Penetration Testing Essen

Vertrauenswürdige Ethical Hacker Essen

Unsere zertifizierten Pentester und IT-Sicherheitsexperten prüfen Ihre IT-Systeme aus dem Blickwinkel eines Angreifers und Hackers. Penetration Testing ist einer der effektivsten Wege die eigene IT-Sicherheit gründlich zu prüfen und die aufgedeckten Sicherheitslücken zu beseitigen.

  • Zertifizierte Penetration Tester (OSCP, OSCE, OSWE, GPEN)
  • Penetrationstests auf Netzwerke, Web-Anwendungen, APIs und IT-Systeme
  • Pentests auf Web-Anwendungen gemäß OWASP Web Security Testing Guide und OWASP TOP-10
  • Lernen Sie Ihre IT-Umgebung aus der Sicht eines Angreifers kennen
  • Ausführlicher Bericht mit klarem Maßnahmenplan
  • Durchführung von technischen IT-Sicherheitsaudits
  • Schützen Sie Kunden, Partner und Angestellte
  • Erkennung Sie Schwachstellen vor Ihren Angreifern
  • Keine versteckten Kosten | transparent & fair
  • Herstellerunabhängige IT-Security Experten für Essen
Bild eines Penetrationstesters für Essen

(0800) 40 40 776

Wir sind telefonisch, per E-Mail oder über unser Kontaktformular erreichbar.

Ihre Vorteile auf einen Blick

Mit unseren Penetration-Tests und Sicherheitsaudits identifiziert Redlings zuverlässig Sicherheitslücken, die unsere Kunden gefährden. Profitieren Sie von unseren praxiserfahrenen Penetration-Testern.

Zertifizierte
Penetration-Tester

Herstellerunabhängig
und individuell

Kostenlose
Erstberatung


Unsere IT-Security Experten

Unsere IT-Sicherheitsexperten für Penetrationstests haben langjährige Erfahrung in der Durchführung von Sicherheitsprüfungen. Durch regelmäßige Schulungen und Weiterbildungen sind sie immer auf dem aktuellsten Stand.

Wer wir sind

Redlings ist ein auf die Durchführung von Penetrationstest spezialisertes Unternehmen mit Sitz in Deutschland.

Stellen Sie sicher, dass Ihre Verteidigung aktuellen Bedrohungen gewachsen ist. Mit unseren manuellen Deep-Dive-Engagements identifizieren wir Sicherheitsschwachstellen welche Kunden gefährden. Mit unserem Serviceangebot "Continuous Collaborative Testing" verfolgen wir einen langfristigen Sicherheitsansatz und arbeiten mit unseren Kunden zusammen, um sicherzustellen, dass sich ihre Sicherheitslage stetig verbessert.

Gründe

für einen

Penetrationstest

Jeder Pentest von Redlings unterliegt strengen Richtlinien und ethischen Grundsätzen.

1

Evidenzbasierte Investition

Investitionen in Sicherheitsmaßnahmen sollten immer mit konkreten Nachweisen unterstützt werden, um den Wert für das Unternehmen zu belegen. Wenn Sie Ihrem Führungsteam den Wert einer Investition zeigen, können Sie Ihren Bedarf nach mehr Ressourcen begründen.

2

Aufdecken von Sicherheitslücken

Penetrationstests greifen Ihr Netzwerk und Ihre Web-Applikationen wie ein Hacker an - allerdings ohne Schaden anzurichten. Damit könenn Sie Sicherheitslücken vor den Angreifern finden und beheben.

3

Weiterbildung des internen IT-Teams

Die Ergebnisse eines Penetrationstests können Ihren Entwicklern und Administratoren helfen, weniger Fehler zu machen. Ein Pentest erkennt Fehlkonfigurationen, Programmierfehler und andere Schwachstellen.

