whitelisthackers whitelisthackers

Ein Penetrationstest, auch Pentest genannt, ist im Wesentlichen die Simulation eines Angriffes auf ein definiertes Zielsystem. Dabei „simulieren“ unsere Analyst:innen eine realistische Attacke typischer Angreifenden. Im Gegensatz zu einem tatsächlichen Angriff richten wir dabei keinen vorsätzlichen Schaden an. Wie bei einem realen Angriff versuchen wir jedoch, risikoorientiert Zugriff auf sensible Daten oder Systeme zu erhalten. Risikoorientiert bedeutet, dass wir die erfolgversprechendsten Angriffsvektoren am gründlichsten überprüfen. Mit Hilfe eines Penetrationstests stellen wir das aktuelle Sicherheitsniveau fest, decken Schwachstellen auf, geben Handlungsempfehlungen zur Verbesserung Ihrer IT-Sicherheit und bewerten diese nach Aufwand und Dringlichkeit. So verbessern Sie den Schutz Ihrer IT-Systeme.

Ihr Mehrwert

Mit unserem IT-Penetrationstest testen wir Ihre Systeme und suchen nach technischen Schwachstellen und Sicherheitslücken, bevor Cyberkriminelle es tun, und bewerten so das Sicherheitsniveau Ihrer IT-Infrastruktur. Verbessern Sie systematisch Ihre Sicherheit und minimieren Sie das Risiko, Opfer eines erfolgreichen Angriffs zu werden! Das Risiko von Datendiebstahl, -verlust und -verletzung, das mit hohen Kosten und dem Verlust der Vertrauenswürdigkeit der Organisation einhergeht, wird erheblich reduziert.

Vorgehensweise

  1. Vorbereitung

    Wir besprechen wesentliche Kriterien wie Typ und Ziel des Audits sowie organisatorische Maßnahmen mit Ihnen: Um welche Systeme geht es? Wie sollen sie betrachtet werden? Wer ist unsere Ansprechperson? Muss die Verfügbarkeit der Daten und Systeme sichergestellt werden oder agieren wir aus der Sicht eines rücksichtslos Angreifenden? Diese und weitere Fragen entscheiden über das grundsätzliche Vorgehen, Black- oder Whiteboxtest, die Aggressivität der Methoden oder deren Detektierbarkeit.

    Ziel ist, die Grundlagen eines erfolgreichen Audits zu schaffen.

  2. Informationsbeschaffung

    Die Informationsbeschaffung dient der Sammlung relevanter Daten, um verwertbare Erkenntnisse zu gewinnen. Während dieser Phase erkunden wir Ihr System mit nicht invasiven Methoden. Um sich auf den Angriff vorzubereiten, bilden unsere Analyst:innen das Zielsystem ab und definieren die Angriffsvektoren.
    Anschließend beginnen wir mit dem Scannen, um weitere Informationen über Anwendungen, Systeme, Netzwerke, verwendete Dienste, Versionsnummern, Konfigurationsfehler usw. zu erhalten.

  3. Analyse

    Aufbauend auf dem so erstellten „Blueprint“ Ihrer Infrastruktur sammeln wir gezielt mit aktiven Methoden weitere Informationen über Ihre Systeme. Dies können z. B. veraltete Versionsstände, vorhandene Schwachstellen, konzeptionelle Fehler oder Fehlkonfigurationen sein. Aber auch Nutzer:innen-Accounts suchen wir aktiv und analysieren sie auf Angreifbarkeit.

    Abschließend versuchen wir, mit den zuvor gewonnenen Erkenntnissen Zugang zu Ihren Systemen zu erhalten. Dazu bewerten und priorisieren wir jede der gefundenen Lücken hinsichtlich ihrer Ausnutzbarkeit und versuchen so, die Kontrolle über ein erstes System zu erhalten. Dies wird durch die Anwendung eines existierenden Exploits (systematische Möglichkeit zur Ausnutzung einer Schwachstelle), die Anpassung eines solchen oder die Entwicklung eines eigenen realisiert. Sobald wir das erste System „gehackt“ haben, wiederholt sich der beschriebene Prozess iterativ. Das heißt, wir werten zum einen alle neuen Informationen des übernommenen Systems aus und bauen zum anderen unsere Rechte aus. Mit diesen neu gewonnenen Rechten und Informationen beginnen wir, weitere Systeme zu übernehmen oder zu kompromittieren. Wie tief wir dabei durch Iteration der zuvor erläuterten Schritte in Ihre Systeme vordringen, hängt von Ihren Zielen und Wünschen ab.

