Was ist ein Penetrationstest?
Bei einem Penetrationstest werden IT-Systeme, Netzwerke und / oder einzelne Endgeräte auf Schwachstellen überprüft, die Einfallstore für Cyberkriminelle sein könnten. Penetrationstester nutzen dafür die gleichen Methoden, die auch Kriminelle verwenden würden, um Systeme “zu penetrieren” (Pentest-Tools und manuelle Maßnahmen) - allerdings legal, weil genau dafür beauftragt. Damit wird ein reales Abbild des individuellen Bedrohungspotentials von Unternehmen, Behörden und Bildungseinrichtungen geschaffen. Auf Basis der Dokumentation / Ergebnisse können weitere Maßnahmen ergriffen werden, um die IT-Sicherheit zu optimieren.
Jan Bindig | Geschäftsführer
Verschiedene Pentest-Arten
Bei Penetrationstests gibt es zahlreiche Abstufungen: angefangen beim einfachen Basis-Check, über das Testen einzelner Umgebungen (z. B. einer IOT- oder I-KFZ-Umgebung) bis hin zum Test der gesamten Infrastruktur. Neben rein digitalen Bedrohungen können auch Methoden der persönlichen Beeinflussung im Rahmen eines Social-Engineering-Pentests angewendet werden. Die Abgrenzung zwischen dem Begriff "Penetrationstest" und anderen Angriffssimulationen ist nicht immer ganz eindeutig.
✓ Firewall-Pentest ✓ Mobile- & Web-App-Pentest ✓ Pentest für Home-Office ✓ Red-Teaming ✓ individuelle Konzepte
Unsere Auftraggeber:
- Chemie- und Pharmaindustrie
- Automotive
- Finanz- und Versicherungsunternehmen
- Mittelständische Unternehmen - KMUs
- App-Entwickler
- Spiele-Entwickler / Games
- Hersteller von IOT-Geräten
- Behörden und Bildungseinrichtungen
- Webseitenbetreiber
- Online-Shops / E-Commerce
- Verlagshäuser
Social-Engineering-Pentest
Beim Social-Engineering-Penetrationstest werden gezielte Attacken der persönlichen Manipulation auf MitarbeiterInnen und Führungskräfte ausgeübt. Ziel dieser Attacken ist es, an Informationen zu gelangen - entweder direkte Zielinformationen oder aber solche, die weitere, dann ggfs. rein digitale, Attacken ermöglichen.
IT-Infrastruktur-Pentest
Die IT-Infrastruktur besteht aus zahlreichen Hard- und Software-Komponenten - entweder im Rahmen eines Cloud-Computing-Systems, einer unternehmenseigenen Einrichtung oder hybriden Lösungen. Im Rahmen des Penetrationstests werden alle beteiligten Komponenten sowie das Zusammenspiel dieser auf ihre Sicherheit hin überprüft.
Web-App-Pentest
Der Web-App-Pentest dient dazu, Sicherheitslücken in Web-Applikationen / Web-Anwendungen zu identifizieren. Sowohl der Quellcode als auch Datenbank und Back-End-Netzwerk stehen im Fokus. Die Durchführung geschieht in der Regel mittels klassischer Angriffsmethoden wie Denial of Service Attacken oder SQL-Injection.
IOT-Penetrationstest
Immer wieder berichten Fachmedien von Sicherheitslücken in IoT-Geräten bzw. Netzwerken. Ein IoT-Pentest prüft Hardware, implementierte Software, Server, Mobile-Apps, Kommunikationsprotokolle, APIs und Web-Schnittstellen auf Herz und Nieren- Etwaige Sicherheitsrisiken können so entdeckt und nachhaltig geschlossen werden.
Pentest: auführlicher IT-Security-Scan
Intern und extern: Penetrationstests können sich auf verschiedene Ausgangsszenarien beziehen. So können sowohl externe Zugriffpunkte getestet als auch interne Sicherheitsstandards überprüft werden.
