whitelisthackers whitelisthackers

Ein Produktpenetrationstest, auch Product Pentest genannt, ist im Wesentlichen der Manipulationsversuch an einem in sich geschlossenen System, das einen Prozessor, Mikrokontroller oder eine digitale Schnittstelle besitzt. Dazu gehören unter anderem IoT-Geräte, Embedded Devices, Industriegeräte, Fahrzeuge (bzw. deren Komponenten) jeglicher Art sowie medizinische Geräte und deren Firmware. Bei unserem Product Pentest versuchen wir, risikoorientiert Zugriff auf sensible Daten oder Funktionen zu erhalten oder die Funktionalität Ihres Produkts zu manipulieren. Wir stellen das aktuelle Sicherheitsniveau fest, decken Schwachstellen auf, untersuchen Ihre digitalen Supply-Chain-Risiken, geben Handlungsempfehlungen zur Verbesserung der Produktsicherheit und bewerten diese nach Aufwand und Dringlichkeit.

Ihr Mehrwert

In einer zunehmend vernetzten Welt werden immer mehr computergestützte Produkte entwickelt, hergestellt und betrieben. Als Anbieter oder Hersteller dieser Produkte ist die Beachtung von „Security by Design“ unerlässlich. Wir unterstützen Sie mit unserem Produktpenetrationstest in den Phasen Design, Entwicklung und Produktion sowie während des Inverkehrbringens und der Nutzung. Wir etablieren gemeinsam mit Ihnen risikoangemessene Cybersecurity-Maßnahmen. Wir decken Schwachstellen auf und dokumentieren diese, um den regulatorischen Anforderungen beispielsweise des Cyber Resilience Act innerhalb der Lieferkette gerecht zu werden. Dies ermöglicht Ihnen, systematisch Ihre Produktsicherheit zu verbessern, Ihr Intellectual Property zu schützen und Reputationsschäden zu vermeiden.

Vorgehensweise

  1. Vorbereitung

    Wir besprechen wesentliche Kriterien wie Typ und Ziel des Produktpenetrationstests sowie organisatorische Maßnahmen mit Ihnen: Um welche Produkte oder Solutions geht es? Wie sollen sie betrachtet werden? Wer ist unsere Ansprechperson? Wollen Sie die Komponente als Ganzes oder nur die Firmware überprüfen lassen? Liegt das Augenmerkt auf der Prüfung der Verfügbarkeit von Produkten oder ist es Ihnen wichtig, den Schutz Ihres geistigen Eigentums besser einschätzen zu können? Wollen Sie mehr über potenzielle Schwachstellen in den von Ihnen genutzten, vertriebenen oder hergestellten Komponenten erfahren? Diese und weitere Fragen entscheiden über das grundsätzliche Vorgehen, Black- oder Whitebox-Test und die Aggressivität der Methoden. Ziel ist, die Grundlagen eines erfolgreichen Audits zu schaffen.

  2. Informationsbeschaffung

    Wir sammeln relevante Daten, um verwertbare Erkenntnisse zu gewinnen. Während dieser Phase informieren wir uns über das zu analysierende Produkt: Welche Funktionen bietet es? In welchem Umfeld und wie bzw. wozu wird es genutzt? Welche Schnittstellen sind verfügbar und wie sind diese abgesichert? Welches Betriebssystem bzw. welche Firmware nutzt das Produkt und in welchen Programmiersprachen wurde es entwickelt?
    Dazu kann es nach Absprache sinnvoll sein, ein Produkt physisch zu untersuchen bzw. zu demontieren. Um sich auf den Angriff vorzubereiten, interagieren unsere Analyst:innen mit dem Zielsystem und definieren die Angriffsvektoren. Ebenso versuchen wir, Details über verwendete Technologien, Libraries und Versionsnummern zu erfassen. So gewinnen wir unter Umständen auch Informationen über Supply-Chain-Schwachstellen.

  3. Analyse

    Aufbauend auf den so gewonnenen Erkenntnissen über Ihr Produkt nutzen wir verschiedene Methoden, um weitere Details zu ermitteln. Dies können z. B. veraltete Versionsstände, vorhandene Schwachstellen, konzeptionelle Fehler oder unsichere Betriebsmöglichkeiten sein. Aber auch hartkodierte Nutzer-Accounts oder Backdoors werden von uns gesucht. Bei diesem Vorgehen versuchen wir, immer weiter in Ihr Produkt einzudringen und Möglichkeiten zu finden, die auch von Cyberkriminellen sowohl zur Störung der Verfügbarkeit, zum Abgriff von Daten oder Ihres geistigen Eigentums als auch zur Manipulation genutzt werden können. Dazu bewerten und priorisieren wir jeden der gefundenen Ansatzpunkte und versuchen, Probleme zu entdecken, die Sie als Hersteller und Integrator, aber auch Ihre Kunden betreffen könnten. Wir werten alle neuen Informationen des Produkts aus und suchen damit weiter nach problematischen Eigenschaften. Wie tief wir dabei durch Iteration der zuvor erläuterten Schritte in Ihre Systeme vordringen, hängt von Ihren Zielen und Wünschen ab.

