Penetration Tests

Die Komplexität der IT-Produkte und ihre „Verschaltung“ nimmt seit Jahren kontinuierlich zu. Dadurch wird auf der einen Seite eine möglichst optimale Unterstützung der Geschäftsprozesse und deren Verbindung mit dem Netz gewährleistet. Auf der anderen Seite steigt stetig die Bedrohung der eigenen Daten und Systeme durch gezielte Angriffe auf Ihre Infrastruktur.
Sind sie bereits aktiv geworden und haben einen speziellen Bereich identifiziert, welcher sehr tiefgehend untersucht und geschützt werden muss? Dann ist der Pentest das Mittel der Wahl. Im Gegensatz zu den breit aufgestellten Analysen des Vulnerability Assessments und der Basis Immunization beschäftigt sich ein Pentest sehr spezifischen und tiefgreifend mit einem Bereich Ihrer Infrastruktur.

Wie hilft Ihnen ein Penetration Test?

Unser Pentest optimiert gezielt die Cyber Security ihres Unternehmens. Wir liefern Ihnen klare Handlungsanweisungen, damit Sie sich ihrem Kerngeschäft widmen können.

  • Durch unseren Pentest heben Sie zielgerichtet ihre Cyber Security auf ein neues Level.
  • Wir identifizieren neue Sicherheitslücken oder schon lang existierende Fehlkonfigurationen in Ihren Systemen.
  • Ihre Systeme wechseln von der passiv bedrohten zur aktiv geschützten Seite des Cyberraums

Wie gehen wir vor?

  • Interview Phase

    Zu Beginn klären wir mit ihnen den „Scope“ den wir während des Pentests erfassen. Um welche Systeme geht es und wie sollen Sie betrachtet werden. Ist das Ziel die grundsätzliche Sicherheit der Daten und Systeme oder agieren wir aus der Sicht eines Angreifers? Dies entscheidet über das grundsätzliche Vorgehen, Black- oder Whiteboxtest, die Aggressivität der Methoden oder deren Detektierbarkeit. Die für uns wichtigste Frage ist jedoch: „Welches Ergebnis wollen Sie mit dem Test erreichen?“

  • Footprinting

    Im Vorlauf der eigentlichen Analyse recherchieren wir alle öffentlich verfügbaren Informationen zu ihrem Unternehmen, ihrer Infrastruktur oder ihren Systemen. Diese beginnen mit gezielten Veröffentlichungen, gehen über unbedachte Kommentare in sozialen Netzwerken bis hin zu technischen Fragen in einschlägigen Foren. Anschließend werten unsere IT-Security Analysten diese hinsichtlich ihrer Verwendbarkeit in den betrachteten Systeme aus.

  • Scanning and Fingerprinting

    Während dieser Phase „erkunden“ wir ihr System mit nicht invasiven Methoden. Hierbei analysieren wir, wie ihr System aufgebaut ist, aus welchen Teilen es besteht und welche offenen Schnittstellen vorhanden sind. Dabei verfolgen wir das Ziel, herauszufinden welche Services und Betriebssysteme hinter welchen Schnittstellen liegen und wie diese konfiguriert sind.

  • Enumeration

    Aufbauend auf dem zuvor erstellen „Blueprint“ ihres Systems erarbeiten wir uns mit nun invasiven Methoden weitere Informationen zu ihrem System. Dies können zum Beispiel allgemeine Domain Name System (DNS) oder Active Directory (AD) Informationen sein. Aber auch Nutzeraccounts werden von uns aktiv gesucht und auf ihre Angreifbarkeit analysiert. Das genaue Vorgehen hängt von ihren Zielen ab. Was genau möchten Sie mit dem Pentest erreichen?

  • Gaining Access and Exploitation

    Abschließend versuchen wir mit den zuvor gewonnen Informationen Zugang zu erhalten. Dazu bewerten und priorisieren wir jede der gefundenen Lücken hinsichtlich ihrer Ausnutzbarkeit und versuchen die Kontrolle über ein erstes System zu erhalten. Dies wird durch die Anwendung eines existierenden „Exploits“, die Anpassung eines Solchen oder die Entwicklung eines Eigenen realisiert. Wie tief wir dabei durch Iteration der zuvor erläuterten Schritte in ihre Systeme vordringen, hängt von Ihren Zielen und Wünschen ab.

  • Auswertung der Ergebnisse

    In dieser letzten Phase bewertet unser Team die restlichen bei Ihnen gefundenen Schwachstellen hinsichtlich Ausnutzbarkeit und Auswirkung auf ihr Unternehmen. Wir entwickeln Maßnahmen zur Mitigation der Schwachstellen unter Ihren individuellen Rahmenbedingungen.

Was ist das Ergebnis?

Abschließend erhalten Sie als Ergebnis mindestens einen Report welcher die Erkenntnisse exekutiv und technisch zusammenfasst, sowie die gefundenen Schwachstellen nach ihrem Risiko bewertet und einstuft. Des Weiteren geben wir eine Einschätzung zur Ausnutzbarkeit der gefundenen Sicherheitslücken, zum Beispiel anhand des Common Vulnerability Scoring System (CVSS). Außerdem zeigen wir Wege zur Mitigation der Sicherheitslücken in Ihrer Umgebung auf.

Kontaktieren Sie uns

Sie wollen ihr IT auf ein neues Sicherheitslevel heben? Gerne unterstützen wir Sie bei der Auswahl der Systeme für den Pentest oder erstellen direkt ein mit Ihnen abgestimmtes unverbindliches Angebot. Kontaktieren Sie und dafür gerne via E-Mail oder rufen Sie uns an – wir freuen uns bereits Sie bei Ihren IT-Sicherheits-Herausforderungen zu unterstützen.