Was ist Datensicherheit? Standards & Technologien
Datensicherheit ist ein wichtiges Theme für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen Rahmen.
Penetration Testing Landshut
Vertrauenswürdige Ethical Hacker Landshut
Unsere zertifizierten Penetrationstester und IT-Securityexperten prüfen Ihre IT-Infrastruktur und Webanwendungen aus der Perspektive und mit Mitteln eines Hackers. Penetrationstests sind einer der effektivsten Wege den Stand der eigenen IT-Sicherheit auf Herz und Nieren zu prüfen um anschließend die aufgedeckten Schwachstellen zu beseitigen.
Sprechen Sie jetzt mit einem zertifizierten Penetration-Tester!
Ihre Vorteile auf einen Blick
Mit unseren Penetration-Tests und Sicherheitsaudits identifiziert Redlings zuverlässig Sicherheitslücken, die unsere Kunden gefährden. Profitieren Sie von unseren praxiserfahrenen Penetration-Testern.
Zertifizierte
Penetration-Tester
Herstellerunabhängig
und individuell
Kostenlose
Erstberatung
Unsere IT-Security Experten
Über viele Jahre hinweg haben unsere Pentest-Experten Erfahrung in der Ausführung von technischen Sicherheitsaudits und Penetrationstests gesammelt. Fortlaufende Trainings und Qualifizierungen stellen sicher, dass sie immer auf dem neuesten Stand der Angriffstechnik sind.
Wer wir sind
Redlings ist ein auf die Durchführung von Penetrationstest spezialisertes Unternehmen mit Sitz in Deutschland.
Stellen Sie sicher, dass Ihre Verteidigung aktuellen Bedrohungen gewachsen ist. Mit unseren manuellen Deep-Dive-Engagements identifizieren wir Sicherheitsschwachstellen welche Kunden gefährden. Mit unserem Serviceangebot "Continuous Collaborative Testing" verfolgen wir einen langfristigen Sicherheitsansatz und arbeiten mit unseren Kunden zusammen, um sicherzustellen, dass sich ihre Sicherheitslage stetig verbessert.
Gründe
für einen
Penetrationstest
Jeder Pentest von Redlings unterliegt strengen Richtlinien und ethischen Grundsätzen.
1
Umsetzung der Sicherheitsleitlinie
Fehlen wichtige Patches oder werden Anwendungen und Betriebssysteme nicht gehärtet? Wenn Ihre Pentester zeigen können, dass Applikationen und Netzwerkbereiche mit guter Umsetzung weniger Sicherheitslücken aufweisen, motiviert dies die Sicherheitsleitlinien besser zu befolgen.
2
Erfüllung von COMPLIANCE-Anforderungen
Vorschriften wie PCI-DSS, aber auch ISO 27001/2 u.a. können regelmäßige Penetrations-Tests erfordern. Auch manche vertragliche Regelung kann eine solche Anforderung enthalten.
3
Priorisierung von IT-Risiken
Mit einem Penetrationstest können Sie feststellen, welche vorhandenen Sicherheitslücken die größten Auswirkungen auf Ihre Web-Applikationn und Ihr Netzwerk haben. Setzten Sie damit Ihre Ressourcen und Zeit effizienter ein.
4
Konsequenzen eines IT-Sicherheitsvorfalls verstehen
Penetrationstests geben Ihnen eine ungeschminkte Rückmeldung über mögliche Konsequenzen eines IT-Sicherheitsvorfalls wie beispielsweise eines Ransomware-Angriffs.
5
Schützen Sie Ihre wichtigsten Daten und das Vertrauen Ihrer Kunden
Unternehmens- und Kundendaten gelten als Lebenselixier eines Unternehmens und können in den falschen Händen äußerst schädlich sein. Mit einem Pentest kann Ihr Unternehmen die Datenbestände besser schützen und damit möglichst auch Angriffe verhindern.
6
Steigerung derEffektivität vorhandener Sicherheitstechnologien
Unsere Pentester sind zertifizierte Experten auf ihrem Gebiet und decken häufig Möglichkeiten auf wie bereits vorhandene (und bezahlte) Sicherheitstechnologien besser genutzt und die Schutzwirkung verstärkt werden kann.
