Pentests:
Schützen Sie Ihr Unternehmen
vor Hackerangriffen
Mit Penetrationstests, auch Pentests genannt, simulieren unsere Sicherheitsexperten Cyberangriffe auf die IT- Infrastruktur von Unternehmen. So zeigen wir Ihnen praxis- und realitätsnah die Wege auf, mit denen Hacker in Systeme eindringen. Damit Sie Schwachstellen frühzeitig schließen und den Ernstfall verhindern können.
Für Ihren IT-Rundumschutz wird Pentesting im Idealfall mit weiteren IT-Sicherheitsmaßnahmen wie Security Awareness Trainings und unserem IT-Security Tool cyberscan.io® kombiniert. Im Rahmen unserer Cyber Security Partnerschaften gelingt das besonders effizient: Mit passgenauen Lösungspaketen und eigenen Produkten gehen wir auf die Anforderungen Ihres Unternehmens ein und sorgen für höchste Sicherheitsstandards.
Warum Pentests?
Als Härtetest für die IT-Infrastruktur hilft Pentesting dabei, die eigene Cybersicherheit zu testen und mögliche Angriffspunkte zu entdecken. Unternehmen erhalten fachkundiges und unvoreingenommenes Feedback zu ihren Sicherheitsprozessen und damit eine wichtige Entscheidungshilfe zur weiteren Optimierung.
Die IT-Security Audits mögen Zeit und Kosten in Anspruch nehmen – der Aufwand steht jedoch in keinem Verhältnis zu einem echten Sicherheitsvorfall, der meist erhebliche Kosten sowie einen Reputationsverlust zur Folge hat. Simulierte Hackerangriffe zahlen sich aus: Je früher eine Schwachstelle bekannt ist, desto geringer die Wirkung.
Durch regelmäßige Penetrationstests gelingt es Unternehmen zudem, den Anforderungen von stetig wichtiger werdenden Sicherheitszertifizierungen zu entsprechen.
Ihre Vorteile auf einen Blick
Klarheit über die eigene IT-Sicherheitslage
Frühzeitiges Erkennen
und Schließen von
Schwachstellen
Entscheidungshilfe zur
Optimierung der
Sicherheitsstrategie
Standards für Zertifizierungen
im Bereich IT-Sicherheit
erfüllen
Professionelle und realistische
Durchführung dank langjähriger
Erfahrung
Mögliche Kombination mit
weiteren Modulen unserer
Cyber Security Partnerschaften
Pentests: Diese 3 Testmethoden sollten Sie kennen
Die DGC AG bietet verschiedene Pentest-Methoden an, um IT-Infrastrukturen auf ihre Sicherheit zu überprüfen – White Box, Grey Box und Black Box. Die branchenweit etablierten Begriffe beschreiben den vorherigen Wissensstand und die gewährte Zugriffsart des Pentesters auf zu testende Systeme. Je nachdem, welche Ziele und Anforderungen Ihr Unternehmen definiert, wird also offen oder verdeckt agiert. Dabei gehen wir so dynamisch und opportunistisch vor, wie es professionelle Cyberkriminelle tun würden.
White Box
Penetrationstest
Bei einem White Box Penetrationstest stellen Sie unseren IT-Sicherheitsexperten vorweg alle notwendigen Informationen über die IT-Strukturen Ihres Unternehmens zur Verfügung. Ihre Mitarbeitenden werden proaktiv über die Durchführung des Pentests informiert.
Black Box
Penetrationstest
Im Gegensatz dazu wird der Black Box Penetrationstest ohne Vorabinformationen über die zu prüfenden IT-Systeme absolviert. Ziel ist es, die Angriffsweise eines Hackers möglichst realitätsgetreu zu simulieren. Unsere IT- Sicherheitsexperten versuchen zunächst, jene Informationen selbst zusammenzustellen, die Sie im Rahmen eines White Box Penetrationstests offenlegen würden
Grey Box
Penetrationstest
Der Grey Box Penetrationstest kombiniert die beiden obigen Varianten und stellt ein besonders authentisches Hackerszenario dar. Unsere Sicherheitsexperten erhalten nur fragmentarische Hinweise zu den IT-Systemen des Kunden und ermitteln übrige Daten selbst. Erst später erhalten die Penetrationstester detaillierte Informationen zur IT-Infrastruktur sowie ausgewählte Zugangsdaten. Das kombinierte Vorgehen erweist sich im Vergleich zu der häufig nachgefragten Black Box Variante als besonders effizient.
