Penetration Tests

Penetration Tests

Weshalb braucht Ihr Unternehmen einen Penetrationstest?

Aktuelle Sicherheitsanalysen zeigen, dass Unternehmen weltweit der permanenten Gefahr unterliegen, Opfer von Cyberangriffen zu werden. Die Zahl bekannter krimineller Angreifergruppen ist im Jahr 2019 weltweit auf über 1800 gestiegen, während je Sicherheitsvorfall ein durchschnittlicher Schaden von 3.92 Millionen USD verursacht wurde.

Die meisten Angriffe werden dabei nach wie vor von Dritten identifiziert (53%) und bleiben bis zum Zeitpunkt der Entdeckung durchschnittlich sechs Monate für das betroffene Unternehmen unerkannt. Gleichzeitig verlieren klassische Abwehrmaßnahmen wie Virenscanner und Firewalls weiter an Wirksamkeit. Dies betrifft alle Nutzer: Private, Unternehmen, Staat und Verwaltung.

Im Rahmen eines Penetrationstests decken unsere Pentester die IT-Schwachstellen Ihres Unternehmens auf und liefern Ihnen konkrete Handlungsempfehlungen zur Beseitigung aller Defizite. Die Methoden und Werkzeuge, die sie zur Überprüfung einsetzen, entsprechen denen, die auch Cyberkriminelle nutzen.

Jetzt Whitepaper lesen!

Daten, Fakten Hintergründe!

Die 3 meist gestellten Fragen zum Thema Penetrationstests

1. Weshalb ist die Durchführung von Penetrationstests so wichtig für Unternehmen?

Die Zahl bekannter krimineller Angreifergruppen ist im Jahr 2019 weltweit auf über 1800 gestiegen, während je Sicherheitsvorfall ein durchschnittlicher Schaden von 3.92 Millionen USD verursacht wurde.

Die Mehrzahl der Angriffe auf Unternehmen zielt auf den Diebstahl von geistigem Eigentum (22%) oder die finan­zielle Bereicherung durch Erpressung (29%). Letzteres zeigt sich vor allem in der steigenden kriminellen Energie durch die Platzierung von Erpressungstrojanern. In der Konsequenz sind die Folgen eines erfolgreichen Cyberangriffes in der Regel immens. Es droht nicht nur ein hoher finanzieller Schaden, auch ein durch Daten­diebstahl verursachter Imageverlust kann lang anhal­tende negative Konsequenzen für Unternehmen be­deuten.

Im Rahmen eines Penetrationstests decken unsere Pentester die IT-Schwachstellen Ihres Unternehmens auf und liefern Ihnen konkrete Handlungsempfehlun­gen zur Beseitigung aller Defizite. Die Methoden und Werkzeuge, die sie zur Überprüfung einsetzen, ent­sprechen denen, die auch Cyberkriminelle nutzen.

2. Welche Überprüfungsszenarien gibt es bei Penetrationstests?

Infrastrukturprüfung
Untersuchung von Geräten und erreichbaren Diensten auf Infrastrukturebene (z.B. um fehlende Patches, Fehlkonfigurationen, erratbare Anmeldeinformationen und andere bekannte Schwachstellen zu identifizieren). Dies beinhaltet sowohl automatisierte als auch manuelle Testaktivitäten.

Applikationsprüfung
Untersuchung auf Anwendungsebene (z. B. Ermittlung unbekannter Schwachstellen in der Anwendungslogik). Dies schließt den Einsatz von automatisierten Scan-Tools ein, der Fokus liegt hier jedoch auf manuellen Testaktivitäten.

Social Engineering
Identifikation von (nicht-technischen) Sicherheitsrisiken in der Organisation aufgrund des Verhaltens der Mitarbeiter und der Effizienz oder des Fehlens von Prozessen. Dies umfasst Versuche, z. B. über betrügerische Telefonanrufe, Phishing-Mails, Rogue Access Points oder USB-Drops Zugriff auf die IT-Infrastruktur zu erlangen oder z. B. mit gefälschten Identitäten sensible Bereiche von Unternehmensstandorten zu betreten. Social Engineering kann auch mit wirksamem Schadcode kombiniert werden, um das tatsächliche Eindringen in die Zielumgebung zu zeigen und das effektive Risiko für die Organisation auf Basis der Realumgebung zu modellieren.

