Schützen Sie Ihr Unternehmen
vor Hackerangriffen
Schwachstellen durch simulierte Angriffe erkennen
Mit Penetrationstests, auch Pentests genannt, simulieren unsere Sicherheitsexperten Cyberangriffe auf die IT- Infrastruktur von Unternehmen. So zeigen wir Ihnen praxis- und realitätsnah die Wege auf, mit denen Hacker in Systeme eindringen. Damit Sie Schwachstellen frühzeitig schließen und den Ernstfall verhindern können.
Für Ihren IT-Rundumschutz wird Pentesting im Idealfall mit weiteren IT-Sicherheitsmaßnahmen wie Security Awareness Trainings und unserem IT-Security Tool cyberscan.io® kombiniert. Im Rahmen unserer Cyber Security Partnerschaften gelingt das besonders effizient: Mit passgenauen Lösungspaketen und eigenen Produkten gehen wir auf die Anforderungen Ihres Unternehmens ein und sorgen für höchste Sicherheitsstandards.
Härtetest für Ihre Cybersicherheit
Als Härtetest für die IT-Infrastruktur hilft Pentesting dabei, die eigene Cybersicherheit zu testen und mögliche Angriffspunkte zu entdecken. Unternehmen erhalten fachkundiges und unvoreingenommenes Feedback zu ihren Sicherheitsprozessen und damit eine wichtige Entscheidungshilfe zur weiteren Optimierung.
Die IT-Security Audits mögen Zeit und Kosten in Anspruch nehmen – der Aufwand steht jedoch in keinem Verhältnis zu einem echten Sicherheitsvorfall, der meist erhebliche Kosten sowie einen Reputationsverlust zur Folge hat. Simulierte Hackerangriffe zahlen sich aus: Je früher eine Schwachstelle bekannt ist, desto geringer die Wirkung.
Durch regelmäßige Penetrationstests gelingt es Unternehmen zudem, den Anforderungen von stetig wichtiger werdenden Sicherheitszertifizierungen zu entsprechen.
Diese 3 Testmethoden sollten Sie kennen
White Box
Penetrationstest
Bei einem White Box Penetrationstest stellen Sie unseren IT-Sicherheitsexperten vorweg alle notwendigen Informationen über die IT-Strukturen Ihres Unternehmens zur Verfügung. Ihre Mitarbeitenden werden proaktiv über die Durchführung des Pentests informiert.
Black Box
Penetrationstest
Im Gegensatz dazu wird der Black Box Penetrationstest ohne Vorabinformationen über die zu prüfenden IT-Systeme absolviert. Ziel ist es, die Angriffsweise eines Hackers möglichst realitätsgetreu zu simulieren. Unsere IT- Sicherheitsexperten versuchen zunächst, jene Informationen selbst zusammenzustellen, die Sie im Rahmen eines White Box Penetrationstests offenlegen würden
Grey Box
Penetrationstest
Der Grey Box Penetrationstest kombiniert die beiden obigen Varianten und stellt ein besonders authentisches Hackerszenario dar. Unsere Sicherheitsexperten erhalten nur fragmentarische Hinweise zu den IT-Systemen des Kunden und ermitteln übrige Daten selbst. Erst später erhalten die Penetrationstester detaillierte Informationen zur IT-Infrastruktur sowie ausgewählte Zugangsdaten. Das kombinierte Vorgehen erweist sich im Vergleich zu der häufig nachgefragten Black Box Variante als besonders effizient.
Unsere Pentest-Angebote
Interner oder externer Penetrationstest, Webapp-Pentest oder einmalige Schwachstellenüberprüfung: Damit keine Sicherheitslücke unentdeckt bleibt, umfasst unser Angebot verschiedene Arten von Penetrationstests. Diese lassen sich je nach Projekt und Bedarf auch kombinieren – wir beraten Sie gerne.
Sie wollen die Sicherheit Ihrer internen IT-Systeme und Anwendungen auf den Prüfstand stellen? In diesem Fall führen wir vor Ort in Ihrem Unternehmen (oder remote) einen internen Penetrationstest durch. Dabei simulieren unsere Experten einen Hackerangriff, um interne IT-Systeme und deren Schwachstellen zu identifizieren.