7
Weiterbildung des internen IT-Teams
Die Ergebnisse eines Penetrationstests können Ihren Entwicklern und Administratoren helfen, weniger Fehler zu machen. Ein Pentest erkennt Fehlkonfigurationen, Programmierfehler und andere Schwachstellen.
8
Evidenzbasierte Investition
Investitionen in Sicherheitsmaßnahmen sollten immer mit konkreten Nachweisen unterstützt werden, um den Wert für das Unternehmen zu belegen. Wenn Sie Ihrem Führungsteam den Wert einer Investition zeigen, können Sie Ihren Bedarf nach mehr Ressourcen begründen.
9
Aufdecken von Sicherheitslücken
Penetrationstests greifen Ihr Netzwerk und Ihre Web-Applikationen wie ein Hacker an - allerdings ohne Schaden anzurichten. Damit könenn Sie Sicherheitslücken vor den Angreifern finden und beheben.
Vorgehen bei einem Penetrationstest
1
Kick-Off
Der Projektablauf wird im Rahmen des gemeinsamen Kick-Off Gespräches geplant und vorbereitet. Unter anderem folgen dabei Abstimmungen zu den folgenden Punkten:
- Austausch von Kontaktinformationen
- Start- und Enddatum, ggf. Testzeitfenster
- Bestätigung des genauen Projektumfangs
- Vorstellung des Testgegenstands
- Bereistellung von Informationen für die Tester (z.B. API-Dokumentation im Falle eines API-Tests)
- Abstimmung zur Testumgebung und den Vorgehensweisen
2
Durchführung des Pentests
Nun erfolgt die eigentliche Sicherheitsprüfung. Sie besteht dabei üblicherweise aus einem (oder mehreren) in Auftrag gegebenen Prüfmodulen.
- Penetrationstest Netzwerk (intern)
- Penetrationstest Netzwerk (extern)
- Web Application & Web-API Penetrationstest
- Social Engineering
- IoT/Hardware Security Assessment
- Red Team
- Wireless Penetration Test
- Cloud Penetration Testing
3
Report
Die Testergebnisse werden in einem Bericht zusammengetragen. Darin enthalten sind unter anderen die nachfolgend aufgeführten Abschnitte:
- Kurzfassung der Resultate und Darstellunge der Rahmenparameter
- Liste und Darstellung der aufgedeckten Sicherheitsprobleme mit Einschätzung des Risikos sowie Vorschlägen zur Korrektur
- Detaillierte Dokumentation der aufgedeckten Sicherheitslücken
4
Abschluss-Meeting
Die Resultate des durchgeführten Pentests werden in einem Abschlussgespräch besprochen. Dabei ist uns bewusst, dass die gefundenen Sicherheitsprobleme nur ein erster Schritt sind. Konkrete Folgemaßnahmen zur Erhöhung der Sicherheit sind zu definieren und auch umzusetzten.
Lassen Sie sich kostenlos beraten!
Prüfen Sie mit einem Penetrationstest welchen Schaden Hacker bei Ihnen anrichten können.
Als Pentester und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Landshut, Deutschland, Europa und weltweit durchführen.
So erreichen Sie uns
Häufige Fragen
Ein Penetrationstest, kurz "Pentest", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.
Zu Beginn des Prozesses versuchen wir, uns mit Ihrem Unternehmen und dem Arbeitsumfang
vertraut zu machen, damit wir in der Lage sind, ein genaues Angebot zu erstellen.
Wir sammeln diese Informationen absichtlich, damit wir nicht zurückkommen
und um mehr Testzeit (und zusätzliche Kosten) bitten.
Je mehr Informationen Sie bereit sind, uns mitzuteilen,
desto besser können wir eine Einschätzung abgeben.
Manche Kunden wünschen jedoch einen Blackbox-Ansatz,
bei dem nur wenige Informationen zur Verfügung gestellt werden,
um einen realen Angriff und die Reaktion darauf zu simulieren.
In diesem Fall müssen wir immer noch die Größe/Komplexität erfassen,
die für das Testen erforderlich ist, und haben daher einige
grundlegende Fragen zum Umfang.
