Penetrationstest (Pentest)

Infos und Durchführung gemäß BSI-Standards

  • Security-Scan
  • Internal- /external-Pentest
  • Red Teaming
  • BSI Standards
  • zertifizierte Pentester
ITL-Logo-e1578100416519
aaa-iteam-e1578100554253
allianz-fur-cyber-sicherheit_l

1 Step 1
keyboard_arrow_leftPrevious
Nextkeyboard_arrow_right

Rufen Sie kostenfrei an:
+49 (0) 800 589 02 49

Servicezeiten:
Mo - Fr: 08:00 - 18:00 Uhr

Was ist ein Penetrationstest?

Bei einem Penetrationstest werden IT-Systeme, Netzwerke und / oder einzelne Endgeräte auf Schwachstellen überprüft, die Einfallstore für Cyberkriminelle sein könnten. Penetrationstester nutzen dafür die gleichen Methoden, die auch Kriminelle verwenden würden, um Systeme “zu penetrieren” (Pentest-Tools und manuelle Maßnahmen) - allerdings legal, weil genau dafür beauftragt. Damit wird ein reales Abbild des individuellen Bedrohungspotentials von Unternehmen, Behörden und Bildungseinrichtungen geschaffen. Auf Basis der Dokumentation / Ergebnisse können weitere Maßnahmen ergriffen werden, um die IT-Sicherheit zu optimieren.

JB

Jan Bindig | Geschäftsführer

Verschiedene Pentest-Arten

Bei Penetrationstests gibt es zahlreiche Abstufungen: angefangen beim einfachen Basis-Check, über das Testen einzelner Umgebungen (z. B. einer IOT- oder I-KFZ-Umgebung) bis hin zum Test der gesamten Infrastruktur. Neben rein digitalen Bedrohungen können auch Methoden der persönlichen Beeinflussung im Rahmen eines Social-Engineering-Pentests angewendet werden. Die Abgrenzung zwischen dem Begriff "Penetrationstest" und anderen Angriffssimulationen ist nicht immer ganz eindeutig. 

✓ Firewall-Pentest ✓ Mobile- & Web-App-Pentest ✓ Pentest für Home-Office ✓ Red-Teaming ✓ individuelle Konzepte

Unsere Auftraggeber:

  • Chemie- und Pharmaindustrie
  • Automotive
  • Finanz- und Versicherungsunternehmen
  • Mittelständische Unternehmen - KMUs
  • App-Entwickler
  • Spiele-Entwickler / Games
  • Hersteller von IOT-Geräten
  • Behörden und Bildungseinrichtungen
  • Webseitenbetreiber
  • Online-Shops / E-Commerce
  • Verlagshäuser

Social-Engineering-Pentest

Beim Social-Engineering-Penetrationstest werden gezielte Attacken der persönlichen Manipulation auf MitarbeiterInnen und Führungskräfte ausgeübt. Ziel dieser Attacken ist es, an Informationen zu gelangen - entweder direkte Zielinformationen oder aber solche, die weitere, dann ggfs. rein digitale, Attacken ermöglichen.

IT-Infrastruktur-Pentest

Die IT-Infrastruktur besteht aus zahlreichen Hard- und Software-Komponenten - entweder im Rahmen eines Cloud-Computing-Systems, einer unternehmenseigenen Einrichtung oder hybriden Lösungen. Im Rahmen des Penetrationstests werden alle beteiligten Komponenten sowie das Zusammenspiel dieser auf ihre Sicherheit hin überprüft.

Web-App-Pentest

Der Web-App-Pentest dient dazu, Sicherheitslücken in Web-Applikationen / Web-Anwendungen zu identifizieren. Sowohl der Quellcode als auch Datenbank und Back-End-Netzwerk stehen im Fokus. Die Durchführung geschieht in der Regel mittels klassischer Angriffsmethoden wie Denial of Service Attacken oder SQL-Injection. 