Unsere Pentest-Angebote
Interner oder externer Penetrationstest, Webapp-Pentest oder einmalige Schwachstellenüberprüfung: Damit keine Sicherheitslücke unentdeckt bleibt, umfasst unser Angebot verschiedene Arten von Penetrationstests. Diese lassen sich je nach Projekt und Bedarf auch kombinieren – wir beraten Sie gerne.
Sie wollen die Sicherheit Ihrer internen IT-Systeme und Anwendungen auf den Prüfstand stellen? In diesem Fall führen wir vor Ort in Ihrem Unternehmen (oder remote) einen internen Penetrationstest durch. Dabei simulieren unsere Experten einen Hackerangriff, um interne IT-Systeme und deren Schwachstellen zu identifizieren.
Zur internen Infrastruktur zählen sämtliche Assets, die sich im internen Netzwerk befinden – darunter Kameras, Clients, Server und Peripheriegeräte. Diese Assets werden auf Schwachstellen und Sicherheitslücken auditiert, etwa bezüglich eingesetzter Protokolle, Netzwerkkomponenten, Betriebssysteme sowie Applikationen.
Als Ergebnis erhalten Sie sämtliche identifizierten Schwachstellen, deren Kritikalität sowie geeignete Absicherungsmaßnahmen in Form eines IT-Sicherheitsberichts. Auf Wunsch stellen wir Ihnen die Ergebnisse persönlich in einer Präsentation vor.
Haben Sie einen Überblick darüber, wie sicher Ihre Webanwendungen sind? Falls nicht, zahlt sich ein Webapp-Pentest aus. Der Ansatz ähnelt einem externen Penetrationstest und zielt darauf ab, wie ein Hacker in Ihre Webapplikation vorzudringen.
Ziel ist es, möglichst viele Schwachstellen zu erkennen und diese auszunutzen. Das gelingt, indem die unterschiedlichen Bereiche der Webanwendung oder der API durch manuelle sowie teilautomatisierte Testverfahren auf häufige Schwachstellen wie SQL-Injections, Cross-Site-Scripting (XSS) oder Session Hijacking überprüft werden.
Als Ergebnis erhalten Sie sämtliche identifizierten Schwachstellen, deren Kritikalität sowie geeignete Absicherungsmaßnahmen in Form eines übersichtlichen IT-Sicherheitsberichts. Bei Bedarf stellen wir Ihnen die Inhalte und Ergebnisse auch persönlich vor.
Bei unseren Webapplikation Penetrationstests orientieren wir uns am dem Leitfaden für Web Application Security Testing von OWASP (Open Web Application Security Project) – einer renommierten unabhängigen Organisation, die sich für die Sicherheit von Webanwendungen einsetzt.
Soll die Sicherheit öffentlich zugänglicher Systeme überprüft werden, empfiehlt sich ein externer Pentest. Dabei simulieren unsere Experten realitätsgetreu einen Hackerangriff von außen und versuchen in das System vorzudringen. Mögliche Arten von nachgestellten Angriffen sind zum Beispiel SQL-Injections, XSS-Attacken, IP-Spoofing, Sniffing, Session Hijacking und Buffer-Overflow-Attacken.
Im Zuge des externen Pentests werden Ihre externen IT-Systeme und deren Schwachstellen identifiziert. Zur externen Infrastruktur zählen sämtliche Assets, die aus dem Internet erreichbar sind – etwa Internetseiten, Firewalls und Router sowie Mailserver, FTP-Server und Systeme von speziell kontrollierten Netzwerken (DMZ). Die entdeckten Assets werden auf Schwachstellen und Sicherheitslücken geprüft- beispielsweise im Hinblick auf eingesetzte Protokolle, Netzwerkkomponenten, Betriebssysteme und Applikationen.
Als Ergebnis erhalten Sie sämtliche identifizierte Schwachstellen, deren Kritikalität sowie geeignete Absicherungsmaßnahmen in Form eines IT-Sicherheitsberichts. Auf Wunsch stellen wir Ihnen die Testergebnisse zudem in einem persönlichen Vortrag vor.
Für den schnellen Überblick über bestehende IT-Sicherheitsstandards bietet die DGC AG auch einmalige Schwachstellenprüfungen an. Hierbei handelt es sich um automatisierte Scans auf Basis von IP-Adressen, Ports und Webanwendungen. Die Ergebnisse werden von unseren Experten individuell begutachtet und bei Bedarf in der Risikobewertung an Ihr Unternehmen angepasst.
Als Ergebnis erhalten Sie eine toolbasierte Übersicht sämtlicher identifizierten Schwachstellen inklusive Risikoklassifizierung – ein Quick Win zur Optimierung Ihrer aktuellen Cybersicherheit.
