Penetration Testing Münster

Vertrauenswürdige Ethical Hacker Münster

Unsere zertifizierten Pentester und IT-Sicherheitsexperten prüfen Ihre IT-Systeme aus dem Blickwinkel eines Angreifers und Hackers. Ein Penetrationstest ist einer der effektivsten Wege die eigene IT-Sicherheit gründlich zu prüfen und die aufgedeckten Sicherheitslücken zu beseitigen.

  • Zertifizierte Penetration Tester (OSCP, OSCE, OSWE, GPEN)
  • Penetrationstests auf Netzwerke, Web-Anwendungen, APIs und IT-Systeme
  • Pentests auf Web-Anwendungen gemäß OWASP Web Security Testing Guide und OWASP TOP-10
  • Keine versteckten Kosten | transparent & fair
  • Erkennung Sie Schwachstellen vor Ihren Angreifern
  • Kostenlose Beratung
  • Ausführlicher Bericht mit klarem Maßnahmenplan
  • Durchführung gemäß Standards des BSI, PTES
  • Blicken Sie auf Ihre IT-Landschaft mit den Augen eines Hackers
  • Durchführung von IT-Sicherheitsaudits
Bild eines Penetrationstesters für Münster

(0800) 40 40 776

Wir sind telefonisch, per E-Mail oder über unser Kontaktformular erreichbar.

Ihre Vorteile auf einen Blick

Mit unseren Penetration-Tests und Sicherheitsaudits identifiziert Redlings zuverlässig Sicherheitslücken, die unsere Kunden gefährden. Profitieren Sie von unseren praxiserfahrenen Penetration-Testern.

Zertifizierte
Penetration-Tester

Kostenlose
Erstberatung

Herstellerunabhängig
und individuell


Unsere IT-Security Experten

Über viele Jahre hinweg haben unsere Pentest-Experten Erfahrung in der Ausführung von technischen Sicherheitsaudits und Penetrationstests gesammelt. Fortlaufende Trainings und Qualifizierungen stellen sicher, dass sie immer auf dem neuesten Stand der Angriffstechnik sind.

Wer wir sind

Redlings ist ein auf die Durchführung von Penetrationstest spezialisertes Unternehmen mit Sitz in Deutschland.

Stellen Sie sicher, dass Ihre Verteidigung aktuellen Bedrohungen gewachsen ist. Mit unseren manuellen Deep-Dive-Engagements identifizieren wir Sicherheitsschwachstellen welche Kunden gefährden. Mit unserem Serviceangebot "Continuous Collaborative Testing" verfolgen wir einen langfristigen Sicherheitsansatz und arbeiten mit unseren Kunden zusammen, um sicherzustellen, dass sich ihre Sicherheitslage stetig verbessert.

Bild Redlings Münster Pentests Bild Coporate Redlings Münster Penetrationstests Bild Redlings Stadt Münster Pentests
Dots-Logo für Penetrationstest Münster

Gründe

für einen

Penetrationstest

Jeder Pentest von Redlings unterliegt strengen Richtlinien und ethischen Grundsätzen.

1

Steigerung derEffektivität vorhandener Sicherheits­technologien

Unsere Pentester sind zertifizierte Experten auf ihrem Gebiet und decken häufig Möglichkeiten auf wie bereits vorhandene (und bezahlte) Sicherheitstechnologien besser genutzt und die Schutzwirkung verstärkt werden kann.

2

Weiterbildung des internen IT-Teams

Die Ergebnisse eines Penetrationstests können Ihren Entwicklern und Administratoren helfen, weniger Fehler zu machen. Ein Pentest erkennt Fehlkonfigurationen, Programmierfehler und andere Schwachstellen.

3

Erfüllung von COMPLIANCE-Anforderungen

Vorschriften wie PCI-DSS, aber auch ISO 27001/2 u.a. können regelmäßige Penetrations-Tests erfordern. Auch manche vertragliche Regelung kann eine solche Anforderung enthalten.

4

Evidenzbasierte Investition

Investitionen in Sicherheitsmaßnahmen sollten immer mit konkreten Nachweisen unterstützt werden, um den Wert für das Unternehmen zu belegen. Wenn Sie Ihrem Führungsteam den Wert einer Investition zeigen, können Sie Ihren Bedarf nach mehr Ressourcen begründen.

5

Konsequenzen eines IT-Sicherheitsvorfalls verstehen

Penetrationstests geben Ihnen eine ungeschminkte Rückmeldung über mögliche Konsequenzen eines IT-Sicherheitsvorfalls wie beispielsweise eines Ransomware-Angriffs.

6

Aufdecken von Sicherheitslücken

Penetrationstests greifen Ihr Netzwerk und Ihre Web-Applikationen wie ein Hacker an - allerdings ohne Schaden anzurichten. Damit könenn Sie Sicherheitslücken vor den Angreifern finden und beheben.

