Was ist eigentlich ein Pentest?
Sie wollen einen Penetrationstest durchführen? Hier erfahren Sie alles, was Sie darüber wissen müssen: Welche Bereiche sich durch einen Penetrationstest testen...
Unsere zertifizierten Pentester und IT-Sicherheitsexperten prüfen Ihre IT-Systeme aus dem Blickwinkel eines Angreifers und Hackers. Ein Penetrationstest ist einer der effektivsten Wege die eigene IT-Sicherheit gründlich zu prüfen und die aufgedeckten Sicherheitslücken zu beseitigen.
Mit unseren Penetration-Tests und Sicherheitsaudits identifiziert Redlings zuverlässig Sicherheitslücken, die unsere Kunden gefährden. Profitieren Sie von unseren praxiserfahrenen Penetration-Testern.
Unsere IT-Sicherheitsexperten für Penetrationstests haben langjährige Erfahrung in der Durchführung von Sicherheitsprüfungen. Durch regelmäßige Schulungen und Weiterbildungen sind sie immer auf dem aktuellsten Stand.
Redlings ist ein auf die Durchführung von Penetrationstest spezialisertes Unternehmen mit Sitz in Deutschland.
Mit uns können Sie gewährleisten, dass Ihre Verteidigungsmaßnahmen angmessen für die aktuellen Bedrohungen sind. Durch unser detaillierten technischen Analysen "in Handarbeit" können wir Sicherheitsschwachstellen aufdecken, die Kunden angreifbar machen. Mit unserem kontinuierlichen Pentest-Ansatz arbeiten wir langfristig mit unseren Kunden an einer Verbesserung der IT-Sicherheitssituation.
Die Resultate eines Pentests unterstützen das eigenen Team - z.B. System-Admins - manche Fehlerquellen in Zukunft zu vermeiden. Ein Penetrationstest kann Fehler in der Konfiguration und Programmierung aufdecken.
Vorschriften wie PCI-DSS, aber auch ISO 27001/2 u.a. können regelmäßige Penetrations-Tests erfordern. Auch manche vertragliche Regelung kann eine solche Anforderung enthalten.
Penetrationstests geben Ihnen eine ungeschminkte Rückmeldung über mögliche Konsequenzen eines IT-Sicherheitsvorfalls wie beispielsweise eines Ransomware-Angriffs.
Investitionen in Sicherheitsmaßnahmen sollten immer mit konkreten Nachweisen unterstützt werden, um den Wert für das Unternehmen zu belegen. Wenn Sie Ihrem Führungsteam den Wert einer Investition zeigen, können Sie Ihren Bedarf nach mehr Ressourcen begründen.
Unternehmens- und Kundendaten gelten als Lebenselixier eines Unternehmens und können in den falschen Händen äußerst schädlich sein. Mit einem Pentest kann Ihr Unternehmen die Datenbestände besser schützen und damit möglichst auch Angriffe verhindern.
Mit einem Penetrationstest können Sie feststellen, welche vorhandenen Sicherheitslücken die größten Auswirkungen auf Ihre Web-Applikationn und Ihr Netzwerk haben. Setzten Sie damit Ihre Ressourcen und Zeit effizienter ein.
Fehlen wichtige Patches oder werden Anwendungen und Betriebssysteme nicht gehärtet? Wenn Ihre Pentester zeigen können, dass Applikationen und Netzwerkbereiche mit guter Umsetzung weniger Sicherheitslücken aufweisen, motiviert dies die Sicherheitsleitlinien besser zu befolgen.
Unsere Pentester sind zertifizierte Experten auf ihrem Gebiet und decken häufig Möglichkeiten auf wie bereits vorhandene (und bezahlte) Sicherheitstechnologien besser genutzt und die Schutzwirkung verstärkt werden kann.
Penetrationstests greifen Ihr Netzwerk und Ihre Web-Applikationen wie ein Hacker an - allerdings ohne Schaden anzurichten. Damit könenn Sie Sicherheitslücken vor den Angreifern finden und beheben.