Da sich Hackermethoden jedoch ständig weiterentwickeln und ein einzelner Penetrationstest kaum valide Aussagen über die langfristige IT-Sicherheit zulässt, empfehlen wir einen Nachtest einzuplanen. Zur fortlaufenden Prüfung der IT-Infrastruktur kann zudem unser IT-Security Tool cyberscan.io® genutzt werden.
Remote Pentest
Auf Wunsch können interne Penetrationstests dank unserer DGCAGBOX auch kostengünstig und nachhaltig aus der Ferne durchgeführt werden. Sprechen Sie uns bei Interesse gerne an!
Vorgehen bei einer DGC AG-Sicherheitsprüfung
Von der Definition grundlegender Ziele und Anforderungen bis zur Abschlussanalyse läuft ein Penetrationstest bei der DGC AG generell in fünf Phasen ab. Dabei orientieren wir uns an den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ergänzend bieten wir mit der Re-Penetration einen weiteren strategischen Schritt an, um Ihre Systeme langfristig zu schützen.
Je nach Bedarf simulieren wir verschiedene Szenarien und Vorgehensweisen für Ihre IT-Sicherheitsprüfung – sowohl White Box-, als auch Black Box- und Grey Box-Penetrationstests sind möglich.
Beispielsweise kann ein Penetrationstest gemeinsam mit Ihrem internen Team geplant werden. Eine Alternative dazu ist das sogenannte „Praktikantenszenario“: Einer unserer IT-Systemanalytiker führt den Penetrationstest verdeckt durch – ohne dass Ihre Mitarbeitenden informiert werden. So lässt sich auch die menschliche Komponente der IT-Sicherheit, das sogenannte Social Engineering, überprüfen.
Pentesting – Ablauf in 5 Schritten erklärt
Um IT-Systeme möglichst authentisch zu testen und Ihr Unternehmen vor potenziellen Angreifern zu schützen, werden unsere Penetrationstests stets individuell und kundenorientiert durchgeführt. Der Ablauf erfolgt in festgelegten Phasen nach dem BSI-Standard, die wir hier vorstellen – und um den strategischen Schritt der Re-Penetration ergänzt haben.
Phase 1: Vorbereitung
In der ersten Phase eines Penetrationstests werden die individuellen Ziele und Anforderungen Ihres Unternehmens, das angestrebte Vorgehen und eingesetzte Techniken festgehalten. Berücksichtigt werden auch relevante gesetzliche und organisatorische Vorgaben sowie mögliche vertragliche Vereinbarungen Ihres Unternehmens, um mögliche Risiken zu vermeiden. Für den gemeinsamen Überblick halten unsere Experten sämtliche Details des Penetrationstests schriftlich fest.
Phase 2: Informationsbeschaffung und -auswertung
In Phase 2 werden sämtliche auffindbare Informationen zu dem Ziel zusammengetragen. Zur Prüfung der externen IT-Infrastruktur werden alle Systemkomponenten durchleuchtet, die erreichbar sind. Bei der internen IT-Infrastruktur werden alle erreichbaren Assets inventarisiert, um Rückschlüsse auf verfügbare Netzwerkbereiche, Geräte und Dienste zu ziehen.
Die Erkenntnisse werden genutzt, um die IT-Infrastruktur zu prüfen. Dies geschieht durch Fingerprinting, auch Footprinting genannt: Mithilfe von Informationen werden Datensätze korreliert, um Version und Patch-Stände von Netzwerkdiensten, Betriebssystemen, Softwareanwendungen und Datenbanken zu identifizieren. Zudem erlaubt das Verfahren Rückschlüsse auf aktuelle Konfigurationen. Die Ergebnisse des Fingerprintings werden zur Identifizierung von Schwachstellen in den Systemen und Anwendungen genutzt. Dies erfolgt bei der DGC AG u.a. mithilfe unseres Schwachstellenscanners cyberscan.io®. Hinzugezogen werden zudem Informationen aus frei zugänglichen Datenbanken im Internet, in denen Schwachstellen katalogisiert werden.
Kurz gesagt verschaffen sich unsere Experten in Phase 2 einen möglichst umfassenden Überblick über die zu prüfende Systemumgebung, mögliche Schwachstellen und Angriffspunkte.
Phase 3: Bewertung der Informationen/Risikoanalyse
Die gewonnenen Informationen über die zu prüfenden Systeme werden in Phase 3 ausführlich analysiert und bewertet. In diese Bewertung fließen auch die vereinbarten Ziele des Penetrationstests, die potenziellen Risiken für die Systeme sowie der geschätzte Aufwand zum Identifizieren möglicher Sicherheitslücken im Rahmen der folgenden Eindringversuche ein. Anhand der Analyse definieren unsere Experten die konkreten Angriffsziele für Phase 4.