7

Schützen Sie Ihre wichtigsten Daten und das Vertrauen Ihrer Kunden

Unternehmens- und Kundendaten gelten als Lebenselixier eines Unternehmens und können in den falschen Händen äußerst schädlich sein. Mit einem Pentest kann Ihr Unternehmen die Datenbestände besser schützen und damit möglichst auch Angriffe verhindern.

8

Umsetzung der Sicherheitsleitlinie

Fehlen wichtige Patches oder werden Anwendungen und Betriebssysteme nicht gehärtet? Wenn Ihre Pentester zeigen können, dass Applikationen und Netzwerkbereiche mit guter Umsetzung weniger Sicherheitslücken aufweisen, motiviert dies die Sicherheitsleitlinien besser zu befolgen.

9

Priorisierung von IT-Risiken

Mit einem Penetrationstest können Sie feststellen, welche vorhandenen Sicherheitslücken die größten Auswirkungen auf Ihre Web-Applikationn und Ihr Netzwerk haben. Setzten Sie damit Ihre Ressourcen und Zeit effizienter ein.

Vorgehen bei einem Penetrationstest

1

Kick-Off

Der Projektablauf wird im Rahmen des gemeinsamen Kick-Off Gespräches geplant und vorbereitet. Unter anderem folgen dabei Abstimmungen zu den folgenden Punkten:

  • Abstimmung der Kontaktdaten
  • Testzeitraum mit Startdatum und Enddatum
  • Review des genauen Umgangs des Pentests
  • Technische Präsentation durch den Kunden (Testsubjekt)
  • Verfügbarmachung von technischen Details (z.B. Dokumentation der Komponenten, Zugänge)
  • Absprache zur Umgebung des Pentest und der Methodik
2

Durchführung des Pentests

Nun erfolgt die eigentliche Sicherheitsprüfung. Sie besteht dabei üblicherweise aus einem (oder mehreren) in Auftrag gegebenen Prüfmodulen.

  • Penetrationstest Netzwerk (intern)
  • Penetrationstest Netzwerk (extern)
  • Web Application & Web-API Penetrationstest
  • IoT/Hardware Security Assessment
  • Active Directory Security Assessment
  • Wifi Penetrationstest
  • Social Engineering
  • Cloud Pentests
3

Report

Die Testergebnisse werden in einem Bericht zusammengetragen. Darin enthalten sind unter anderen die nachfolgend aufgeführten Abschnitte:

  • Zusammenfassung der Ergebnisse und Beschreibung der Rahmenbedingungen des Projekts
  • Auflistung und Beschreibung der vorgefundenen Sicherheitslücken mit Risikobewertung und Maßnahmen zur Behebung
  • Nachweisdokumentation zu den Sicherheitslücken, ggf. Screenshots
4

Abschlussgespräch

Der Penetrationstest und dessen Ergebnis werden in einem Abschluss-Meeting mit allen Beteilgten besprochen. Wir verstehen sehr genau, dass die aufgedeckten und dokumentierten Sicherheitslücken nur der erste Schritt sind. Konkrete Maßnahmen zur Verbesserung der IT-Sicherheit müssen abgeleitet und auch umgesetzt werden.

Lassen Sie sich kostenlos beraten!

Prüfen Sie mit einem Penetrationstest welchen Schaden Hacker bei Ihnen anrichten können.

Als Pentester und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Münster, Deutschland, Europa und weltweit durchführen.

So erreichen Sie uns

  • Redlings Münster
    48161 Münster
  • (0800) 40 40 776
  • muenster@redlings.com
  • Werktags von 8 Uhr - 18 Uhr
  • In Notfällen 24/7

Häufige Fragen

Was ist ein Penetrationstest?

Ein Penetrationstest, kurz "Pentest", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.

Woran erkennt man einen guten Pentester?

Zugegeben, das ist gar nicht so einfach - wenn Ihnen jemand erzählt, dass er nur mit den besten Pentestern arbeitet, mag das schwer nachzuprüfen sein. Pentester mit mehr Erfahrung und aufwändigerer Ausbildung sind auch häufig teurer. Denken Sie einfach daran, dass Sie das bekommen, wofür Sie bezahlen. Hüten Sie sich vor Pentestern, die Preise anbieten, die zu gut sind, um wahr zu sein. Sie machen wahrscheinlich keine gründliche Arbeit. Ich schlage vor, nach Penetrationstestern zu suchen, die eine oder - besser - mehrere anerkannte Pentester-Zertifizeriungen haben.

Zu den in Sicherheitskreisen am meisten geachteten (und aufwändigsten) Zertifizierungen im Bereich Penetration Testing gehören die Zertifizierungen von Offensive Security (insbes. OSCP - Offensive Security Certified Professional, OSCE - Offensive Security Certified Expert) und von SANS/GIAC.