4

Umsetzung der Sicherheitsleitlinie

Fehlen wichtige Patches oder werden Anwendungen und Betriebssysteme nicht gehärtet? Wenn Ihre Pentester zeigen können, dass Applikationen und Netzwerkbereiche mit guter Umsetzung weniger Sicherheitslücken aufweisen, motiviert dies die Sicherheitsleitlinien besser zu befolgen.

5

Priorisierung von IT-Risiken

Mit einem Penetrationstest können Sie feststellen, welche vorhandenen Sicherheitslücken die größten Auswirkungen auf Ihre Web-Applikationn und Ihr Netzwerk haben. Setzten Sie damit Ihre Ressourcen und Zeit effizienter ein.

6

Erfüllung von COMPLIANCE-Anforderungen

Vorschriften wie PCI-DSS, aber auch ISO 27001/2 u.a. können regelmäßige Penetrations-Tests erfordern. Auch manche vertragliche Regelung kann eine solche Anforderung enthalten.

7

Konsequenzen eines IT-Sicherheitsvorfalls verstehen

Penetrationstests geben Ihnen eine ungeschminkte Rückmeldung über mögliche Konsequenzen eines IT-Sicherheitsvorfalls wie beispielsweise eines Ransomware-Angriffs.

8

Steigerung derEffektivität vorhandener Sicherheits­technologien

Häufig werden von unseren Penetrationstestern nicht genutzte Potentiale von vorhandenen Sicherheits-Technologien aufgedeckt. Die Leistungsfähigkeit der Sicherheitssysteme kann damit oft signifikant erhöht werden.

9

Schützen Sie Ihre wichtigsten Daten und das Vertrauen Ihrer Kunden

Unternehmens- und Kundendaten gelten als Lebenselixier eines Unternehmens und können in den falschen Händen äußerst schädlich sein. Mit einem Pentest kann Ihr Unternehmen die Datenbestände besser schützen und damit möglichst auch Angriffe verhindern.

Vorgehen bei einem Penetrationstest

1

Kick-Off

Der Projektablauf wird im Rahmen des gemeinsamen Kick-Off Gespräches geplant und vorbereitet. Unter anderem folgen dabei Abstimmungen zu den folgenden Punkten:

  • Abstimmung der Kontaktdaten
  • Testzeitraum mit Startdatum und Enddatum
  • Review des genauen Umgangs des Pentests
  • Technische Präsentation durch den Kunden (Testsubjekt)
  • Verfügbarmachung von technischen Details (z.B. Dokumentation der Komponenten, Zugänge)
  • Absprache zur Umgebung des Pentest und der Methodik
2

Durchführung des Pentests

Nun erfolgt die eigentliche Sicherheitsprüfung. Sie besteht dabei üblicherweise aus einem (oder mehreren) in Auftrag gegebenen Prüfmodulen.

  • Penetrationstest Netzwerk (intern)
  • Penetrationstest Netzwerk (extern)
  • Web Application & Web-API Penetrationstest
  • IoT/Hardware Security Assessment
  • Red Team
  • Active Directory Security Assessment
  • Wireless Penetration Test
  • Cloud Pentests
3

Report

Die Testergebnisse werden in einem Bericht zusammengetragen. Darin enthalten sind unter anderen die nachfolgend aufgeführten Abschnitte:

  • Kurzfassung der Resultate und Darstellunge der Rahmenparameter
  • Liste und Darstellung der aufgedeckten Sicherheitsprobleme mit Einschätzung des Risikos sowie Vorschlägen zur Korrektur
  • Detaillierte Dokumentation der aufgedeckten Sicherheitslücken
4

Abschluss-Meeting

Die Resultate des durchgeführten Pentests werden in einem Abschlussgespräch besprochen. Dabei ist uns bewusst, dass die gefundenen Sicherheitsprobleme nur ein erster Schritt sind. Konkrete Folgemaßnahmen zur Erhöhung der Sicherheit sind zu definieren und auch umzusetzten.

Lassen Sie sich kostenlos beraten!

