Pentests:
Schützen Sie Ihr Unternehmen
vor Hackerangriffen

Mit Penetrationstests, auch Pentests genannt, simulieren unsere Sicherheitsexperten Cyberangriffe auf die IT- Infrastruktur von Unternehmen. So zeigen wir Ihnen praxis- und realitätsnah die Wege auf, mit denen Hacker in Systeme eindringen. Damit Sie Schwachstellen frühzeitig schließen und den Ernstfall verhindern können.

Warum Pentests?

Als Härtetest für die IT-Infrastruktur hilft Pentesting dabei, die eigene Cybersicherheit zu testen und mögliche Angriffspunkte zu entdecken. Unternehmen erhalten fachkundiges und unvoreingenommenes Feedback zu ihren Sicherheitsprozessen und damit eine wichtige Entscheidungshilfe zur weiteren Optimierung.

Die IT-Security Audits mögen Zeit und Kosten in Anspruch nehmen – der Aufwand steht jedoch in keinem Verhältnis zu einem echten Sicherheitsvorfall, der meist erhebliche Kosten sowie einen Reputationsverlust zur Folge hat. Simulierte Hackerangriffe zahlen sich aus: Je früher ein Schaden bekannt ist, desto geringer die Wirkung.

Durch regelmäßige Penetrationstests gelingt es Unternehmen zudem, den Anforderungen von stetig wichtiger werdenden Sicherheitszertifizierungen zu entsprechen.

Ihre Vorteile auf einen Blick

Klarheit über die eigene IT-Sicherheitslage

Frühzeitiges Erkennen
und Schließen von
Schwachstellen

Entscheidungshilfe zur
Optimierung der
Sicherheitsstrategie

Standards für Zertifizierungen
im Bereich IT-Sicherheit
erfüllen

Professionelle und realistische
Durchführung dank langjähriger
Erfahrung

Mögliche Kombination mit
weiteren Modulen unserer
Cyber Security Partnerschaften

Pentests: Diese 3 Arten sollten Sie kennen

White Box
Penetrationstest

Bei einem White Box Penetrationstest stellen Sie unseren IT-Sicherheitsexperten vorweg alle notwendigen Informationen über die IT-Strukturen Ihres Unternehmens zur Verfügung. Ihre Mitarbeitenden werden proaktiv über die Durchführung des Pentests informiert.

Black Box
Penetrationstest

Im Gegensatz dazu wird der Black Box Penetrationstest ohne Vorabinformationen über die zu prüfenden IT-Systeme absolviert. Ziel ist es, die Angriffsweise eines Hackers möglichst realitätsgetreu zu simulieren. Unsere IT- Sicherheitsexperten versuchen zunächst, jene Informationen selbst zusammenzustellen, die Sie im Rahmen eines White Box Penetrationstests offenlegen würden

Grey Box
Penetrationstest

Der Grey Box Penetrationstest kombiniert die beiden obigen Varianten und stellt ein besonders authentisches Hackerszenario dar. Unsere Sicherheitsexperten erhalten nur fragmentarische Hinweise zu den IT-Systemen des Kunden und ermitteln übrige Daten selbst. Erst später erhalten die Penetrationstester detaillierte Informationen zur IT-Infrastruktur sowie ausgewählte Zugangsdaten. Das kombinierte Vorgehen erweist sich im Vergleich zu der häufig nachgefragten Black Box Variante als besonders effizient.

Umfang einer Sicherheitsprüfung

Von der Informationsbeschaffung bis zur Nachprüfung läuft ein Penetrationstest bei der DGC in sechs Phasen ab. Vor dem Start werden im Rahmen eines Kick-Offs die grundlegenden Anforderungen und Ziele für die IT-Sicherheitsprüfung definiert.

Je nach Ihrem Bedarf simulieren wir verschiedene Szenarien und Vorgehensweisen. Beispielsweise kann ein Penetrationstest gemeinsam mit Ihrem internen Team geplant werden.

Eine Alternative dazu ist das sogenannte „Praktikantenszenario“: Einer unserer IT-Systemanalytiker führt den Penetrationstest verdeckt in Ihrem Unternehmen durch – ohne dass Mitarbeitende informiert werden. So lässt sich auch die menschliche Komponente der IT-Sicherheit, das sogenannte Social Engineering, überprüfen.

Pentesting – Ablauf in 6 Schritten erklärt

Phase 1: Informationsbeschaffung

In der ersten Phase eines Pentests werden auffindbare Informationen zu dem Unternehmen zusammengetragen – intern und extern. Zur Prüfung der externen IT-Infrastruktur werden alle Systemkomponenten durchleuchtet, die aus dem Internet erreichbar sind. Dazu zählen: Domains, IP-Adressbereiche, Mailserver, Firewall, Router, FTP-Server sowie weitere aus dem Netz erreichbare Dienste. Bei der internen IT-Infrastruktur wird mithilfe einer „Sniffing“-Software der Datenverkehr analysiert, um Rückschlüsse auf verfügbare Netzwerkbereiche, Geräte und Dienste zu ziehen.