Die Begriffe "Penetrationstester" (kurz auch „Pentester“), "White Hat Hacker" und "Ethical Hacker" werden oft synonym verwendet. Die Begriffe „Ethical Hacker“ und „White Hat Hacker“ umfassen die gesamte Hacking-Aktivität zur Verbesserung der IT-Sicherheit. Allen gemein ist, dass Aktivitäten die rechtswidrig oder nicht dem Code of Ethics entsprechen unterlassen werden.
Formal ist ein Penetrationstest nur ein „Ethical Hack“ mit sehr klar vereinbarten Regeln, einem formalen Vorgehen sowie einem definierten Ziel.
Beim Black-Box-Testing versucht der Pentester, das Ziel ohne Vorkenntnisse über Adressen, Systeme, Anwendungen und Prozesse anzugreifen. Das Hauptargument für diesen Ansatz ist, dass dieses Szenario der realen Welt am nächsten kommt und somit ein reales Angriffsszenario simuliert. Dies ist jedoch nur zum Teil richtig, denn ein echter Angreifer hat nicht nur eine oder zwei Wochen Zeit wie ein beauftragter Pentester, sondern hat die gesamte Zeit, auch Monate oder Jahre, um den Angriff vorzubereiten. In der Tat haben einige der erfolgreichsten Hackerangriffe über einen Zeitraum von bis zu 12 Monaten stattgefunden.
Diese Voreingenommenheit bedeutet, dass Black-Box-Tests oft nicht aussagekräftig sind und dem Kunden ein falsches Gefühl von Sicherheit vermitteln. Redlings empfiehlt Black-Box-Tests daher nur in Ausnahmefällen. Auch das Argument, dass Angreifer einen Black-Box Ansatz umsetzten (müssen) wirkt nur bedingt, da eine lange Vorbereitungszeit zu weitgehenden internen Informtionen führen kann.
Bei einem White-Box-Test erhält der Pentester alle relevanten Informationen über das oder die Zielsystem(e). Der Vorteil ist, dass dieses Vorgehen Zeit – und damit Kosten – spart. Auch generell gilt, dass White-Box-Tests bei der Verbesserung der Sicherheit von IT-Systemen effektiver sind und üblicherweise bevorzugt werden sollten.
Allgemein gilt, dass Black-Box-Tests ein geeignetes Mittel sein können um Sicherheitsprobleme gegenüber einer Spezifikation (z.B. einer Web-API Schnittstelle) aufzudecken, jedoch nur sehr wenig geeignet sind um Fehler innerhalb von bestimmten Komponenten zu identifizieren. Im letzteren Falls sollten White-Box-Tests das bevorzugte Mittel sein.
Im Gegensatz zu Penetrationstests wird bei der Schwachstellenbewertung nicht im Detail ermittelt, ob die Schwachstelle tatsächlich ausgenutzt werden kann oder welche Auswirkungen sie hat. Ein Vulnerability Scan nutzt normalerweise automatisierten Schwachstellen-Scanner wie Nessus oder auch Nmap. Die Schwachstellen-Scanner decken nur Standardszenarien ab und berücksichtigen nicht die Besonderheiten der jeweiligen IT-Infrastruktur.
Vulnerability Scans sind daher eher ein erster Schritt in der technischen Analyse von Schwachstellen als ein vollständiger Prozess zur Absicherung von Systemen. Sie werden auch oft als Teil eines Sicherheitsaudits oder als einer der ersten Schritte bei Penetrationstests eingesetzt. In allen Fällen geht der Penetrationstest weiter und untersucht die entdeckten Schwachstellen im Detail.
Der Pentester versucht, die Schwachstellen auszunutzen und die sich daraus ergebenden Möglichkeiten für den Angreifer zu bewerten. Dies hilft, die Auswirkungen einer Schwachstelle zu bestimmen. Aufgrund der manuellen Natur eines Penetrationstests und der Kreativität des Pentesters sind die Chancen, schwerwiegende Schwachstellen zu finden, bei professionell durchgeführten Penetrationstests wesentlich höher als bei standardisierten Vulnerability Scans.
Aktuelle Beiträge
Authentifizierung: Unterschiede zur Authentisierung und Autorisierung
Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber völlig...
Angriffsvektor und Angriffsfläche
Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören ...,
Karriereguide Pentester
Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den ganzen Tag?...