Zur internen Infrastruktur zählen sämtliche Assets, die sich im internen Netzwerk befinden – darunter Kameras, Clients, Server und Peripheriegeräte. Diese Assets werden auf Schwachstellen und Sicherheitslücken auditiert, etwa bezüglich eingesetzter Protokolle, Netzwerkkomponenten, Betriebssysteme sowie Applikationen.
Als Ergebnis erhalten Sie sämtliche identifizierten Schwachstellen, deren Kritikalität sowie geeignete Absicherungsmaßnahmen in Form eines IT-Sicherheitsberichts. Auf Wunsch stellen wir Ihnen die Ergebnisse persönlich in einer Präsentation vor.
Haben Sie einen Überblick darüber, wie sicher Ihre Webanwendungen sind? Falls nicht, zahlt sich ein Webapp-Pentest aus. Der Ansatz ähnelt einem externen Penetrationstest und zielt darauf ab, wie ein Hacker in Ihre Webapplikation vorzudringen.
Ziel ist es, möglichst viele Schwachstellen zu erkennen und diese auszunutzen. Das gelingt, indem die unterschiedlichen Bereiche der Webanwendung oder der API durch manuelle sowie teilautomatisierte Testverfahren auf häufige Schwachstellen wie SQL-Injections, Cross-Site-Scripting (XSS) oder Session Hijacking überprüft werden.
Als Ergebnis erhalten Sie sämtliche identifizierten Schwachstellen, deren Kritikalität sowie geeignete Absicherungsmaßnahmen in Form eines übersichtlichen IT-Sicherheitsberichts. Bei Bedarf stellen wir Ihnen die Inhalte und Ergebnisse auch persönlich vor.
Bei unseren Webapplikation Penetrationstests orientieren wir uns am dem Leitfaden für Web Application Security Testing von OWASP (Open Web Application Security Project) – einer renommierten unabhängigen Organisation, die sich für die Sicherheit von Webanwendungen einsetzt.
Soll die Sicherheit öffentlich zugänglicher Systeme überprüft werden, empfiehlt sich ein externer Pentest. Dabei simulieren unsere Experten realitätsgetreu einen Hackerangriff von außen und versuchen in das System vorzudringen. Mögliche Arten von nachgestellten Angriffen sind zum Beispiel SQL-Injections, XSS-Attacken, IP-Spoofing, Sniffing, Session Hijacking und Buffer-Overflow-Attacken.
Im Zuge des externen Pentests werden Ihre externen IT-Systeme und deren Schwachstellen identifiziert. Zur externen Infrastruktur zählen sämtliche Assets, die aus dem Internet erreichbar sind – etwa Internetseiten, Firewalls und Router sowie Mailserver, FTP-Server und Systeme von speziell kontrollierten Netzwerken (DMZ). Die entdeckten Assets werden auf Schwachstellen und Sicherheitslücken geprüft- beispielsweise im Hinblick auf eingesetzte Protokolle, Netzwerkkomponenten, Betriebssysteme und Applikationen.
Als Ergebnis erhalten Sie sämtliche identifizierte Schwachstellen, deren Kritikalität sowie geeignete Absicherungsmaßnahmen in Form eines IT-Sicherheitsberichts. Auf Wunsch stellen wir Ihnen die Testergebnisse zudem in einem persönlichen Vortrag vor.
Für den schnellen Überblick über bestehende IT-Sicherheitsstandards bietet die DGC AG auch einmalige Schwachstellenprüfungen an. Hierbei handelt es sich um automatisierte Scans auf Basis von IP-Adressen, Ports und Webanwendungen. Die Ergebnisse werden von unseren Experten individuell begutachtet und bei Bedarf in der Risikobewertung an Ihr Unternehmen angepasst.
Als Ergebnis erhalten Sie eine toolbasierte Übersicht sämtlicher identifizierten Schwachstellen inklusive Risikoklassifizierung – ein Quick Win zur Optimierung Ihrer aktuellen Cybersicherheit.
Da sich Hackermethoden jedoch ständig weiterentwickeln und ein einzelner Penetrationstest kaum valide Aussagen über die langfristige IT-Sicherheit zulässt, empfehlen wir einen Nachtest einzuplanen. Zur fortlaufenden Prüfung der IT-Infrastruktur kann zudem unser IT-Security Tool cyberscan.io® genutzt werden.