Der Projektablauf wird im Rahmen des gemeinsamen Kick-Off Gespräches geplant und vorbereitet. Unter anderem folgen dabei Abstimmungen zu den folgenden Punkten:
Nun erfolgt die eigentliche Sicherheitsprüfung. Sie besteht dabei üblicherweise aus einem (oder mehreren) in Auftrag gegebenen Prüfmodulen.
Die Testergebnisse werden in einem Bericht zusammengetragen. Darin enthalten sind unter anderen die nachfolgend aufgeführten Abschnitte:
Die Resultate des durchgeführten Pentests werden in einem Abschlussgespräch besprochen. Dabei ist uns bewusst, dass die gefundenen Sicherheitsprobleme nur ein erster Schritt sind. Konkrete Folgemaßnahmen zur Erhöhung der Sicherheit sind zu definieren und auch umzusetzten.
Prüfen Sie mit einem Penetrationstest welchen Schaden Hacker bei Ihnen anrichten können.
Als Pentester und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Düsseldorf, Deutschland, Europa und weltweit durchführen.
Ein Penetrationstest, kurz "Pentest", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.
Zu Beginn des Prozesses versuchen wir, uns mit Ihrem Unternehmen und dem Arbeitsumfang
vertraut zu machen, damit wir in der Lage sind, ein genaues Angebot zu erstellen.
Wir sammeln diese Informationen absichtlich, damit wir nicht zurückkommen
und um mehr Testzeit (und zusätzliche Kosten) bitten.
Je mehr Informationen Sie bereit sind, uns mitzuteilen,
desto besser können wir eine Einschätzung abgeben.
Manche Kunden wünschen jedoch einen Blackbox-Ansatz,
bei dem nur wenige Informationen zur Verfügung gestellt werden,
um einen realen Angriff und die Reaktion darauf zu simulieren.
In diesem Fall müssen wir immer noch die Größe/Komplexität erfassen,
die für das Testen erforderlich ist, und haben daher einige
grundlegende Fragen zum Umfang.
Ähnlich wie bei den Kosten, hängt die Dauer von Penetrationstests von mehreren Faktoren ab. Penetrationstests sind eine praktische Bewertung, die sich nicht für kurze, schnelle Sprints eignet. Bei Redlings neigen wir dazu, Pentestingprojekte ab etwa einer Woche beginnen zu lassen, aber viele Projekte können sich auch über einen deutlich längeren Zeitraum erstrecken.
Bei einem White-Box-Test erhält der Pentester alle relevanten Informationen über das oder die Zielsystem(e). Der Vorteil ist, dass dieses Vorgehen Zeit – und damit Kosten – spart. Auch generell gilt, dass White-Box-Tests bei der Verbesserung der Sicherheit von IT-Systemen effektiver sind und üblicherweise bevorzugt werden sollten.
Allgemein gilt, dass Black-Box-Tests ein geeignetes Mittel sein können um Sicherheitsprobleme gegenüber einer Spezifikation (z.B. einer Web-API Schnittstelle) aufzudecken, jedoch nur sehr wenig geeignet sind um Fehler innerhalb von bestimmten Komponenten zu identifizieren. Im letzteren Falls sollten White-Box-Tests das bevorzugte Mittel sein.
Das kann – je nach Art des Pentests – verschieden sein. Häufig sind die Folgenden Punkte aber Teil des Scopes bzw. der gemeinsam getroffenen Vereinbarung:
- Zielsysteme (IP/Hostname) oder IP-Adressräume
- Testzeiträume sowie Ansprechpartner
Cloud-Provider wie AWS, Azure und Google haben für bestimmte Bereiche pauschale Einverständniserklärungen gegeben, jedoch kann dies je nach Provider unterschiedlich sein.
Grundsätzlich muss eine solche vorliegen, falls die zu testenden System nicht auf eigener Infrastruktur liegen.
