Penetration Testing

Penetrationstests durch zertifizierte Experten

Identifizierung und Beseitigung versteckter Schwachstellen in der IT-Sicherheit

Ex

Was ist ein Pentest?

ÜBERBLICK

Penetrationstests - oder auch kurz Pentests - sind Sicherheitstests, bei der IT-Sicherheitsexperten zunächst Schwachstellen und Sicherheitslücken aufdecken und diese dann auf sichere Art auszunutzen um die damit verbundenen Risiken zu bewerten.

Solche Schwachstellen entstehen entweder durch Fehler in Konfiguration oder Programmierung der eingesetzten Webanwendungen, Betriebssysteme, Systemdienste, IT-Infrastruktur, Cloud-Diensten oder auch einfach durch riskantes Verhalten von Benutzern.

Beim Penetration Testing wird die Perspektive eines Angreifers eingenommen und versuchet mit den gleichen Mitteln und Tools versucht die vorhandenen Sicherheitsmechanismen auszuhebeln.

Zu den Ergebnissen eines Penetrationstests gehört ein umfangreicher Bericht mit Darstellung der aufgefundenen Sicherheitsschwachstellen und detaillierten Empfehlungen zur Behebung.

Gründe für einen Pentest

Beheben von Sicherheitslücken bevor diese durch Kriminelle ausgenutzt werden können

Durchführung einer unabhängigen Prüfung von umgesetzten Sicherheitsmaßnahmen

Unterstützt Compliance-Anforderungen wie ISO27001, PCI DSS und DSGVO

Aufdecken von nicht genutzten Potentialen vorhandener Sicherheitstechnologien

Steigerung des Verständnises von tatsächlichen Bedrohungen der IT-Sicherheit

Priorisierung von IT-Investitionen und IT-Sicherheitsrisiken

Häufige Schwachstellen

Durch die Erkennung und sichere Ausnutzung von Schwachstellen, die sich automatischen Scans nicht erkennen lassen, und die Bereitstellung klarer Ratschläge zur Behebung von Problemen, ermöglichen es Ihnen Redlings das IT-Sicherheitsrisikos Ihres Unternehmens besser zu verstehen und erheblich zu reduzieren. Alle Pentests von Redlings sind vertraulich und im Gegensatz zu echten Cyberangriffen so konzipiert, dass sie keine Schäden oder Störungen verursachen. Ein solcher Penetrationstest hilft bei der Identifizierung von Schwachstellen wie beispielsweise:

Konfigurationsfehler Dazu können Standardkonten, nicht ausreichende abgesicherte Cloud-Speicher wie Amazon S3, offenen Ports, schwache Kennwörter, unsichere Benutzerrechte gehören – aber auch tiefgreifenden Konfigurationsproblemen, die für den Netzwerkzugang oder die Eskalation von Privilegien ausgenutzt werden können.

Defekte Zugangskontrolle (Web Apps) Wir prüfen ob Fehler in der in der Verwaltung von Cookies, Sessions oder Tokens zum unbefugten Zugriff auf Daten oder Funktionen führen.

Fehler in der Verschlüsselung Redlings prüft, ob die zum Schutz und zur Übertragung der Daten verwendeten Verschlüsselungsmethoden sicher genug sind, um Manipulationen und Abhören zuverlässig zu verhindern.

Security Vulnerabilities and Attackers
KURZ & BÜNDIG

Häufige Fragen und Antworten

Ethical Hacker, Pentester und White-Hat-Hacker: Wo ist der Unterschied?

Die Begriffe „Pentester“, "White Hat Hacker" und "Ethical Hacker" werden oft synonym verwendet. „Ethical Hacker“ und „White Hat Hacker“ sind jedoch umfassender zu verstehen und bezeichnen alle Hacking-Aktivitäten zur Verbesserung der IT-Sicherheit. Allen gemein ist, dass keine rechtswidrigen oder nicht dem Code of Ethics entsprechen Aktivitäten durchgeführt werden.

Formal ist ein Penetration testing ein „Ethical Hack“ mit sehr klar vereinbarten Regeln, einem formalen Vorgehen sowie einem definierten Ziel.

Wie lange dauert ein Pentest?

Die Zeit, die für einen Pentest benötigt wird, hängt vom Umfang des Tests ab. Zu den Faktoren, die sich auf die Dauer des Pentesting auswirken, gehören die Größe des Netzwerks bzw. die Komplexität der Anwendung, die Frage, ob der Test intern oder extern durchgeführt wird, ob er physische Penetrationstests beinhaltet und ob Netzwerkinformationen und Benutzeranmeldeinformationen vor dem Beginn den Testern zur Verfügung gestellt werden.

Wie oft sollte man Pentesting durchführen?