  4. Reporting

    Sie erhalten eine ausführliche Dokumentation inklusive Management Summary, welche alle Erkenntnisse detailliert zusammenfasst sowie jede Schwachstelle ausführlich beschreibt, nach ihrem Gefahrenpotenzial gewichtet und mit einem entsprechenden Vorschlag für ihre Behebung ausweist. Dies ermöglicht es Ihnen, die Schwachstellen zu reproduzieren und nachzuvollziehen.

  5. Cleaning

    Nach Abschluss des Auftrags entfernen unsere Analyst:innen alle Code Snippets, Skripte, Tools, Testdaten und andere Geräte, die bei dem „Angriff“ eingesetzt wurden, sodass sie später bei einem realen Angriff von Dritten nicht mehr verwendet werden können. Sollte das eigenständige Aufräumen nicht möglich sein, informieren wir Sie anhand einer genauen Anleitung, wie Sie verbliebene Artefakte selbst entfernen können.

Was sollten Sie sonst noch wissen?

Ablauf und Klassifikation

Die Sicherheitsüberprüfung wird im Wesentlichen nach der Empfehlung bzw. Studie „Durchführungskonzept für Penetrationstests“, herausgegeben vom BSI, durchgeführt. Des Weiteren führen wir den Test gemäß diverser Standards und Frameworks wie der IEC 62443, des Penetration Testing Execution Standards (PTES), der Open Source Security Testing Methodology (OSSTMM), MITRE ATT&CK und des Open Web Application Security Projects durch. Zusätzlich werden Schwachstellenrankings wie OWASP TOP 10, SANS 25 und Schwachstellendatenbanken (CVE – Common Vulnerabilities and Exposure) berücksichtigt.
Insbesondere berücksichtigen wir in unserem Produktpenetrationstest die aktuellen Anforderungen des Cyber Resilience Acts der Europäischen Union .
Unsere Standards gewährleisten eine strukturierte Vorgehensweise, die eine effiziente und zielgerichtete Durchführung des Tests erleichtert bzw. sicherstellt. Dabei nutzen wir eine eigens entwickelte verteilte Testplattform. Diese ermöglicht beispielsweise eine zentrale Datenhaltung bei einem Penetrationstest in komplexen Netzwerkumgebungen sowie die parallele Testdurchführung zur Effizienzsteigerung.

Arten von Penetrationstests

Blackbox Test

Wir erhalten keine Informationen über Ihr Produkt und simulieren einen echten Hackerangriff einschließlich der Informationssammlung.

Greybox Test

Wir erhalten ausgewählte Informationen über Ihr Produkt, indem wir erweiterte Informationen zu dessen Betrieb, Nutzung oder Einsatz erhalten. Dazu gehören beispielsweise nicht öffentliche Dokumentationen oder (verschlüsselte) Firmware. Wir handeln als Innentäter:innen oder Mitarbeitende.

Whitebox Test

Wir erhalten umfassende Informationen über das Zielprodukt einschließlich Quellcodes und Admin-Zugriff und handeln als Insider:innen oder Angreifende mit umfassenden Informationen.

Anwendungsspezifischer Test

Bei diesem Test wird ein definiertes Feature des Produkts oder eine konkrete Anwendung in einem Einsatzgebiet getestet.

Sorgfaltspflicht

Unsere Sicherheitsexpert:innen achten darauf, Ihren Produkten und Systemen keinen Schaden zuzufügen, sofern nicht anders abgesprochen. Oberstes Ziel ist, Ihre Geschäftsabläufe während und nach der Sicherheitsanalyse nicht zu stören.

Qualifikationen

Die Prüfhandlungen werden von ethischen Hackern durchgeführt, die über entsprechende branchenführende Zertifizierungen (OSCP, CEH, GPEN, White Hacker IHK, TÜV) verfügen.

Nehmen Sie unverbindlichen Kontakt auf. Wir beraten Sie gerne!

Sandra Weis

Ihre Ansprechpartnerin

Cookie-Einstellungen ändern

Diese Website verwendet Cookies, um Ihnen die bestmögliche Benutzererfahrung zu bieten. Cookie-Informationen werden in Ihrem Browser gespeichert und führen bestimmte Funktionen aus – zum Beispiel die Wiedererkennung bei Ihrem nächsten Besuch. Diese Informationen helfen unserem Team, zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.

Hier finden Sie unsere Datenschutzerklärung.

Cookie-Einstellungen