IOT-Penetrationstest

Immer wieder berichten Fachmedien von Sicherheitslücken in IoT-Geräten bzw. Netzwerken. Ein IoT-Pentest prüft Hardware, implementierte Software, Server, Mobile-Apps, Kommunikationsprotokolle, APIs und Web-Schnittstellen auf Herz und Nieren- Etwaige Sicherheitsrisiken können so entdeckt und nachhaltig geschlossen werden.

Pentest: auführlicher IT-Security-Scan

Intern und extern: Penetrationstests können sich auf verschiedene Ausgangsszenarien beziehen. So können sowohl externe Zugriffpunkte getestet als auch interne Sicherheitsstandards überprüft werden.

External Security Scan (1)

External Security-Scan /-Pentest

Der externe Penetrationstest bedient sich des Szenarios eine Angreifers, der (noch) über keine Autorisierung bzw. keinen Zugang zu einem System verfügt. Hier werden also Schwachstellen ermittelt, die an “öffentlich” zugänglichen Endpunkten bestehen. Im Fokus stehen beispielsweise Mail- und FTP-Server, APIs und VPNs.

Internal Security Scan

Internal Security-Scan /-Pentest

Beim internen Pentest wird davon ausgegangen, dass ein Angreifer sich bereits initialen Zugriff auf ein System verschaffen konnte. Häufig folgt der interne Penetrations Test demnach auf den externen. Der “internal Security-Scan” ist aber mindestens genauso wichtig wie der externe Pentest, da der potentielle Schaden, der durch Angreifer mit Zugriff auf ein Systemmodul entsteht, noch größer ist.

Pentest, Security-Scan und Co

Während der Vulnerability-Scan eine automatisierte Maßnahme (durchgeführt mit einem Vulnerability-Scanner) ist, verbinden Ethical Hacker bei einem Penetrationstest automatisierte und manuelle Methoden. Der "Security-Scan" wird oft als Synonym für beide Varianten gewählt. Das “Red-Teaming” unterscheidet sich vom klassischen Penetrationstest, indem konkrete Ziele verfolgt werden. Durch diese Methodik werden zwar einzelne Gefahrenquellen aufgespürt, beim Pentest hingegen steht das Detektieren so vieler Sicherheitslücken wie möglich im Vordergrund. Dazu werden sowohl spezielle Pentest-Tools (meist in Kombination mit Kali Linux) als auch individuelle Angriffstechniken und Methoden der persönlichen Beeinflussung verwendet. 

Pentest für Website?

Gerne checken wir die Resilienz Ihrer Website gegenüber Cyberattacken wie SQL-Injections, Cross-Site-Scripting und weiteren "vulnerabilities".

Fünf-Stufen-Prozess gemäß BSI-Richtlinie

In seiner Studie „Durchführungskonzept für Penetrationstests“ definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) fünf Stufen, an denen sich der zeitliche Ablauf eines Pentests orientieren sollte. Diese fünf Stufen werden durch eine ausführliche, parallel erfolgende Dokumentation begleitet. Dazu zählen natürlich ein Vertrag, die Ergebnisse der Vorbereitung, Logfiles sowie ein Abschlussbericht.

1

Phase 1: Vorbereitung

Die Vorbereitungsphase dient dem Erörtern der Zielsetzung und des Umfangs. Dieses Phase erfolgt in enger Abstimmung mit den Auftraggebenden.

Eckpunkte:

  • Ziele und Module definieren
  • rechtliche Aspekte klären
  • Risikoabklärung
  • Notfallplanung
2

Phase 2: Informationsbeschaffung

Im zweiten Schritt sammeln die PentesterInnen so viele Informationen über die Zielsysteme wie möglich, um in Phase 3 die Methodik wählen zu können.

Eckpunkte:

  • Auswertung der Erstinformationen
  • Ausführung der I-Module
  • Schwachstellenrecherche
3

Phase 3: Bewertung

Anschließend wird das individuelle Gefahrenpotential bewertet. Die dritte Phase dient der Vorbereitung der eigentlichen Tests, der Penetration der Zielsysteme.

