Die meisten Unternehmen konzentrieren sich bei Sicherheitsmaßnahmen ausschließlich auf reaktive Maßnahmen wie zum Beispiel das Aktualisieren von Software und den Austausch veralteter Hardware. Wie gut das Unternehmen durch getroffene Sicherheitsvorkehrungen im Ernstfall bei einem Cyberangriff geschützt ist, wissen aber die wenigsten. Der beste Weg, das Niveau der Cyber-Sicherheit (Cybersecurity) festzustellen, ist die Simulation eines realen Angriffs auf IT-Systeme oder Netzwerke durch einen IT-Security Test im Rahmen der sogenannten Penetrations-Tests.
Wir bieten Ihnen aussagekräftige und umfangreiche Penetrations-Tests (PenTest) für Ihre IT-Infrastruktur an:
Externer Penetrations-Test
Zweck des externen Penetrations-Tests ist die Simulation eines Angriffs aus dem öffentlichen Internet. Im Rahmen dieses Auftrags sollen alle vom Internet aus zugänglichen IT-Komponenten, über die Angriffe auf das Netzwerk Ihres Unternehmens ausgeübt werden könnten, identifiziert und analysiert werden. Dabei wird mittels automatisierter und manueller Tools die Wirksamkeit Ihrer Schutzmechanismen, z. B. Ihrer Firewalls und Intrusion-Prevention-Systeme, überprüft.
Der externe Penetrations-Tests ist ausdrücklich auf von außen zugängliche Geräte des betreffenden Unternehmens beschränkt. Er bezieht sich im Wesentlichen auf die OSI-Schichten 4 (Transportschicht) und 6 (Darstellungsschicht), umfasst aber auch Open-Source-Intelligence-Tätigkeiten (OSINT). Ziel ist es, sensible Daten zu identifizieren – etwa zugänglich gewordene Zugriffsschlüssel für Cloud Umgebungen, durch Datenschutzverletzungen zugänglich gewordene Daten, Informationen aus öffentlichen Datenbeständen usw. –, die für Angriffe genutzt werden könnten. Auf Servern gehostete Anwendungen werden nur am Rande geprüft. Deren Prüfung erfolgt im Rahmen des Webanwendungstests.
Alle wichtigen Informationen zum externen Penetrationstest
Wenn Sie mehr über externe Penetrationstests erfahren möchten, kontaktieren Sie uns doch gerne.
Interner Penetrations-Test
Der interne Penetrations-Tests simuliert einen Angriff, der von innerhalb der Sicherheitszone des Unternehmens aus durchgeführt wird. Dabei werden die Auswirkungen eines Angriffs durch einen Insider, etwa einen verärgerten Mitarbeiter, analysiert. Der Prozess ist stets auf die Anforderungen des Kunden abgestimmt, umfasst jedoch in der Regel die Identifizierung von Schwachstellen bei Instanzen sowie die Exfiltration von geschäftskritischen Daten.
Der interne Penetrations-Tests zielt auf den Angriff der verbundenen Instanzen im Netzwerk des betreffenden Unternehmens. Er bezieht sich im Wesentlichen auf die OSI-Schichten 3 (Netzwerkschicht) bis 7 (Anwendungsschicht), umfasst aber auch Angriffe auf Schicht 2 (Sicherungsschicht), sofern unser Testteam direkten Zugang zu einem Gerät vor Ort hat. Auf Wunsch des Kunden kann ein Segmentationstest gemäß PCI DSS durchgeführt werden. Zudem können Analysen auf der Grundlage eines „Assumed Compromise”-Szenarios durchgeführt werden. Diese dienen der Überprüfung von Active-Directory-Konfigurationen, indem sie eine bereits erfolgte unbefugte Eskalation der Zugangsrechte oder Lateral-Movement-Angriffe innerhalb der Unternehmensumgebung simulieren. Zweck des internen Penetrationstests ist es, sensible Daten zu identifizieren, die sich als Ziel von Angriffen anbieten.