Prüfen Sie mit einem Penetrationstest welchen Schaden Hacker bei Ihnen anrichten können.

Als Pentester und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Essen, Deutschland, Europa und weltweit durchführen.

So erreichen Sie uns

  • Redlings Essen
    Ruhrallee 185
    45136 Essen
  • (0800) 40 40 776
  • essen@redlings.com
  • Werktags von 8 Uhr - 18 Uhr
  • In Notfällen 24/7

Häufige Fragen

Was ist ein Penetrationstest?

Ein Penetrationstest, kurz "Pentest", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.

Was ist der Unterschied zwischen einem Penetration Test und einem Schwachstellen-Scan?

Sowohl Penetrationstests als auch automatisierte Schwachstellenscans sind nützliche Werkzeuge zum Erkennen von technischen Risiken und Sicherheitslücken. Obwohl es sich um unterschiedliche Testmethoden handelt, ergänzen sie sich und sollten beide durchgeführt werden.

Ein Schwachstellen-Scan ist eine automatisierte, kostengünstige Methode zum Testen gängiger Netzwerk- und Server-Schwachstellen. Dies wird manchmal auch als automatisierter Pen-Test bezeichnet. Es gibt viele automatisierte Tools, und die meisten lassen sich vom Endbenutzer leicht so konfigurieren, dass sie zeitgesteuert nach veröffentlichten Schwachstellen scannen. Ein automatisierter Schwachstellen-Scan ist zwar sehr effizient und kostengünstig, wenn es darum geht, allgemeine Schwachstellen wie fehlende Patches, Fehlkonfigurationen von Diensten und andere bekannte Schwachstellen zu identifizieren, aber sie sind nicht so genau, wenn es darum geht, die Richtigkeit von Schwachstellen zu überprüfen, und sie bestimmen auch nicht vollständig die Auswirkungen durch Ausnutzung. Automatisierte Scanner sind anfälliger für die Meldung von False Positives (falsch gemeldete Schwachstellen) und False Negatives (nicht identifizierte Schwachstellen, insbesondere solche, die Webanwendungen betreffen). Automatisiertes Schwachstellen-Scanning wird durch den Payment Card Industry Data Security Standard (PCI DSS) vorgeschrieben.
Bekannte Schwachstellen-Scanner sind beispielweise und OpenVAS. Beispiele für Scanner, welche auf das Finden von Schwachstellen von Webapplikationen spezialisiert sind Netsparker Security Scanner und Acunetix Vulnerability Scanner.

Ein Penetrationstest konzentriert sich auf die Umgebung als Ganzes. In vielerlei Hinsicht knüpft er dort an, wo die Scanner aufhören, um eine umfassende Analyse der gesamten Sicherheitslage zu liefern. Obwohl Skripte und Tools von einem Penetrationstester eingesetzt werden, ist ihre Verwendung weitgehend auf Erkundungsaktivitäten beschränkt. Der Großteil eines Penetrationstests ist von Natur aus manuell. Ein Penetrationstest identifiziert Schwachstellen, die Scanner nicht erkennen können, wie z. B. Schwachstellen in drahtlosen Systemen, Schwachstellen in Webanwendungen und noch nicht veröffentlichte Schwachstellen. Darüber hinaus beinhaltet ein Penetrationstest Versuche, Schwachstellen sicher auszunutzen, Privilegien zu erweitern und letztendlich zu demonstrieren, wie ein Angreifer Zugang zu sensiblen Informationsbeständen erlangen könnte. Bei Penetrationstests werden häufig auch unternehmensspezifische "Testszenarien" angewendet.

Penetrationstests und automatisierte Schwachstellen-Scans erfüllen beide einen Zweck und beide Arten von Tests gehören in ein umfassendes Programm zur Schwachstellenbewertung. Automatisierte Schwachstellen-Scans sollten in regelmäßigen Abständen, idealerweise mindestens wöchentlich, durchgeführt werden, während Penetrationstests für das Netzwerk vierteljährlich oder bei geplanten signifikanten Änderungen an der Umgebung geplant werden sollten.