External Security-Scan /-Pentest
Der externe Penetrationstest bedient sich des Szenarios eine Angreifers, der (noch) über keine Autorisierung bzw. keinen Zugang zu einem System verfügt. Hier werden also Schwachstellen ermittelt, die an “öffentlich” zugänglichen Endpunkten bestehen. Im Fokus stehen beispielsweise Mail- und FTP-Server, APIs und VPNs.
Internal Security-Scan /-Pentest
Beim internen Pentest wird davon ausgegangen, dass ein Angreifer sich bereits initialen Zugriff auf ein System verschaffen konnte. Häufig folgt der interne Penetrations Test demnach auf den externen. Der “internal Security-Scan” ist aber mindestens genauso wichtig wie der externe Pentest, da der potentielle Schaden, der durch Angreifer mit Zugriff auf ein Systemmodul entsteht, noch größer ist.
Pentest, Security-Scan und Co
Während der Vulnerability-Scan eine automatisierte Maßnahme (durchgeführt mit einem Vulnerability-Scanner) ist, verbinden Ethical Hacker bei einem Penetrationstest automatisierte und manuelle Methoden. Der "Security-Scan" wird oft als Synonym für beide Varianten gewählt. Das “Red-Teaming” unterscheidet sich vom klassischen Penetrationstest, indem konkrete Ziele verfolgt werden. Durch diese Methodik werden zwar einzelne Gefahrenquellen aufgespürt, beim Pentest hingegen steht das Detektieren so vieler Sicherheitslücken wie möglich im Vordergrund. Dazu werden sowohl spezielle Pentest-Tools (meist in Kombination mit Kali Linux) als auch individuelle Angriffstechniken und Methoden der persönlichen Beeinflussung verwendet.
Pentest für Website?
Gerne checken wir die Resilienz Ihrer Website gegenüber Cyberattacken wie SQL-Injections, Cross-Site-Scripting und weiteren "vulnerabilities".
Fünf-Stufen-Prozess gemäß BSI-Richtlinie
In seiner Studie „Durchführungskonzept für Penetrationstests“ definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) fünf Stufen, an denen sich der zeitliche Ablauf eines Pentests orientieren sollte. Diese fünf Stufen werden durch eine ausführliche, parallel erfolgende Dokumentation begleitet. Dazu zählen natürlich ein Vertrag, die Ergebnisse der Vorbereitung, Logfiles sowie ein Abschlussbericht.
Phase 1: Vorbereitung
Die Vorbereitungsphase dient dem Erörtern der Zielsetzung und des Umfangs. Dieses Phase erfolgt in enger Abstimmung mit den Auftraggebenden.
Eckpunkte:
- Ziele und Module definieren
- rechtliche Aspekte klären
- Risikoabklärung
- Notfallplanung
Phase 2: Informationsbeschaffung
Im zweiten Schritt sammeln die PentesterInnen so viele Informationen über die Zielsysteme wie möglich, um in Phase 3 die Methodik wählen zu können.
Eckpunkte:
- Auswertung der Erstinformationen
- Ausführung der I-Module
- Schwachstellenrecherche
Phase 3: Bewertung
Anschließend wird das individuelle Gefahrenpotential bewertet. Die dritte Phase dient der Vorbereitung der eigentlichen Tests, der Penetration der Zielsysteme.
Eckpunkte:
- Bewertung der Bedrohungen
- Definition von Prioritäten
- Einschränkung von Systemen bzw. Modulen
- Abwägung von Aufwand und Erfolgschancen
Phase 4: Durchführung
Die Testsysteme, Anwendungen, Zielpersonen oder Endgeräte werden nun mittels vielfältiger und vorab definierter Methodik angegriffen.
Eckpunkte:
- Ausführung der E-Module
- Penetration der Ziele
- Anwendung der Angriffsmethodik
Phase 5: Dokumentation
In einem letzten Schritt dokumentieren die PentesterInnen sämtliche durch die Attacken aufgespürten Sicherheitsrisiken. Auf Basis dieser Dokumentationen können die richtigen Maßnahmen ergriffen werden. Selbst bei guten oder sehr guten Ergebnissen können weitere Testverfahren, beispielsweise im Rahmen des "Red-Teaming" die Sicherheit erhöhen. Außerdem empfehlen wir, regelmäßige Basis-Checks und Vulnerability-Scans zu integrieren.