Alle wichtigen Informationen zum internen Penetrationstest
Wenn Sie mehr über interne Penetrationstests erfahren möchten, kontaktieren Sie uns doch gerne.
Penetrations-Test für Active Directory
Active Directory ist ein Verzeichnisdienst, der von Microsoft für das Windows-Domänennetzwerk entwickelt wurde. Innerhalb von IT-Infrastrukturen von Unternehmen wird der Dienst meist zur Verwaltung von Benutzern und Computern mit einem einzigen Kontrollpunkt, dem „Domänen-Controller“, verwendet. Über 90 % der umsatzstärksten Unternehmen der Welt setzen beim wirksamen Management ihrer Ressourcen auf Active Directory. Bei einem Penetrationstest für Active Directory in einer Windows-Umgebung wird ein Angriff per Zugang zum Unternehmensnetzwerk simuliert. Dieser Zugang kann physisch oder über einen infizierten Arbeitsplatzrechner erfolgen. Vorrangig geht es darum, anfällige Assets in der Sicherheitszone des Unternehmens zu finden und Vorschläge zur Optimierung der Sicherheit von Active Directory zu machen. Das Ziel des Penetrations-Tests für Active Directory ist die Identifizierung von Schwachstellen im internen Unternehmensnetzwerk.
Dieser Penetrationstest wird über Remote-VPN innerhalb des betreffenden Unternehmens durchgeführt. Ziel ist in der Regel die Identifizierung und Klassifizierung von Bedrohungen und Schwachstellen im internen Netzwerk, die auf einen bereits bestehenden Zugang zum Unternehmensnetzwerk, beispielsweise durch einen Mitarbeiter, Auftragnehmer oder Gast, zurückzuführen sind. Der Umfang beinhaltet Sicherheitsprüfungen, die dazu dienen, negative Auswirkungen auf die Produktionsumgebung des Unternehmens zu begrenzen.
Alle wichtigen Informationen zum Penetrationstests für Active Directory
Penetrations-Test für Webanwendungen
Ziel des Penetrations-Tests für Webanwendungen ist, das Schutzkonzept von Webanwendungen zu analysieren, indem Schwachstellen in Design und Implementierung identifiziert und geprüft werden. Dabei wird mittels automatisierter und manueller Tools die Wirksamkeit der Schutzmechanismen, z. B. der Firewalls der Webanwendungen (Web Application Firewalls, WAF), überprüft.
Im Rahmen des Penetrations-Tests für Webanwendungen werden Anwendungen analysiert und manipuliert. Dabei kommen verschiedene Mittel und Techniken zum Einsatz, wie sie auch von echten Angreifern genutzt werden. Vorgegangen wird nach der OWASP-Methode und dem OWASP-Leitfaden. Die Tests können sowohl authentifiziert als auch nicht authentifiziert durchgeführt werden. In beiden Szenarien versucht unser Testteam eine Eskalation der Zugangsrechte, um sich Zugang zu zugangsbeschränkten Daten zu verschaffen. In bestimmten Fällen kann der Test auch auf die den Webanwendungen zugrundeliegende Infrastruktur zielen, um die Hosting-Instanz zu stärken und das interne Netzwerk zu optimieren. Zwar werden auch automatisierte Scans durchgeführt, der Großteil des Auftrags wird jedoch manuell mittels kundenspezifischer Payloads zur Funktionsanalyse und Defence Evasion ausgeführt.
Alle wichtigen Informationen zum Penetrationstests für Webanwendungen
Penetrations-Test für Application Programming Interfaces (APIs)
Mit Penetrations-Tests für Application Programming Interfaces (APIs) wird das Sicherheitskonzept von Umgebungen, die APIs nutzen und die Übertragung von Daten erfordern, überprüft. Im Rahmen des Auftrags wird die Anwendungslogik untergraben, sodass sensible Daten durch den Zugang zu zugangsbeschränkten Funktionen und Zugangsebenen offengelegt werden. Für den Test werden überwiegend manuelle Techniken der Enumeration und Exploitation im Einklang mit dem OWASP API Testing Guide angewandt.
