vorhandenen technischen und organisatorischen Möglichkeiten.

Das bedeutet im Klartext: Viele der aufgedeckten Schwachstellen können schnell und einfach beseitigt werden, obwohl sie gravierend sind. Für alles Übrige kann direkt ein Maßnahmenplan abgeleitet werden. Dadurch wird das Sicherheitsniveau Ihrer Infrastruktur in kurzer Zeit deutlich gesteigert.

Häufig sind weitere Optimierungspotenziale bereits in den empfohlenen Maßnahmen enthalten. Bei einem Penetrationstest handelt es sich jedoch um eine „Momentaufnahme“, daher sind regelmäßige Systemtests, Schwachstellenmanagement und interne IT-Security Workshops hilfreich, um das erreichte Niveau Ihrer Datensicherheit aufrecht zu erhalten.

Bernd Maier
Sales & Account Manager

Wir beraten Sie sehr gerne bezüglich der Durchführung eines Penetrationstests. Rufen Sie uns an.

Verwandte Themen

Responsible Disclosure Policy

Die Thinking Objects GmbH geht verantwortungsvoll mit Sicherheitsproblemen um. Verwundbarkeiten in Produkten, die nicht durch die Kunden der Thinking Objects GmbH erstellt wurden oder die…

Weiterlesen

Schwaches Kettenglied

Vulnerability Management

Hinweis: Für diesen Inhalt ist JavaScript erforderlich.

Weiterlesen

Dominosteine

Risikoanalyse

Risikomanagement ist eine der schwierigsten Disziplinen der Unternehmensführung. Das liegt in erster Linie daran, dass Risiken aus dem Bauch heraus bewertet werden und die Einschätzung…

Weiterlesen

Im Fokus

Managed Network Security

Firewall, E-Mail und NAC: Bestmöglicher und ressourcenschonender Schutz. Starten Sie sicher ins neue Jahr mit optimaler Netzwerksicherheit.

Mehr zu Managed Network Security erfahren

Banner TO Security Day 2023

TO Security Day 2023: Jetzt Plätze sichern!

Praxisberichte, konkrete Handlungsempfehlungen und Expertenaustausch. Ein ganzer Tag rund um IT-/Cyber-Security.

Zum Event

Ausbildung Fachinformatiker

Deine Karriere, Deine Zukunft

Bereit, die Cyber-Welt zu retten? Ob Ausbildung, Berufseinstieg oder mit Berufserfahrung. Sei Teil unseres innovativen Teams und finde bei uns endlich den Job, der zu Dir passt!

Zu unseren Stellenangeboten