Cyber-Sicherheit aus der Ferne
Auf Wunsch können interne Penetrationstests dank unserer DGCAGBOX auch kostengünstig und nachhaltig aus der Ferne durchgeführt werden. Sprechen Sie uns bei Interesse gerne an!
Die richtige Strategie für
Ihre IT-Sicherheitsprüfung
Von der Definition grundlegender Ziele und Anforderungen bis zur Abschlussanalyse läuft ein Penetrationstest bei der DGC AG generell in fünf Phasen ab. Dabei orientieren wir uns an den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ergänzend bieten wir mit der Re-Penetration einen weiteren strategischen Schritt an, um Ihre Systeme langfristig zu schützen.
Je nach Bedarf simulieren wir verschiedene Szenarien und Vorgehensweisen für Ihre IT-Sicherheitsprüfung – sowohl White Box-, als auch Black Box- und Grey Box-Penetrationstests sind möglich.
Beispielsweise kann ein Penetrationstest gemeinsam mit Ihrem internen Team geplant werden. Eine Alternative dazu ist das sogenannte „Praktikantenszenario“: Einer unserer IT-Systemanalytiker führt den Penetrationstest verdeckt durch – ohne dass Ihre Mitarbeitenden informiert werden. So lässt sich auch die menschliche Komponente der IT-Sicherheit, das sogenannte Social Engineering, überprüfen.
Pentesting – Ablauf in 5 Schritten erklärt
Um IT-Systeme möglichst authentisch zu testen und Ihr Unternehmen vor potenziellen Angreifern zu schützen, werden unsere Penetrationstests stets individuell und kundenorientiert durchgeführt. Der Ablauf erfolgt in festgelegten Phasen nach dem BSI-Standard, die wir hier vorstellen – und um den strategischen Schritt der Re-Penetration ergänzt haben.
In der ersten Phase eines Penetrationstests werden die individuellen Ziele und Anforderungen Ihres Unternehmens, das angestrebte Vorgehen und eingesetzte Techniken festgehalten. Berücksichtigt werden auch relevante gesetzliche und organisatorische Vorgaben sowie mögliche vertragliche Vereinbarungen Ihres Unternehmens, um mögliche Risiken zu vermeiden.
Für den gemeinsamen Überblick halten unsere Experten sämtliche Details des Penetrationstests schriftlich fest.
In Phase 2 werden sämtliche auffindbare Informationen zu dem Ziel zusammengetragen. Zur Prüfung der externen IT-Infrastruktur werden alle Systemkomponenten durchleuchtet, die erreichbar sind. Bei der internen IT-Infrastruktur werden alle erreichbaren Assets inventarisiert, um Rückschlüsse auf verfügbare Netzwerkbereiche, Geräte und Dienste zu ziehen.
Die Erkenntnisse werden genutzt, um die IT-Infrastruktur zu prüfen. Dies geschieht durch Fingerprinting, auch Footprinting genannt: Mithilfe von Informationen werden Datensätze korreliert, um Version und Patch-Stände von Netzwerkdiensten, Betriebssystemen, Softwareanwendungen und Datenbanken zu identifizieren. Zudem erlaubt das Verfahren Rückschlüsse auf aktuelle Konfigurationen. Die Ergebnisse des Fingerprintings werden zur Identifizierung von Schwachstellen in den Systemen und Anwendungen genutzt. Dies erfolgt bei der DGC AG u.a. mithilfe unseres Schwachstellenscanners cyberscan.io®. Hinzugezogen werden zudem Informationen aus frei zugänglichen Datenbanken im Internet, in denen Schwachstellen katalogisiert werden.
Kurz gesagt verschaffen sich unsere Experten in Phase 2 einen möglichst umfassenden Überblick über die zu prüfende Systemumgebung, mögliche Schwachstellen und Angriffspunkte.
Die gewonnenen Informationen über die zu prüfenden Systeme werden in Phase 3 ausführlich analysiert und bewertet. In diese Bewertung fließen auch die vereinbarten Ziele des Penetrationstests, die potenziellen Risiken für die Systeme sowie der geschätzte Aufwand zum Identifizieren möglicher Sicherheitslücken im Rahmen der folgenden Eindringversuche ein. Anhand der Analyse definieren unsere Experten die konkreten Angriffsziele für Phase 4.