Was ist der Unterschied zwischen einem Penetration Test und einem Schwachstellen-Scan?

Sowohl Penetrationstests als auch automatisierte Schwachstellenscans sind nützliche Werkzeuge zum Erkennen von technischen Risiken und Sicherheitslücken. Obwohl es sich um unterschiedliche Testmethoden handelt, ergänzen sie sich und sollten beide durchgeführt werden.

Ein Schwachstellen-Scan ist eine automatisierte, kostengünstige Methode zum Testen gängiger Netzwerk- und Server-Schwachstellen. Dies wird manchmal auch als automatisierter Pen-Test bezeichnet. Es gibt viele automatisierte Tools, und die meisten lassen sich vom Endbenutzer leicht so konfigurieren, dass sie zeitgesteuert nach veröffentlichten Schwachstellen scannen. Ein automatisierter Schwachstellen-Scan ist zwar sehr effizient und kostengünstig, wenn es darum geht, allgemeine Schwachstellen wie fehlende Patches, Fehlkonfigurationen von Diensten und andere bekannte Schwachstellen zu identifizieren, aber sie sind nicht so genau, wenn es darum geht, die Richtigkeit von Schwachstellen zu überprüfen, und sie bestimmen auch nicht vollständig die Auswirkungen durch Ausnutzung. Automatisierte Scanner sind anfälliger für die Meldung von False Positives (falsch gemeldete Schwachstellen) und False Negatives (nicht identifizierte Schwachstellen, insbesondere solche, die Webanwendungen betreffen). Automatisiertes Schwachstellen-Scanning wird durch den Payment Card Industry Data Security Standard (PCI DSS) vorgeschrieben.
Bekannte Schwachstellen-Scanner sind beispielweise und OpenVAS. Beispiele für Scanner, welche auf das Finden von Schwachstellen von Webapplikationen spezialisiert sind Netsparker Security Scanner und Acunetix Vulnerability Scanner.

Ein Penetrationstest konzentriert sich auf die Umgebung als Ganzes. In vielerlei Hinsicht knüpft er dort an, wo die Scanner aufhören, um eine umfassende Analyse der gesamten Sicherheitslage zu liefern. Obwohl Skripte und Tools von einem Penetrationstester eingesetzt werden, ist ihre Verwendung weitgehend auf Erkundungsaktivitäten beschränkt. Der Großteil eines Penetrationstests ist von Natur aus manuell. Ein Penetrationstest identifiziert Schwachstellen, die Scanner nicht erkennen können, wie z. B. Schwachstellen in drahtlosen Systemen, Schwachstellen in Webanwendungen und noch nicht veröffentlichte Schwachstellen. Darüber hinaus beinhaltet ein Penetrationstest Versuche, Schwachstellen sicher auszunutzen, Privilegien zu erweitern und letztendlich zu demonstrieren, wie ein Angreifer Zugang zu sensiblen Informationsbeständen erlangen könnte. Bei Penetrationstests werden häufig auch unternehmensspezifische "Testszenarien" angewendet.

Penetrationstests und automatisierte Schwachstellen-Scans erfüllen beide einen Zweck und beide Arten von Tests gehören in ein umfassendes Programm zur Schwachstellenbewertung. Automatisierte Schwachstellen-Scans sollten in regelmäßigen Abständen, idealerweise mindestens wöchentlich, durchgeführt werden, während Penetrationstests für das Netzwerk vierteljährlich oder bei geplanten signifikanten Änderungen an der Umgebung geplant werden sollten.

Was ist ein Black-Box Test?

Beim Black-Box-Testing versucht der Pentester, das Ziel ohne Vorkenntnisse über Adressen, Systeme, Anwendungen und Prozesse anzugreifen. Das Hauptargument für diesen Ansatz ist, dass dieses Szenario der realen Welt am nächsten kommt und somit ein reales Angriffsszenario simuliert. Dies ist jedoch nur zum Teil richtig, denn ein echter Angreifer hat nicht nur eine oder zwei Wochen Zeit wie ein beauftragter Pentester, sondern hat die gesamte Zeit, auch Monate oder Jahre, um den Angriff vorzubereiten. In der Tat haben einige der erfolgreichsten Hackerangriffe über einen Zeitraum von bis zu 12 Monaten stattgefunden.
Diese Voreingenommenheit bedeutet, dass Black-Box-Tests oft nicht aussagekräftig sind und dem Kunden ein falsches Gefühl von Sicherheit vermitteln. Redlings empfiehlt Black-Box-Tests daher nur in Ausnahmefällen. Auch das Argument, dass Angreifer einen Black-Box Ansatz umsetzten (müssen) wirkt nur bedingt, da eine lange Vorbereitungszeit zu weitgehenden internen Informtionen führen kann.