Eckpunkte:

  • Bewertung der Bedrohungen
  • Definition von Prioritäten
  • Einschränkung von Systemen bzw. Modulen
  • Abwägung von Aufwand und Erfolgschancen
4 (1)

Phase 4: Durchführung

Die Testsysteme, Anwendungen, Zielpersonen oder Endgeräte werden nun mittels vielfältiger und vorab definierter Methodik angegriffen.

Eckpunkte:

  • Ausführung der E-Module
  • Penetration der Ziele
  • Anwendung der Angriffsmethodik
5

Phase 5: Dokumentation

In einem letzten Schritt dokumentieren die PentesterInnen sämtliche durch die Attacken aufgespürten Sicherheitsrisiken. Auf Basis dieser Dokumentationen können die richtigen Maßnahmen ergriffen werden. Selbst bei guten oder sehr guten Ergebnissen können weitere Testverfahren, beispielsweise im Rahmen des "Red-Teaming" die Sicherheit erhöhen. Außerdem empfehlen wir, regelmäßige Basis-Checks und Vulnerability-Scans zu integrieren.

Eckpunkte:

  • Sammlung der Ergebnisse
  • Darstellung aller Risiken
  • Aussprechen von Empfehlungen
  • Entwicklung eines Aktionsplans
  • Bewertung der Ergebnisse

Informationen des BSI

Wenn Sie es ganz ganz genau wissen möchten, werfen Sie gerne einen Blick ins Durchführungskonzept des BSI. Sowohl Durchführung Methodik und Zielsetzung werden darin ausführlich beschrieben.

Download
Vulnerability Scan

Vulnerability-Scan

Ein Vulnerability Scan (z. Dt. “Schwachstellenüberprüfung”) läuft automatisiert ab. Dafür wird eine spezielle Software (Vulnerability Scanner) genutzt. Diese sind in der Lage, dank Datenbanken mit Infos zu bekannten Schwachstellen, Zielsysteme zu überprüfen. Der Vulnerability Scan sollte unabhängig von einem Pentest in regelmäßigen Abständen durchgeführt werden.

Red-Teaming: für noch mehr Sicherheit

Beim Red Teaming wird eine unabhängige Gruppe instruiert, ein zuvor definiertes Ziel zu erreichen. Dies kann beispielsweise der (unberechtigte) Zugang zum Serverraum oder das Stehlen eines Laptops mit sensiblen Daten sein. Die internen Sicherheitsstrukturen und die Awareness der Mitarbeitenden werden somit einer Prüfung unterzogen. Viele Angriffstechniken überschneiden sich mit dem Social-Engineering-Pentest. Red-Teaming hat seinem Ursprung im US-Militärwesen und wird in der Regel in Unternehmen durchgeführt, die ansonsten eine sehr positive Pentest-Bilanz aufweisen. 

Pentester Schulung / Kurse

Sie möchten Pentester (m/w/d) werden bzw. eine Pentester Zertifizierung erhalten? In unseren Schulungen vermitteln wir alle Grundlagen rund um Cybersecurity & Penetration Testing. Es gibt verschiedene Zertifikate: z. B. OSCP, OSCE, BSI geprüfter Pentester.

Methoden

White-Box-Test

Beim White-Box-Pentesting sind den Pentestern nicht nur Zugangsdaten bekannt. Zudem haben diese Zugriff auf den Quellcode des Ziels, dessen Infrastruktur-Design und Dienstauskünfte wie SSH, FTP, SMTP, Telnet, RPC und IMAP. Dieser Ansatz kommt beispielsweise bei Web-App-Pentest zum Tragen.

Grey-Box-Test

Beim Grey-Box-Penetrationstest sind beispielsweise Zugangsdaten zu einem Teilsegment des Systems bekannt. Dieses Szenario ist also die nächste Ausbaustufe und simuliert, dass Hacker im Besitz von Passwörtern sind - sei es durch Brute-Force-Attacken oder Social-Engineering-Methoden - und mit diesem Wissen nun weitere Angriffe planen.