In Phase 4 werden die identifizierten Schwachstellen gezielt ausgenutzt, um Zugriff auf Ihre Infrastruktur zu erlangen. Dringen unsere IT-Systemanalytiker erfolgreich in Systeme ein, werden sogenannte Artefakte gesammelt. Diese dienen als Grundlage für die nachfolgende Präsentation sowie den IT-Sicherheitsbericht in Phase 5. Selbstverständlich werden die hochsensiblen Informationen nur in Abstimmung mit Ihrem Unternehmen dokumentiert und streng vertraulich behandelt. Phase 4 erfolgt generell nur auf Kundenwunsch, da unter Umständen kritische Systeme beeinflusst werden könnten. Sofern vereinbart, werden ausgewählte bzw. repräsentative Systeme systematisch angegriffen (Exploit).
Im Verlauf der vorherigen Phasen ist eine detaillierte Übersicht aller identifizierten Systeme, offen gelegte Sicherheitslücken sowie möglicher Lösungsansätze entstanden. Diese Pentest-Ergebnisse und daraus resultierenden Risiken für Ihr Unternehmen stellen wir Ihnen in einem schriftlichen Abschlussbericht vor und erläutern darin auch die einzelnen Prüfungsschritte. Sofern Aktivitäten in Phase 4 stattgefunden haben, präsentieren wir Ihnen die Artefakte auf Wunsch in einem persönlichen Termin. Hierbei werden auch die ausgenutzten Exploits erläutert.
Ein einzelner Pentest ist nur eine Momentaufnahme und lässt kaum verlässliche Aussagen über das langfristige Sicherheitsniveau der geprüften Systeme zu. Denn die Techniken potenzieller Angreifer entwickeln sich rasant weiter: Nahezu täglich werden neue Schwachstellen in aktuellen Applikationen und IT-Systemen gemeldet. Im Extremfall kann es sogar unmittelbar nach Abschluss eines Penetrationstests zu einem Cyberangriff kommen – aufgrund einer neuen Sicherheitslücke. Daher empfehlen wir, nach einer definierten Zeitspanne einen Nachtest durchzuführen. Zur kontinuierlichen Prüfung der IT-Infrastruktur kann zudem unsere Software cyberscan.io® eingesetzt werden.
Was kostet ein Penetrationstest?
Sicherheitsüberprüfungen in Form von Pentests kosten weniger als Sie denken und sind in ihrem Umfang sehr flexibel.
Was macht ein Pentester?
Ein Unternehmen beauftragt einen Pentester, um Sicherheitsanalysen an seinen Systemen und Netzwerken aus Sicht von Angreifern durchzuführen. Der Pentester verwendet reale Cyberkriminellen-Methoden, um bestehende Sicherheitsmaßnahmen zu überwinden.
Das Ziel ist die Identifizierung bisher unentdeckter Schwachstellen in der IT-Infrastruktur und die Empfehlung von Lösungen. Der Pentester arbeitet in enger Abstimmung mit dem Unternehmen und folgt vordefinierten Szenarien und Phasen bei diesem IT-Sicherheitsaudit.
Was ist ein Pentest-Report?
Ein Pentest-Report fasst die Ergebnisse eines Penetrationstests zusammen und besteht in der Regel aus zwei Abschmitten.
1. Der Hauptbericht enthält die wichtigsten Testergebnisse, bewertet nach Kategorien. Er bietet eine Zusammenfassung, Risikobewertung und technische Details zu Sicherheitslücken sowie Empfehlungen zur Behebung.
2. Im zweiten Teil werden Übersichtsdaten präsentiert, die alle gefundenen Systeme und Schwachstellen auflisten, um Unternehmen eine umfassende Übersicht und detaillierte Schwachstellenbeschreibungen zur Verbesserung ihrer Cybersicherheit zu liefern.
Sie möchten mehr über Penetrationstest erfahren?
Kontaktieren Sie uns – wir beraten Sie gerne.
„*“ zeigt erforderliche Felder an
