Penetrationstests als simulierte Angriffe mit Mitteln und Techniken, die auch Angreifer verwenden würden, liefern eine wertvolle Grundlage zur Einschätzung und Verbesserung der Sicherheit von IT-Systemen und Netzwerken. So werden z.B. aus Sicht eines Außentäters Server mit allen darauf laufenden und von extern erreichbaren Webanwendungen Untersuchungen und Angriffen unterzogen, um mögliche Schwachstellen zu finden, eventuell auszunutzen und letztlich zu melden. Aus Sicht eines möglichen Innentäters kann ein Penetrationstester z.B. überprüfen, wie weit der Zugriff ausgehend von einem regulären Büroanschluss reicht und ob möglicherweise Schwachstellen in Systemen unberechtigten Zugriff auf geschützte Datenbereiche erlauben.
Ziele sind:
Unsere Pentests folgen dem Rahmenmodell des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (für weitere Informationen siehe die Studie - Durchführungskonzept für Penetrationstests) und gliedern sich grob in fünf Phasen.
Die Phasen 1 (Vorbereitung), 3 (Bewertung der Informationen / Risikoanalyse) und 5 (Abschlussanalyse) laufen in intensiver Zusammenarbeit zwischen Auftraggeber und Penetrationstester ab. In Phase 2 (Informationsbeschaffung und -auswertung) beginnt DigiTrace mit dem konkreten Pentest und führt in Phase 4 (Aktive Eindringversuche) aktive Tests durch. In Phase 3 kommen dann beide Seiten wieder zusammen und gleichen die Ergebnisse ab. Der Auftraggeber ergänzt bei Bedarf die vorliegenden Erkenntnisse und im gemeinsamen Dialog wird definiert, welche Systeme in welchem Aggressivitätslevel auf das Vorhandensein von Schwachstellen und deren Ausnutzbarkeit zu testen sind.
Maßnahmen der Informationsbeschaffung sind u.a.:
Maßnahmen der aktiven Eindringversuche sind u.a.:
Gefundene kritische Schwachstellen und sonstige kritische Probleme teilen wir unseren Auftraggebern sofort nach Erkennen per Mail und / oder Telefon mit. Darüber hinaus gehört zu jedem Penetrationstest die Erstellung einer Dokumentation, in der die Befunde der durchgeführten Arbeitsschritte für den Auftraggeber nachvollziehbar gemacht werden. Es handelt sich dabei um eine Auflistung der Ergebnisse der Informationsbeschaffung einschließlich Findings-Report, in dem jede erkannte Schwachstelle einer Klassifikation (unkritisch bis kritisch) zugewiesen ist und Empfehlungen zur Behebung ausgesprochen werden.
Unser Team führt seit knapp 10 Jahren regelmäßig Penetrationstests für Unternehmen jeder Größe (KMU bis Großkonzern) durch. Ein Schwerpunkt liegt dabei auf der Untersuchung von Webanwendungen, wir testen jedoch auch IT-Netzwerke, Appliances / Embedded Systems und "klassische" Anwendungen. Für die regelmäßige Überprüfung von Webanwendungen verwenden wir ein umfangreiches, selbst entwickeltes System, das individuell für die jeweilige Anwendung erstellte Testpfade automatisiert durchläuft und so manuelle Tests effizient ergänzt.
Kontaktieren Sie uns für eine unverbindliche Erstberatung!