Black-Box-Test

Beim Black-Box-Pentest haben wir das geringste Wissen über das (Test)ziel. Es sind weder Zugangsdaten noch irgendwelche anderen Informationen vorhanden. Das Verfahren hat also Schnittmengen mit dem externen Pentest und ist das erste Szenario, das durchgeführt werden sollte, um Schwachstellen an den “Außenpunkten” von Systemen zu detektieren.

Modernste Methoden

Die Durchführung der Penetrationstests erfolgt mittels modernster Hackermethoden. Dazu zählen nicht nur technische bzw. digitale Angriffe, sondern auch Methoden der persönlichen Beeinflussung.

Methoden

Die Kosten: individuell. transparent.

Die Kosten für IT-Security-Maßnahmen sind stets abhängig von Art und Umfang - also sehr individuell. Die Range reicht von wenigen hundert Euro für einen schnellen Basis-Check bis hin zu mehreren tausend Euro für einen umfangreichen Penetrationstest. Auch noch höhere Kosten für Folgemaßnahmen wie Red-Teaming, regelmäßige Schulungen oder Sicherheitskonzepte sind möglich. So viel Ehrlichkeit muss sein. Dennoch gilt: Die Investitionen lohnen sich. Denn der finanzielle Schaden, der Unternehmen durch Cyber-Attacken und andersartige Angriffe entsteht, liegt oft um ein Vielfaches höher.

Über 220 Milliarden Euro: Das ist der zuletzt gemessene jährliche durch Cyberattacken entstandene wirtschaftliche Schaden in Deutschland. Etwa 46 % der mittelständischen Unternehmen wurden 2021 Opfer eines solchen Angriffs. Ein Penetrationstest kann Sicherheitslücken, derer sich Kriminelle bedienen, zuverlässig aufdecken und damit finanziellen Schäden und Imageverlust vorbeugen.

Einfache Basis-Checks sind bereits für niedrige vierstellige Beträge möglich. Bei sehr umfangreichen Testverfahren liegen die Kosten zwischen 2.000 und 18.000 Euro - abhängig vom Tagessatz des Pentesters (zwischen 1.000 und 1.800 Euro).

Fünf Tage und mehr sind für einen ausführlichen Penetrationstest einzuplanen. Bei sehr umfangreichen Tests, vor allem im Bereich Social-Engineering, kann sich die Zeitspanne deutlich verlängern.

Um eine Pentester Zertifizierung zu erhalten, muss man fundiertes Fachwissen und Erfahrung vorweisen sowie entsprechende Prüfungen bestehen. Zertifikate werden beispielsweise von der IHK - aber auch von anderen Organisationen - vergeben (Junior Penetration Tester, Senior Penetration Tester).

In der Regel werden Black-Box-Penetrationstests als erstes durchgeführt. Den Ethical Hackern liegen in diesen Szenarien keine Informationen über das Zielobjekt vor. Grey- und White-Box-Pentests sind die nächsten "Ausbaustufen". Hier werden Angriffe simuliert, bei denen sich Hacker schon Zugriff ermöglichen konnten oder gar tiefgreifende Informationen über Quellcodes und ähnliches vorhanden sind.

Fokus auf Datenschutz

Wir sorgen nicht nur für den Schutz Ihrer (Kunden)daten vor Kriminellen. Auch bei uns sind Ihre Daten sicher - versprochen. Unsere IT-Berater sind im Umgang mit sensiblen Daten geschult und verpflichten sich der absoluten Diskretion und Geheimhaltung- alle Abläufe sind zertifiziert.