  4. Reporting

    Sie erhalten eine ausführliche Dokumentation inklusive Management Summary, welche alle Erkenntnisse detailliert zusammenfasst und jede Schwachstelle ausführlich beschreibt, nach ihrem Gefahrenpotenzial gewichtet und mit einem entsprechenden Vorschlag für ihre Behebung ausweist. Dies ermöglicht es den IT-Verantwortlichen und Entwicklungsteams, die Angriffsszenarien zu reproduzieren.

  5. Cleaning

    Nach Abschluss des Auftrags entfernen unsere Analyst:innen alle Code Snippets, Skripte, Tools, Testdaten und andere Geräte, die bei dem „Angriff“ eingesetzt wurden, sodass sie später bei einem realen Angriff von Dritten nicht mehr verwendet werden können. Sollte das eigenständige Aufräumen nicht möglich sein, informieren wir Sie anhand einer genauen Anleitung, wie Sie verbliebene Artefakte selbst entfernen können.

Was sollten Sie sonst noch wissen?

Ablauf und Klassifikation

Die Sicherheitsüberprüfung wird im Wesentlichen nach der Empfehlung bzw. Studie „Durchführungskonzept für Penetrationstests“, herausgegeben vom BSI, durchgeführt. Des Weiteren führen wir den Test gemäß diverser Standards und Frameworks wie des Penetration Testing Execution Standards (PTES), der Open Source Security Testing Methodology (OSSTMM), MITRE ATT&CK und des Open Web Application Security Projects durch. Zusätzlich werden Schwachstellenrankings wie OWASP TOP 10, SANS 25 und Schwachstellendatenbanken (CVE – Common Vulnerabilities and Exposure) berücksichtigt.

Unsere Standards gewährleisten eine strukturierte Vorgehensweise, die eine effiziente und zielgerichtete Durchführung des Tests erleichtert bzw. sicherstellt. Dabei nutzen wir eine eigens entwickelte verteilte Testplattform. Diese ermöglicht beispielsweise eine zentrale Datenhaltung bei Penetrationstests in komplexen Netzwerkumgebungen sowie die parallele Testdurchführung zur Effizienzsteigerung.

Arten von Penetrationstests

Blackbox Test

Wir erhalten keine Informationen über Ihr System und simulieren einen echten Hackerangriff einschließlich der Informationssammlung.

Greybox Test

Wir erhalten ausgewählte Informationen über Ihr System wie verwendete Technologien und Zugangsdaten und handeln als Innentäter:innen, Mitarbeitende oder registrierte Nutzer:innen der Anwendung.

Whitebox Test

Wir erhalten umfassende Informationen über das Zielsystem einschließlich Quellcodes sowie Admin-Zugriff und handeln als Insider:innen.

Sorgfaltspflicht

Unsere Sicherheitsexpert:innen achten darauf, Ihren Systemen keinen Schaden zuzufügen. Oberstes Ziel ist, Ihre Geschäftsabläufe während und nach der Sicherheitsanalyse nicht zu stören.

Qualifikationen

Die Prüfhandlungen werden von ethischen Hackern durchgeführt, die über entsprechende branchenführende Zertifizierungen (OSCP, CEH, GPEM, White Hacker IHK, TÜV) verfügen.

Nehmen Sie unverbindlichen Kontakt auf. Wir beraten Sie gerne!

Sandra Weis

Ihre Ansprechpartnerin

Cookie-Einstellungen ändern

Diese Website verwendet Cookies, um Ihnen die bestmögliche Benutzererfahrung zu bieten. Cookie-Informationen werden in Ihrem Browser gespeichert und führen bestimmte Funktionen aus – zum Beispiel die Wiedererkennung bei Ihrem nächsten Besuch. Diese Informationen helfen unserem Team, zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.

Hier finden Sie unsere Datenschutzerklärung.

Cookie-Einstellungen