Pentesting sollte regelmäßig erfolgen um ein effektives IT- und Netzwerksicherheitsmanagement zu gewährleisten. Ein Penetrationstest zeigt auf, wie neu entdeckte Bedrohungen oder unentdeckte Schwachstellen von Angreifern ausgenutzt werden können. Zusätzlich zu den regelmäßigen Analysen und Bewertungen, die aufgrund von Compliance-Vorschriften auch teilweise erforderlich sein können, sollten die Tests auch immer nach größeren Änderungen durchgeführt werden wie dem Einsatz veränderter oder neuer Netzwerkinfrastruktur, neuer Anwendungen und veränderten Sicherheitsrichtlinien.

Kann ein Pentest remote durchgeführt werden?

Viele Arten von Penetrationstests können remote, beispielsweise über eine VPN-Verbindung durchgeführt werden. Aber einige Arten, wie beispielsweise Pentests für drahtlose Netzwerke, oder Pentests auf die physische Infrastruktur erfordern möglicherweise die Durchführung einer Bewertung durch einen Penetrationstester vor Ort.

Sollte man denselben Anbieter von Penetrationstests wiederholt verwenden?

Die Zusammenarbeit mit einem einzigen Pentest-Anbieter kann dazu führen, dass einige Schwachstellen übersehen werden. Dies kann beispielsweise an einer großen Vertrautheit mit der IT-Umgebung liegen, manchmal auch „Betriebsblindheit“ genannt. Auf der anderen Seite kann ein solcher Pentester direkt – und ohne nennenswerte Einarbeitungszeit - gleich direkt jeweils in die Tiefe gehen.

Wenn man sich diesem Spannungsfeld bewusst ist, dann ergibt sich oft automatisch der richtige Zeitpunkt um ein paar frische Ideen und Denkweisen ins Boot zu holen, um eventuell neue Verbesserungspotentiale aufdecken zu können.

Wird ein Penetrationstest den Geschäftsbetrieb beeinträchtigen?

Ein Penetrationstest ist ein unter Einhaltung strengster rechtlicher, technischer, und ethischer Standards durchgeführtes Projekt. Die Tests sind darauf ausgelegt, Schwachstellen zu identifizieren und sicher auszunutzen, während das Risiko einer Unterbrechung des Geschäftsbetriebs minimiert wird. Es seit angemerkt, dass ein Pentesting-Projekt natürlich auch in Entwicklungs- oder Integrationsumgebungen durchgeführt werden kann.

Wie viel kostet ein Penetrationstest?

Wie bei jeder Unternehmensdienstleistung variieren auch die Kosten für einen Penetrationstests in Abhängigkeit von mehreren Faktoren erheblich. Scoping-Details wie Netzwerk-IP-Adressen, Komplexität und Anzahl der (Web-)Anwendungen und Mitarbeiter für Social Engineering sind Schlüsselfaktoren zur Bestimmung der Projektgröße. Dennoch lassen sich Erfahrungswerte, die als erste Anhaltspunkte dienen können, nennen. Ein hochwertiger, professioneller und von Experten durchgeführter Pentest kostet üblicherweise ab etwa €4.000 für eine einfache Anwendung oder ein einfaches Netzwerk.

Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetrationstest?

Schwachstellen-Scanner (engl. Vulnerability Scanner) wie Nessus, OpenVAS oder Nmap sind automatisierte Tools, die eine IT-Umgebung untersuchen und nach Abschluss einen Bericht über die aufgedeckten Schwachstellen erstellen. Häufig werden die vorgefundenen Schwachstellen mit einer CVE-Kennung versehen, über die sich genauere Informationen in Erfahrung bringen lassen. Auch eine Bewertung mit einem CVSS-Risikoscore (von 1=Low bis 10=Critical) wird üblicherweise mit angegeben.

Während Schwachstellen-Scans ein wertvolles Bild der potenziellen Sicherheitsschwachstellen liefern, fügen Penetrationstests Kontext hinzu, indem sie zeigen, ob die Schwachstellen ausgenutzt werden könnten, um Zugang zu Ihrer Umgebung zu erhalten.

Welche Schritte sollten nach einem Pentest erfolgen?

Penetrationstests sollten nicht als Hindernis betrachten werden, das es zu überwinden gilt - und sie nach Durchführung einfach als "erledigt" abhaken. Im Gegenteil: die Auswertung der Ergebnisse eines Penetrationstests ist eine gute Gelegenheit, die Ist-Situation und Planung zu IT und IT-Sicherheit zu besprechen und zu überprüfen.

Woring liegt der Unterschied zwischen einem Black-Box, White-Box und Grey-Box Pentest?

Ein Black-Box Ansatz beim Pentesting bedeutet, dass ein Pentester vorab keine internen Informationen über eine Umgebung erhält. Bei einem Pen-Testing White-Box Ansatz erhält der Pentester die internen Details vorab. Ein Grey-Box Penetrationstest liegt irgendwo zwischen einem White-Box und einem Black-Box Pentest.