  • Geheimhaltungsvereinbarung & AVV Vertrag
  • Datenschutzkoordinator
  • Zertifizierte Datenträgervernichtung
  • Eigener Datenschutzbeauftragter
  • Diskretion
  • Transparenz

IT-Security ist unser digitales Rückgrat im 21. Jahrhundert. Wir haben die eigene und gesellschaftliche Verantwortung, Risiken und Angriffsvektoren für Cybercrime bestmöglich zu reduzieren. IT-Sicherheit ist nicht nur für Behörden, Forschungs- und Bildungseinrichtungen, sondern auch für den mittelständischen Traditionsbetrieb und Einzelunternehmer eine zentrale Herausforderung, die wir jetzt gemeinsam angehen sollten.

JB

Jan Bindig
Geschäftsführer der Bindig Media GmbH und Vorstand der Kiwiko eG

Sicherheit und Performance in perfekter Symbiose

  • Sicheres Arbeiten im Home-Office
  • Moderne und sichere Cloud-Lösungen
  • Datenschutz und Informationssicherheit
  • Umfassende Beratung
  • Einrichtung und Betreuung
  • Sicherheitsanalysen

Kontakt

Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.

1 Step 1
keyboard_arrow_leftPrevious
Nextkeyboard_arrow_right

Zentrale:

protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig

Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.

Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de

Weitere Marken der Bindig Media GmbH

Die Bindig Media GmbH ist außerdem Mitglied der Kiwiko eG - einem IT-Expertennetzwerk mit Partnern in ganz Deutschland

Aktuelles aus unserem Magazin

Erfahren Sie mehr rund ums Thema IT-Sicherheit in Unternehmen, Behörden und Bildungseinrichtungen.

IT-Security in Unternehmen: die Basics

Die Basics in puncto IT- und Datenschutz IT-Security in Unternehmen Im digitalen Zeitalter kann ein sorgloser Umgang mit der eigenen Informationssicherheit, vor allem mit der IT-Sicherheit, für Unternehmen existenzbedrohend sein. Cyberkriminelle warten förmlich darauf, Schwachstellen auszunutzen, um ihre Ziele zu erreichen. Dabei ist IT-Security mehr als die Vergabe starker Passwörter. Stattdessen geht es bei IT-Security …

IT-Security in Unternehmen: die Basics Read More »

Weiterlesen

Social-Engineering: Infos + Prävention

Definition, Beispiele, Methoden & Prophylaxe Social-Engineering Definition: Was ist Social-Engineering? Social-Engineering dient als Oberbegriff für sämtliche Methoden, die in erster Linie auf einer persönlichen, manipulativen Ebene stattfinden und die Schwachstelle Mensch ausnutzen. Hacker haben immer dann Erfolg, wenn sich Zielpersonen hinters Licht führen lassen, beispielsweise weil sie Phishing-Mails (Fake-Mails) nicht erkennen oder einem Anruf auf …

Social-Engineering: Infos + Prävention Read More »

Weiterlesen

Keylogging: Infos + Prävention

Keylogging als Gefahr für Unternehmen Keylogger erkennen – entfernen + Vorbeugung Was ist Keylogging? Beim Keylogging lesen bzw. schneiden Fremde (Unbefugte) Tastatureingaben mit. Damit erbeuten sich Kriminelle teilweise sensible Daten – beispielsweise Passwörter, Gesprächs-/Chat-/E-Mail-Inhalte, Kreditkartendaten und so weiter. Erfahren Sie, wie Sie Keylogger erkennen und sich vor den Gefahren dieser Hackermethode schützen. Inhalt: Erklärung Keylogger …

Keylogging: Infos + Prävention Read More »

Weiterlesen

Rückruf anfordern

Sie sind noch unschlüssig, ob wir Ihnen wirklich weiterhelfen können? Fordern Sie einen unverbindlichen Rückruf an und lassen Sie uns gemeinsam über die Möglichkeiten sprechen. Gerne stehen wir Ihnen zu sämtlichen Fragen Rede und Antwort.

1
keyboard_arrow_leftPrevious
Nextkeyboard_arrow_right

1
keyboard_arrow_leftPrevious
Nextkeyboard_arrow_right
Scroll to Top