Wireless
Prüfung der Wireless-Umgebung einer Organisation. Dazu gehört die Analyse der eingesetzten drahtlosen Infrastruktur hinsichtlich kryptographischer Konfiguration, Authentifizierungsmechanismen und allgemeiner Fehlkonfigurationen. Zusätzlich wird eine Standortübersicht der Wireless-Umgebung erstellt, die es erlaubt, die legitime WLAN-Infrastruktur abzubilden und nicht autorisierte Systeme (z. B. Rogue Access Points) zu identifizieren und zu lokalisieren.

Physical
Prüfung des physischen Umfelds der Zielorganisation. Dies beinhaltet die Untersuchung von physischen Zugangskontrollen, wie z. B. Schlüsselkarten-basierte Türsysteme, effektive Trennung und Schutz von sensiblen Bereichen, Isolierung von Netzwerkinfrastrukturkomponenten, Defensivmaßnahmen gegen unautorisierte Geräte (z. B. NAC), etc.

Full Scope Penetration Test
Ein Full Scope Penetration Test umfasst die Zusammenführung aller vorgenannter Testbereiche in einem vollständigen Audit und ermöglicht so eine umfassende Sicht auf das Gesamtunternehmen und alle vorhandenen Risiken.

3. Welche Verfahren gibt es, um einen Penetrationstest durchzuführen?

Generell wird bei der Durchführung eines Penetrationstests zwischen White Box-, Black Box- und Grey Box Audit unterschieden, die als Testansatz das Wissensprofil eines Angreifers darstellen.

Im Rahmen des White Box Audits werden unseren verantwortlichen Penetrationstestern alle notwendigen Informationen über die IT-Systeme und internen Strukturen Ihres Unternehmens vor Testbeginn zur Verfügung gestellt. Dies umfasst bei Bedarf auch die Bereitstellung von unterschiedlichen Benutzerzugriffen sowie ggf. Quellcode von zu analysierenden Einzelapplikationen in einer Testumgebung.

Im Gegensatz hierzu liegen beim Black Box Audit kaum Informationen über die zu prüfenden IT-Systeme vor. Analog zum Vorgehen eines echten Angreifers müssen vorab möglichst viele angriffsrelevante Informationen beschafft werden, die eine erfolgreiche Durchführung ermöglichen. Damit simuliert diese Art des Penetrationstests einen möglichen Angriff sehr realitätsnah, führt jedoch unter Umständen zu einer geringeren Abdeckung und Überprüfungstiefe als ein White Box Audit.

Das Grey Box Audit beinhaltet eine Kombination aus Black Box Audit und nachgelagertem White Box Audit. Aus ökonomischer Sicht stellt das Grey Box Verfahren damit im Vergleich zum häufig nachgefragten Black Box Verfahren eine effizientere Vorgehensweise dar.

Darum sollten Sie uns jetzt mit einen Penetrationstest beauftragen!

Die Ergebnisse unserer Audits umfassen nicht nur die technische Dokumentation der Schwachstellen und Behebungsmaßnahmen, sondern gehen im Berichtsumfang deutlich über Branchenstandards hinaus.

Auf Basis aller Informationen formulieren wir zusätzlich strategische Maßnahmenempfehlungen mit dem Ziel, das erneute Auftreten ähnlicher Schwachstellen dauerhaft zu verhindern.

Um Ihnen ein plastisches Bild Ihres Sicherheitsniveaus zu liefern, enthält unsere Management Summary:

  • Eine Analyse des Schadpotenzials, welche die konkreten Auswirkungen auf Ihren Geschäftsbetrieb darstellt.
  • Eine Analyse der Angriffswahrscheinlichkeit, bei der wir unter anderem unsere Kenntnisse und Erfahrungen zu potenziellen Tätergruppen einbeziehen. Neben dem Ergebnisbericht liefern wir Ihnen alle Befunde zusätzlich auch in Form einer Aktionsplan-Tabelle, die das Koordinieren und Verfolgen von Behebungsmaßnahmen deutlich erleichtert.

Wir orientieren unsere Testverfahren an etablierten Standards und Security-Forschungsprojekten (z. B. PTES, OWASP) und verfolgen die sich jederzeit ändernde Entwicklung der IT-Sicherheitsforschung stetig.

Durch aussagekräftige Zertifizierungen (z. B. OSCP, OSCE, OSWE), regelmäßige Trainings und interne Forschung stellen wir ein ausgezeichnetes Kompetenzniveau unserer Offensive Security Consultants sicher und bauen es fortlaufend aus.

Jetzt Whitepaper lesen!

Wieviel kostet ein Penetrationstest?

Laden Sie sich jetzt unser Whitepaper zu diesem Thema herunter!

Durch Klicken auf die Schaltfläche "Jetzt Whitepaper lesen!" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.