Je nach Fragestellung die es zu beantworten gilt eignet sich der eine oder andere Ansatz besser. Ein White-Box Ansatz bei dem die internen technischen Details offen liegen führt häufig zu einem kosteneffizienteren Vorgehen als wenn der Pen Test nach einem Black-Box Vorgehen durchgeführt wird. Ein White-Box Modell ist für die meisten Pentests empfehlenswert.

Wie läuft ein Pentest ab?

Durch Penetration Testing ermitteln Sie proaktiv die am besten ausnutzbaren Sicherheitsschwachstellen, bevor es jemand anderes tut. Es geht jedoch um viel mehr als nur zu zeigen, ob eine IT-Infrastruktur oder Web-Anwendung gehackt werden kann. Penetrationstests sind strukturiert und methodisch ablaufende Projekte. Grundsätzlich kann man dabei die folgenden Projektphasen unterscheiden:

1

Scoping, Planung und Vorbereitung

Zwischen Pentester und Kunde wird vorab vereinbart, welche Art von Pentest durchgeführt und welche Ziele dabei erreicht werden sollen. Üblicherweise findet kurz vor Beginn noch ein gemeinsames Kick-Off Meeting zur organisatorischen und technischen Abstimmung statt:

  • Austausch von aktuellen Kontaktinformationen
  • Bestätigung Start- und Enddatum, ggf. Testzeitfenster
  • Bestätigung des genauen Projektumfangs
  • Vorstellung des Testgegenstands
  • Bereitstellung von Informationen/Zugängen für die Tester (z.B. API-Dokumentation im Falle eines API-Tests und Zugangsinformationen)
  • Abstimmung zur Testumgebung, Vorgehensweisen und anderen Rahmenbedingungen
2

Erkundung

Während der Phase der Erkundung (engl. Enumeration) werden beispielsweise Informationen über Firewalls, verfügbaren Netzwerkdiensten, IP-Adressen evaluiert. Abhängig von der Art des Pentests können auch persönliche Daten wie Namen, Berufsbezeichnungen, E-Mail-Adressen, Benutzernamen und aktuelle Stellenausschreibungen aus öffentlichen Quellen gesammelt und für spätere Phasen vorgehalten werden.

3

Identifizierung und Ausnutzung von Schwachstellen

Nun versuchen die Pentester in die Umgebung einzudringen, Sicherheitsschwachstellen zu identifzieren und auszunutzen und beispielsweise zu zeigen, wie tief sie in das Netzwerk eindringen können. Nach erfolgreicher Ausnutzung einer Schwachstelle findet üblicherweise wieder eine weitere Erkundung statt um die nun neu vorgefundenen Möglichkeiten für die nächsten Schritte zu prüfen.

4

Bericht und Analyse der Ergebnisse

Die Testergebnisse werden in einem Bericht zusammengetragen. Darin ist enthalten:

  • Executive Summary als Kurzfassunt der Resultate mit Einschätzung des Gesamtrisikos
  • Darstellung der Rahmenparameter, des Vorgehensmodells und des Testgegenstandes
  • eine Liste und Darstellung der aufgedeckten Sicherheitsprobleme mit Einschätzung des Risikos sowie Vorschlägen zur Abhilfe
  • eine detaillierte Dokumentation, wie die aufgedeckten Sicherheitslücken konkret und Schritt für Schritt ausgenutzt werden konnten.

5

Abschlussgespräch / Closing Meeting

Die Ergebnisse werden in einem gemeinsamen Abschlussgeschpräch vorgestellt. Dabei stehen die Pentester persönlich für konkrete Fragen in einem gemeinsamen Rahmen zur Verfügung.

6

Schließung von Sicherheitslücken

Es sollten die notwendigen Korrekturen vorgenommen werden, um die aufgefundenen Lücken in der IT-Sicherheitsinfrastruktur zu schließen.

7

Nachtest

Der beste Weg, um sicherzustellen, dass die durchgeführten Korrekturmaßnahmen zur Absicherung der Sicherheitsinfrastruktur eines Unternehmens wirksam sind, ist ein erneuter Test.

zertifiziert und erfahren

Qualifikationen unserer Pentester

Warum Redlings?

Porto Headers
Ein vertrauenswürdiger Partner

Eingehende Bedrohungsanalyse und Beratung

Ein tiefes Verständnis der Arbeitsweise von Hackern

Durchführung nach anerkannten Regeln der Technik (BSI, PTES, PCI DSS, OSSTMM, NIST, OWASP)

Ausführlicher Bericht mit Empfehlungen zur Behebung aufgefundener Schwachstellen

Umfassende Betreuung nach dem Test für eine effektive Beseitigung der aufgedeckten Risiken

Haben wir Ihr Interesse geweckt?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Ratgeber

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.