Häufig ist es sinnvoll die betroffenen Systemverantwortlichen frühzeitig in den Planungsprozess mit einzubinden
damit der „Pentest“ nicht als Angriff sondern als Potentialanalyse zur Verbesserung der IT-Sicherheit wahrgenommen wird.
Um ehrlich zu sein, uns geht es auch nicht darum zu zeigen, dass wir ein Unternehmen hacken können,
sondern in einer kollaborativen Arbeitsatmosphäre Verbesserungspotentiale der IT-Landschaft aufzudecken,
Maßnahmen abzuleiten und zu priorisieren und so effektiv und effizient wie möglich die IT-Sicherheit zu verbessern.
Eine Frage, die nicht oft genug gestellt wird, ist, wie viel von den Tests automatisiert
und wie viel manuell ist. Automatisierte Tools, insbesondere zu Beginn eines Projektes, können
einem Pentester viel Zeit sparen und der Einsatz ist auch abhängig von Projekt zu Projekt.
Erfahrungsgemäß sind jedoch ca. 90-95% des Pentets "Handarbeit".
Das soll nicht heißen, dass automatisierte Schwachstellen-Scanner keinen Mehrwert bieten;
Schwachstellen-Scans sind schnelle und einfache Tools, die regelmäßig eingesetzt werden
sollten, um fehlende Patches oder veraltete Software in größeren Umgebungen zu identifizieren.
Sie wollen einen Penetrationstest durchführen? Hier erfahren Sie alles, was Sie darüber wissen müssen: Welche Bereiche sich durch einen Penetrationstest testen...
Warum ist IT-Security wichtig? Angreifer und Verteidung - ein ewiges Katz- und Mausspiel? Welche Maßnahmen sollte man jetzt umsetzten um sich vor Ransomware und...
Ein Netzwerkpenetrationstest ist eine Sicherheitsbewertung der internen oder externen IT-Infrastruktur sowie der exponierten Netzwerkdienste.
Read MoreWir untersuchen Ihre Webanwendungen und Webserver auf Schwachstellen.
Read MoreEin Cloud Penetration Test ist eine Sicherheitsbewertung von einem oder mehreren Systemen in einer Cloud-Umgebung (z.B. AWS, Azure, GCP).
Read MoreBeurteilen Sie die Wirksamkeit Ihrer Präventions-, Erkennungs- und Reaktionsfähigkeiten gegen gängige Angreifertaktiken.
Read MoreEin Active Directory Security Assessment umfasst eine Forest- und Domain-Trust-Konfiguration und Sicherheitsüberprüfung sowie eine Bewertung der Konrollen für administrative Gruppen und privilegierte Zugriffskonten.
Read MoreBewerten Sie die Fähigkeiten Ihres Unternehmens zur Erkennung von und Reaktion auf Bedrohungen anhand eines emulierten Cyberangriffs.
Read MoreMit dem Redlings Schwachstellenbewertungsdienst können Sie die Cybersicherheitsrisiken Ihres Unternehmens besser verstehen und verwalten, indem Sie Unterstützung bei der Identifizierung, Klassifizierung und Abschwächung dieser Risiken erhalten.
Read MoreEin Social Engineering Security Assessment kann von einfachem E-Mail-Phishing bis hin zu ausgefeilten Kampagnen reichen, die mehrere Kommunikationstechniken wie Spearphishing, Vishing und Engagement vor Ort nutzen.
Read MoreRedlings stellt Unternehmen hochkarätige Sicherheitsexperten zur Verfügung die langjährige Erfahrung in Aufbau und Betrieb von Informationssicherheitsprogrammen haben.
Read MoreUnsere GRC-Experten unterstützen Sie bei der Durchführung Ihres Informationssicherheitsprojekts.
Read MoreUnser Ziel ist es, sicherzustellen, dass Ihr Unternehmen 'Security-by-Design' bereits direkt beim Projektstart voll integriert hat.
Read MoreUnsere Sicherheitsexperten integrieren Sicherheitsrichtlinien, -tools und -praktiken in Ihre DevOps-Umgebung.
Read More