Wie viel von Redlings Penetrationstests ist automatisiert, wie viel ist manuell?

Eine Frage, die nicht oft genug gestellt wird, ist, wie viel von den Tests automatisiert und wie viel manuell ist. Automatisierte Tools, insbesondere zu Beginn eines Projektes, können einem Pentester viel Zeit sparen und der Einsatz ist auch abhängig von Projekt zu Projekt. Erfahrungsgemäß sind jedoch ca. 90-95% des Pentets "Handarbeit".

Das soll nicht heißen, dass automatisierte Schwachstellen-Scanner keinen Mehrwert bieten; Schwachstellen-Scans sind schnelle und einfache Tools, die regelmäßig eingesetzt werden sollten, um fehlende Patches oder veraltete Software in größeren Umgebungen zu identifizieren.

Ethical Hacker, Penetrationtester, und White-Hat-Hacker – Wo ist der Unterschied?

Die Begriffe "Penetrationstester" (kurz auch „Pentester“), "White Hat Hacker" und "Ethical Hacker" werden oft synonym verwendet. Die Begriffe „Ethical Hacker“ und „White Hat Hacker“ umfassen die gesamte Hacking-Aktivität zur Verbesserung der IT-Sicherheit. Allen gemein ist, dass Aktivitäten die rechtswidrig oder nicht dem Code of Ethics entsprechen unterlassen werden.
Formal ist ein Penetrationstest nur ein „Ethical Hack“ mit sehr klar vereinbarten Regeln, einem formalen Vorgehen sowie einem definierten Ziel.

Was ist ein White-Box Test?

Bei einem White-Box-Test erhält der Pentester alle relevanten Informationen über das oder die Zielsystem(e). Der Vorteil ist, dass dieses Vorgehen Zeit – und damit Kosten – spart. Auch generell gilt, dass White-Box-Tests bei der Verbesserung der Sicherheit von IT-Systemen effektiver sind und üblicherweise bevorzugt werden sollten.
Allgemein gilt, dass Black-Box-Tests ein geeignetes Mittel sein können um Sicherheitsprobleme gegenüber einer Spezifikation (z.B. einer Web-API Schnittstelle) aufzudecken, jedoch nur sehr wenig geeignet sind um Fehler innerhalb von bestimmten Komponenten zu identifizieren. Im letzteren Falls sollten White-Box-Tests das bevorzugte Mittel sein.

Wie bereite ich mich auf einen Pentest vor?

Das kann – je nach Art des Pentests – verschieden sein. Häufig sind die Folgenden Punkte aber Teil des Scopes bzw. der gemeinsam getroffenen Vereinbarung:

- Zielsysteme (IP/Hostname) oder IP-Adressräume
- Testzeiträume sowie Ansprechpartner

Cloud-Provider wie AWS, Azure und Google haben für bestimmte Bereiche pauschale Einverständniserklärungen gegeben, jedoch kann dies je nach Provider unterschiedlich sein. Grundsätzlich muss eine solche vorliegen, falls die zu testenden System nicht auf eigener Infrastruktur liegen. Häufig ist es sinnvoll die betroffenen Systemverantwortlichen frühzeitig in den Planungsprozess mit einzubinden damit der „Pentest“ nicht als Angriff sondern als Potentialanalyse zur Verbesserung der IT-Sicherheit wahrgenommen wird. Um ehrlich zu sein, uns geht es auch nicht darum zu zeigen, dass wir ein Unternehmen hacken können, sondern in einer kollaborativen Arbeitsatmosphäre Verbesserungspotentiale der IT-Landschaft aufzudecken, Maßnahmen abzuleiten und zu priorisieren und so effektiv und effizient wie möglich die IT-Sicherheit zu verbessern.

Aktuelle Beiträge

Leistungen

Benötigen Sie IT-Sicherheitsspezialisten?

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.