Eckpunkte:
- Sammlung der Ergebnisse
- Darstellung aller Risiken
- Aussprechen von Empfehlungen
- Entwicklung eines Aktionsplans
- Bewertung der Ergebnisse
Informationen des BSI
Wenn Sie es ganz ganz genau wissen möchten, werfen Sie gerne einen Blick ins Durchführungskonzept des BSI. Sowohl Durchführung Methodik und Zielsetzung werden darin ausführlich beschrieben.
Vulnerability-Scan
Ein Vulnerability Scan (z. Dt. “Schwachstellenüberprüfung”) läuft automatisiert ab. Dafür wird eine spezielle Software (Vulnerability Scanner) genutzt. Diese sind in der Lage, dank Datenbanken mit Infos zu bekannten Schwachstellen, Zielsysteme zu überprüfen. Der Vulnerability Scan sollte unabhängig von einem Pentest in regelmäßigen Abständen durchgeführt werden.
Red-Teaming: für noch mehr Sicherheit
Beim Red Teaming wird eine unabhängige Gruppe instruiert, ein zuvor definiertes Ziel zu erreichen. Dies kann beispielsweise der (unberechtigte) Zugang zum Serverraum oder das Stehlen eines Laptops mit sensiblen Daten sein. Die internen Sicherheitsstrukturen und die Awareness der Mitarbeitenden werden somit einer Prüfung unterzogen. Viele Angriffstechniken überschneiden sich mit dem Social-Engineering-Pentest. Red-Teaming hat seinem Ursprung im US-Militärwesen und wird in der Regel in Unternehmen durchgeführt, die ansonsten eine sehr positive Pentest-Bilanz aufweisen.
Pentester Schulung / Kurse
Sie möchten Pentester (m/w/d) werden bzw. eine Pentester Zertifizierung erhalten? In unseren Schulungen vermitteln wir alle Grundlagen rund um Cybersecurity & Penetration Testing. Es gibt verschiedene Zertifikate: z. B. OSCP, OSCE, BSI geprüfter Pentester.
White-Box-Test
Beim White-Box-Pentesting sind den Pentestern nicht nur Zugangsdaten bekannt. Zudem haben diese Zugriff auf den Quellcode des Ziels, dessen Infrastruktur-Design und Dienstauskünfte wie SSH, FTP, SMTP, Telnet, RPC und IMAP. Dieser Ansatz kommt beispielsweise bei Web-App-Pentest zum Tragen.
Grey-Box-Test
Beim Grey-Box-Penetrationstest sind beispielsweise Zugangsdaten zu einem Teilsegment des Systems bekannt. Dieses Szenario ist also die nächste Ausbaustufe und simuliert, dass Hacker im Besitz von Passwörtern sind - sei es durch Brute-Force-Attacken oder Social-Engineering-Methoden - und mit diesem Wissen nun weitere Angriffe planen.
Black-Box-Test
Beim Black-Box-Pentest haben wir das geringste Wissen über das (Test)ziel. Es sind weder Zugangsdaten noch irgendwelche anderen Informationen vorhanden. Das Verfahren hat also Schnittmengen mit dem externen Pentest und ist das erste Szenario, das durchgeführt werden sollte, um Schwachstellen an den “Außenpunkten” von Systemen zu detektieren.
Modernste Methoden
Die Durchführung der Penetrationstests erfolgt mittels modernster Hackermethoden. Dazu zählen nicht nur technische bzw. digitale Angriffe, sondern auch Methoden der persönlichen Beeinflussung.
Die Kosten: individuell. transparent.
Die Kosten für IT-Security-Maßnahmen sind stets abhängig von Art und Umfang - also sehr individuell. Die Range reicht von wenigen hundert Euro für einen schnellen Basis-Check bis hin zu mehreren tausend Euro für einen umfangreichen Penetrationstest. Auch noch höhere Kosten für Folgemaßnahmen wie Red-Teaming, regelmäßige Schulungen oder Sicherheitskonzepte sind möglich. So viel Ehrlichkeit muss sein. Dennoch gilt: Die Investitionen lohnen sich. Denn der finanzielle Schaden, der Unternehmen durch Cyber-Attacken und andersartige Angriffe entsteht, liegt oft um ein Vielfaches höher.