Phase 4: Aktive Eindringversuche
In Phase 4 werden die identifizierten Schwachstellen gezielt ausgenutzt, um Zugriff auf Ihre Infrastruktur zu erlangen. Dringen unsere IT-Systemanalytiker erfolgreich in Systeme ein, werden sogenannte Artefakte gesammelt. Diese dienen als Grundlage für die nachfolgende Präsentation sowie den IT-Sicherheitsbericht in Phase 5. Selbstverständlich werden die hochsensiblen Informationen nur in Abstimmung mit Ihrem Unternehmen dokumentiert und streng vertraulich behandelt. Phase 4 erfolgt generell nur auf Kundenwunsch, da unter Umständen kritische Systeme beeinflusst werden könnten. Sofern vereinbart, werden ausgewählte bzw. repräsentative Systeme systematisch angegriffen (Exploit).
Phase 5: Abschlussanalyse
Im Verlauf der vorherigen Phasen ist eine detaillierte Übersicht aller identifizierten Systeme, offen gelegte Sicherheitslücken sowie möglicher Lösungsansätze entstanden. Diese Pentest-Ergebnisse und daraus resultierenden Risiken für Ihr Unternehmen stellen wir Ihnen in einem schriftlichen Abschlussbericht vor und erläutern darin auch die einzelnen Prüfungsschritte. Sofern Aktivitäten in Phase 4 stattgefunden haben, präsentieren wir Ihnen die Artefakte auf Wunsch in einem persönlichen Termin. Hierbei werden auch die ausgenutzten Exploits erläutert.
Phase 6: Re-Penetration (optional)
Ein einzelner Pentest ist nur eine Momentaufnahme und lässt kaum verlässliche Aussagen über das langfristige Sicherheitsniveau der geprüften Systeme zu. Denn die Techniken potenzieller Angreifer entwickeln sich rasant weiter: Nahezu täglich werden neue Schwachstellen in aktuellen Applikationen und IT-Systemen gemeldet. Im Extremfall kann es sogar unmittelbar nach Abschluss eines Penetrationstests zu einem Cyberangriff kommen – aufgrund einer neuen Sicherheitslücke. Daher empfehlen wir, nach einer definierten Zeitspanne einen Nachtest durchzuführen. Zur kontinuierlichen Prüfung der IT-Infrastruktur kann zudem unsere Software cyberscan.io® eingesetzt werden.
Was kostet ein Penetrationstest?
Sicherheitsüberprüfungen in Form von Pentests kosten weniger als Sie denken und sind in ihrem Umfang sehr flexibel.
FAQ
Was macht ein Pentester?
Ein Pentester wird von Unternehmen beauftragt, um aus der Sicht von Angreifern Sicherheitsanalysen von Systemen und Netzwerken durchzuführen. Um bestehende Sicherheitsvorkehrungen zu umgehen, greift er oder sie auf reale Taktiken und Techniken von Cyberkriminellen zurück. Ziel ist es, unentdeckte Schwachstellen in der IT-Infrastruktur offenzulegen und aufzuzeigen, wie diese behoben werden können. Das Vorgehen eines Pentesters bei einem solchen IT-Security Audit erfolgt stets in enger Abstimmung mit dem auftraggebenden Unternehmen sowie in vordefinierten Szenarien und Phasen.
Was ist ein Pentest-Report?
In einem Pentest-Report werden die Ergebnisse eines Penetrationstests zusammengefasst. Gemeinhin besteht der Report aus zwei Bereichen. Der Hauptbericht beinhaltet die relevantesten Ergebnisse eines Pentests – individuell kategorisiert und bewertet. Neben einem allgemeinen Überblick und Risikoprofil werden technische Informationen zu gefundenen Sicherheitslücken themenspezifisch zusammengefasst und, wenn hilfreich, mit angewandten Taktiken angereichert. Zudem werden zu den einzelnen Schwachstellen Handlungsempfehlungen beschrieben. Die empfohlenen Maßnahmen sollen aufzeigen, wie die Sicherheitsprobleme behoben werden können.
In einem zweiten Reportteil werden die Übersichtsdaten, also sämtliche im Test gefundenen Systeme und Schwachstellen, aufgelistet. Unternehmen erhalten durch die Gesamtübersicht sowie Detailbeschreibungen zu den Schwachstellen fundierte Hilfestellungen zur Optimierung der eigenen Cybersicherheit.
Sie möchten mehr über Penetrationstests erfahren?
Kontaktieren Sie uns – wir beraten Sie gerne.
„*“ zeigt erforderliche Felder an