Wie wird der Umfang/Scope eines Penetrationstest definiert?

Der Umfang eines Penetrationstests sollte gemeinsam immer an die Besonderheiten des Unternehmens sowie des zu prüfenden Systems angepasst werden.

Im Falle einer Web-Applikation besteht der Umfang häufig aus der Server- und Betriebslandschaft sowie die Benutzeroberflächen und APIs. Oftmals gibt es Unternehmensanwendungen, die speziell für Ihre Informationen geschrieben wurde und die Sie sich ansehen lassen möchten.

Bei einem Netzwerk-Pentest spielen auch andere Überlegungen eine Rolle. Der gewählte Umfang sollte insbesondere unternehmenskritische Systeme umfassen, die im Falle einer Kompromittierung die Sicherheit beeinträchtigen können, z.B. weil sie sensible Daten speichern, wie beispielsweise Benutzerinformationen, Passwörter oder Kundendaten.

Wie viel von Redlings Penetrationstests ist automatisiert, wie viel ist manuell?

Eine Frage, die nicht oft genug gestellt wird, ist, wie viel von den Tests automatisiert und wie viel manuell ist. Automatisierte Tools, insbesondere zu Beginn eines Projektes, können einem Pentester viel Zeit sparen und der Einsatz ist auch abhängig von Projekt zu Projekt. Erfahrungsgemäß sind jedoch ca. 90-95% des Pentets "Handarbeit".

Das soll nicht heißen, dass automatisierte Schwachstellen-Scanner keinen Mehrwert bieten; Schwachstellen-Scans sind schnelle und einfache Tools, die regelmäßig eingesetzt werden sollten, um fehlende Patches oder veraltete Software in größeren Umgebungen zu identifizieren.

Webcasts und aktuelle Beiträge

Leistungen

Card Image

Netzwerk Pentest

Ein Netzwerkpenetrationstest ist eine Sicherheitsbewertung der internen oder externen IT-Infrastruktur sowie der exponierten Netzwerkdienste.

Read More

Card Image

Web Application Pentest

Wir untersuchen Ihre Webanwendungen und Webserver auf Schwachstellen.

Read More

Card Image

Cloud Penetration Test

Ein Cloud Penetration Test ist eine Sicherheitsbewertung von einem oder mehreren Systemen in einer Cloud-Umgebung (z.B. AWS, Azure, GCP).

Read More

Card Image

Szenariobasierter Penetrationstest

Beurteilen Sie die Wirksamkeit Ihrer Präventions-, Erkennungs- und Reaktionsfähigkeiten gegen gängige Angreifertaktiken.

Read More

Card Image

Active Directory Security Assessment

Ein Active Directory Security Assessment umfasst eine Forest- und Domain-Trust-Konfiguration und Sicherheitsüberprüfung sowie eine Bewertung der Konrollen für administrative Gruppen und privilegierte Zugriffskonten.

Read More

Card Image

Red Team & Purple Team

Bewerten Sie die Fähigkeiten Ihres Unternehmens zur Erkennung von und Reaktion auf Bedrohungen anhand eines emulierten Cyberangriffs.

Read More

Card Image

Vulnerability Assessment

Mit dem Redlings Schwachstellenbewertungsdienst können Sie die Cybersicherheitsrisiken Ihres Unternehmens besser verstehen und verwalten, indem Sie Unterstützung bei der Identifizierung, Klassifizierung und Abschwächung dieser Risiken erhalten.

Read More

Card Image

Social Engineering & Phishing Testing

Ein Social Engineering Security Assessment kann von einfachem E-Mail-Phishing bis hin zu ausgefeilten Kampagnen reichen, die mehrere Kommunikationstechniken wie Spearphishing, Vishing und Engagement vor Ort nutzen.

Read More

Card Image

CISO-as-Service

Redlings stellt Unternehmen hochkarätige Sicherheitsexperten zur Verfügung die langjährige Erfahrung in Aufbau und Betrieb von Informationssicherheitsprogrammen haben.

Read More

Card Image

Governance, Risk & Compliance

Unsere GRC-Experten unterstützen Sie bei der Durchführung Ihres Informationssicherheitsprojekts.

Read More

Card Image

Sicherheitsarchitektur

Unser Ziel ist es, sicherzustellen, dass Ihr Unternehmen 'Security-by-Design' bereits direkt beim Projektstart voll integriert hat.

Read More

Card Image

DevSecOps & SDLC Consulting

Unsere Sicherheitsexperten integrieren Sicherheitsrichtlinien, -tools und -praktiken in Ihre DevOps-Umgebung.

Read More

Benötigen Sie vertrauenswürdige IT-Security Spezialisten?

KOSTENLOSE BERATUNG