Über 220 Milliarden Euro: Das ist der zuletzt gemessene jährliche durch Cyberattacken entstandene wirtschaftliche Schaden in Deutschland. Etwa 46 % der mittelständischen Unternehmen wurden 2021 Opfer eines solchen Angriffs. Ein Penetrationstest kann Sicherheitslücken, derer sich Kriminelle bedienen, zuverlässig aufdecken und damit finanziellen Schäden und Imageverlust vorbeugen.
Einfache Basis-Checks sind bereits für niedrige vierstellige Beträge möglich. Bei sehr umfangreichen Testverfahren liegen die Kosten zwischen 2.000 und 18.000 Euro - abhängig vom Tagessatz des Pentesters (zwischen 1.000 und 1.800 Euro).
Fünf Tage und mehr sind für einen ausführlichen Penetrationstest einzuplanen. Bei sehr umfangreichen Tests, vor allem im Bereich Social-Engineering, kann sich die Zeitspanne deutlich verlängern.
Um eine Pentester Zertifizierung zu erhalten, muss man fundiertes Fachwissen und Erfahrung vorweisen sowie entsprechende Prüfungen bestehen. Zertifikate werden beispielsweise von der IHK - aber auch von anderen Organisationen - vergeben (Junior Penetration Tester, Senior Penetration Tester).
In der Regel werden Black-Box-Penetrationstests als erstes durchgeführt. Den Ethical Hackern liegen in diesen Szenarien keine Informationen über das Zielobjekt vor. Grey- und White-Box-Pentests sind die nächsten "Ausbaustufen". Hier werden Angriffe simuliert, bei denen sich Hacker schon Zugriff ermöglichen konnten oder gar tiefgreifende Informationen über Quellcodes und ähnliches vorhanden sind.
Fokus auf Datenschutz
Wir sorgen nicht nur für den Schutz Ihrer (Kunden)daten vor Kriminellen. Auch bei uns sind Ihre Daten sicher - versprochen. Unsere IT-Berater sind im Umgang mit sensiblen Daten geschult und verpflichten sich der absoluten Diskretion und Geheimhaltung- alle Abläufe sind zertifiziert.
IT-Security ist unser digitales Rückgrat im 21. Jahrhundert. Wir haben die eigene und gesellschaftliche Verantwortung, Risiken und Angriffsvektoren für Cybercrime bestmöglich zu reduzieren. IT-Sicherheit ist nicht nur für Behörden, Forschungs- und Bildungseinrichtungen, sondern auch für den mittelständischen Traditionsbetrieb und Einzelunternehmer eine zentrale Herausforderung, die wir jetzt gemeinsam angehen sollten.
Jan Bindig
Geschäftsführer der Bindig Media GmbH und Vorstand der Kiwiko eG
Sicherheit und Performance in perfekter Symbiose
Kontakt
Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.
Zentrale:
protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig
Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.
Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de
Weitere Marken & Kooperationspartner der Bindig Media GmbH
Die Bindig Media GmbH ist außerdem Mitglied der Kiwiko eG - einem IT-Expertennetzwerk mit Partnern in ganz Deutschland
Aktuelles aus unserem Magazin
Erfahren Sie mehr rund ums Thema IT-Sicherheit in Unternehmen, Behörden und Bildungseinrichtungen.
IT-Security in Unternehmen: die Basics
Social-Engineering: Infos + Prävention
Keylogging: Infos + Prävention
Rückruf anfordern
Sie sind noch unschlüssig, ob wir Ihnen wirklich weiterhelfen können? Fordern Sie einen unverbindlichen Rückruf an und lassen Sie uns gemeinsam über die Möglichkeiten sprechen. Gerne stehen wir Ihnen zu sämtlichen Fragen Rede und Antwort.