IT

Penetration Test

Kontrollierte Angriffe auf Ihre IT-Infrastruktur

Simulierte Angriffe auf die Unternehmens-IT

Ein gezielter, simulierter Angriff auf Ihre IT-Infrastruktur, auch IT-Penetrationstest genannt, gibt Ihnen Aufschluss darüber, wie gut die IT nach "außen" abgesichert ist. Unsere Experten prüfen aus der Perspektive eines potenziellen Angreifers, inwiefern Möglichkeiten bestehen in das Netzwerk einzudringen und vertrauliche Daten zu kompromittieren. 

Warum ein IT Penetration Test?

Sowohl aus Sicht der Informationssicherheit als auch im Lichte des Datenschutzes und der geltenden Vorschriften ist ein Pentest unerlässlich um die Sicherheit der verarbeiteten Daten sowie die Verfügbarkeit der eigenen Systeme sicherzustellen. Ein neutraler und professioneller Blick von Außen stellt sicher, dass kein blinder Fleck entstehen kann.

Dokumentation und Maßnahmen

Im Anschluss an einen Penetrationstest erhalten Sie einen umfangreichen und aussagekräftigen Pentest-Bericht, der Ihnen eine Übersicht und Einschätzung aller Schwachstellen sowie der verbundenen Risiken Ihrer Unternehmens-IT aufzeigt. 

Wie läuft ein Penetrationstest ab?

Bevor wir beginnen, sprechen wir mit Ihnen grundsätzlich den sog. Scope, bzw. Prüfbereich ab. Hierbei werden die zu prüfenden IP-Adressen oder Netzsegmente definiert. Weiterhin wird festgelegt mit welcher Informationsbasis unsere Experten arbeiten dürfen. 

Informationsbasis eines Penetrationstests

White Box

Bei einem White Box Penetrationstest stellen Sie unseren IT-Sicherheitsexperten  alle notwendigen Informationen über die IT-Strukturen Ihres Unternehmens zur Verfügung. Unsere Sicherheitsexperten sind auf Basis der zur Verfügung gestellten Informationen in der Lage direkt mit dem Pentest zu beginnen, ohne die Systeme vorher analysieren zu müssen. Dies ist zwar Ressourcensparend, weicht allerdings auch von der Vorgehensweise eines "realen" Angriffs ab.

Grey Box

Der Grey Box Penetrationstest stellt eine Abstufung zwischen White Box Penetrationstest und Black Box Penetrationstest dar . Unsere Sicherheitsexperten erhalten zwar Informationen zu Ihren eingesetzten IT-Systemen, jedoch keine technischen Detailinformationen. Zusätzlich notwendige Daten werden durch unsere Experten selbst erhoben-  Das kombinierte Vorgehen erweist sich im Vergleich zu der Black Box Variante als besonders effizient, da die Informationsbeschaffung vom Kunden unterstützt wird und dennoch eine Nähe zur Vorgehensweise eines „realen“ Angriffs gewahrt wird.

Black Box

Der Black Box Penetrationstest wird ohne Vorabinformationen über die zu prüfenden IT-Systeme durchgeführt. Ziel ist es, die Angriffsweise eines Hackers möglichst realitätsnah zu simulieren. Diese Variante ist naturgemäß ressourcenintensiver.

Methodik eines Penetrationstests

  • Information Gathering: In dieser Phase werden Informationen über das Unternehmen gesucht.

  • Enumeration: Basierend auf den Ergebnissen des Information Gatherings werden Einstiegspunkte für einen Angriff identifiziert.

  • Vulnerability Analysis: Die Resultate aus der Enumeration-Phase werden verwendet, um Schwachstellen zu identifizieren.

  • Exploitation: In der Exploitation-Phase werden gefundene Schwachstellen aktiv ausgenutzt, etwa um Zugang zu einem Zielsystem zu erhalten.

  • Post-Exploitation: Sollte die Exploitation-Phase von Erfolg gekrönt sein, wird versucht sich im Netzwerk weiter auszubreiten.

  • Reporting: In der letzten Phase werden alle Schritte und Ergebnisse des Pentests schriftlich fixiert.