Phase 2: Aktive Prüfung der IT-Infrastruktur

Die in Phase 1 gewonnenen Erkenntnisse werden genutzt, um die IT-Infrastruktur aktiv zu prüfen. Dies geschieht durch sogenanntes Fingerprinting, auch Footprinting genannt: Mithilfe von Informationen werden Datensätze korreliert, um – mit hoher Wahrscheinlichkeit – Version und Patch-Stände von Netzwerkdiensten, Betriebssystemen, Softwareanwendungen, Datenbanken zu identifizieren. Zudem erlaubt das Verfahren Rückschlüsse auf aktuelle Konfigurationen.

Phase 3: Schwachstellen scannen

Die Ergebnisse des Fingerprintings werden gezielt zur Identifizierung von Schwachstellen in den Systemen und Anwendungen des auftraggebenden Unternehmens genutzt. Dies erfolgt bei der DGC mithilfe unseres eigenen Schwachstellenscanners cyberscan.io®. Hinzugezogen werden zudem Informationen aus frei zugänglichen Datenbanken im Internet, in denen Schwachstellen katalogisiert werden.

Phase 4: Ausnutzen von Sicherheitslücken

Die identifizierten Schwachstellen werden gezielt ausgenutzt, um Zugriff auf die Systeme des Unternehmens zu erlangen. Dringt der Pentester in Systeme ein, werden sogenannte Artefakte gesammelt. Diese dienen als Grundlage für die nachfolgende Präsentation sowie den IT-Sicherheitsbericht. Selbstverständlich werden die hochsensiblen Informationen nur in Abstimmung mit dem Kunden dokumentiert und streng vertraulich behandelt. Phase 4 erfolgt generell nur auf Kundenwunsch, da unter Umständen kritische Systeme beeinflusst werden könnten. Sofern vereinbart, werden ausgewählte bzw. repräsentative Systeme systematisch angegriffen (Exploit).

Phase 5: Präsentation der Lücken und Lösungen

Im Verlauf der vorherigen Phasen ist eine detaillierte Übersicht aller identifizierten Systeme inklusive Sicherheitslücken sowie möglichen Lösungsansätzen entstanden. Sofern Aktivitäten in Phase 4 stattgefunden haben, werden dem Kunden die Artefakte in einem persönlichen Termin präsentiert. Hierbei werden auch die ausgenutzten Exploits erläutert. Zudem erhält der Kunde eine „Management-Summary“, in der die Ergebnisse sowie der gesamte Verlauf schriftlich dokumentiert und zusammengefasst werden.

Phase 6: Re-Penetration

Ein einzelner Pentest lässt kaum valide Aussagen über das langfristige Sicherheitsniveau der geprüften Systeme zu. Denn die Techniken potenzieller Angreifer entwickeln sich rasant weiter: Beinahe täglich werden neue Schwachstellen in aktuellen Applikationen und IT-Systemen gemeldet. Im Extremfall kann unmittelbar nach Abschluss eines Penetrationstests ein Cyberangriff möglich sein – aufgrund einer neuen Sicherheitslücke. Daher empfehlen wir, nach einer definierten Zeitspanne einen Nachtest durchzuführen. Zur kontinuierlichen Prüfung der IT-Infrastruktur kann zudem unsere Software cyberscan.io® eingesetzt werden.

Was kostet ein Penetrationstest?

Weniger als Sie denken!

Remote Pentest

Auf Wunsch können Penetrationstests dank unserer DGCBOX auch kostengünstig und nachhaltig aus der Ferne durchgeführt werden. Sprechen Sie uns bei Interesse gerne an!

FAQ

FAQ Pentests

Was macht ein Pentester?

Ein Pentester wird von Unternehmen beauftragt, um aus der Sicht von Angreifern Sicherheitsanalysen von Systemen und Netzwerken durchzuführen. Um bestehende Sicherheitsvorkehrungen zu umgehen, greift er oder sie auf reale Taktiken und Techniken von Cyberkriminellen zurück. Ziel ist es, unentdeckte Schwachstellen in der IT-Infrastruktur offenzulegen und aufzuzeigen, wie diese behoben werden können. Das Vorgehen eines Pentesters bei einem solchen IT-Security Audit erfolgt stets in enger Abstimmung mit dem auftraggebenden Unternehmen sowie in vordefinierten Szenarien und Phasen.

Was ist ein Pentest-Report?

In einem Pentest-Report werden die Ergebnisse eines Penetrationstests zusammengefasst. Gemeinhin besteht der Report aus zwei Bereichen. Der Hauptbericht beinhaltet die relevantesten Ergebnisse eines Pentests – individuell kategorisiert und bewertet. Neben einem allgemeinen Überblick und Risikoprofil werden technische Informationen zu gefundenen Sicherheitslücken themenspezifisch zusammengefasst und, wenn hilfreich, mit angewandten Taktiken angereichert. Zudem werden zu den einzelnen Schwachstellen Handlungsempfehlungen beschrieben. Die empfohlenen Maßnahmen sollen aufzeigen, wie die Sicherheitsprobleme behoben werden können.

In einem zweiten Reportteil werden die Übersichtsdaten, also sämtliche im Test gefundenen Systeme und Schwachstellen, aufgelistet. Unternehmen erhalten durch die Gesamtübersicht sowie Detailbeschreibungen zu den Schwachstellen fundierte Hilfestellungen zur Optimierung der eigenen Cybersicherheit.

Sie möchten mehr über Penetrationstests erfahren?

Kontaktieren Sie uns – wir beraten Sie gerne.

Geschlecht*
Einwilligung*
Dieses Feld dient zur Validierung und sollte nicht verändert werden.