Mit dem Penetrations-Tests für APIs wird das Gesamtrisiko für die API-Kommunikation analysiert, indem umfassende Informationen zur Anwendungslogik gewonnen werden und auf Grundlage dieser Informationen das Verhalten der Anwendung manipuliert wird. Geprüft werden verschiedene Plattformen, von klassischen REST- und SOAP-basierten APIS bis hin zu GraphQL und kundenspezifischen Implementierungen. Zugunsten einer tiefgehenden, umfassenden Analyse ist eine Dokumentation mit API-Funktion- und Beispielaufrufen erforderlich.
Alle wichtigen Informationen zum Penetrationstest für APIs
Wenn Sie mehr über Penetrationstests für APIs erfahren möchten, kontaktieren Sie uns doch gerne.
Schwachstellenanalyse
Die Schwachstellenanalyse zielt auf die Identifizierung, Klassifikation und Priorisierung von Schwachstellen in Netzwerken, Datenbanken und Anwendungen. Dieser Auftrag ist umfangreicher und komplexer als einfache Scans, da er auch individuelle Tests auf Non-Compliance und Fehlkonfigurationen für die Instanzen der Umgebung des Kunden umfasst. Auf der Grundlage der gewonnenen Informationen werden die Schwachstellen nach ihrem Kontext klassifiziert und anhand bewährter, branchenüblicher Verfahren des Risikomanagements priorisiert.
Bei Schwachstellenanalyse werden Schwachstellen identifiziert und dokumentiert. Dabei wird auf einen aktiven Exploit verzichtet. Vielmehr liegt der Fokus auf passiven und aktiven Scanning-Methoden, mittels derer Schwachstellen in den betreffenden Netzwerken und Systemen aufgezeigt werden. Der aktive Exploit erfolgt im Rahmen des Penetrationstests. Informationen zu einer möglichen Validierung der identifizierten Elemente finden sich in diesem Dokument im Abschnitt zu unseren Penetrationstests.
Alle wichtigen Informationen zu der Schwachstellenanalyse
Wenn Sie mehr über die Schwachstellenanalyse erfahren möchten, kontaktieren Sie uns doch gerne.
Penetrations-Test für mobile Anwendungen
Mit dem Penetrations-Tests Application Programming Interfaces (APIs) für mobile Anwendungen ist die Identifizierung von Sicherheitslücken in den mobilen Android- und iOS-Anwendungen des Kunden möglich. Wir prüfen die Sicherheit der Anwendungen mittels statischer und dynamischer Analyse im Einklang mit dem Prüfleitfaden von Open Web Application Security Project (OWASP).
Penetrations-Tests für mobile Anwendungen zielen darauf, Anwendungen zu dekompilieren und herauszufinden, wie sie geschrieben sind, wie sie mit der Geräteplattform interagieren, wie sie mit serverseitigen Systemen kommunizieren und wie sicher sie in die Umgebung des Kunden und seines Unternehmens integriert sind. Dabei wird auch analysiert, welche Netzwerkprotokolle genutzt werden, wird eine Log-Analyse durchgeführt und werden die vorhandenen Verfahren der Verschlüsselung und Datenspeicherung untersucht.
Alle wichtigen Informationen zum Penetrationstest für mobile Anwendungen
Penetrations-Test für Cloud Umgebungen
Der Penetrations-Tests für Cloud Umgebungen zielt auf Schwachstellen in Design, Deployment und Konfiguration von Umgebungen, die in der Cloud gehostet werden. Dabei machen wir Gebrauch von zahlreichen Tools, Techniken und Verfahren, mittels derer die Sicherheit im Unternehmen von sowohl extern als auch intern beleuchtet wird. Angreifer machen sich häufig Fehlkonfigurationen und mangelhafte Zugangskonzepte zunutze. Wir klären unsere Kunden über die Risiken auf und schlagen Maßnahmen zu Verbesserung der Sicherheit und Compliance der Kundenumgebung vor.
Mit dem Penetrations-Tests für Cloud Umgebungen möchten wir unseren Kunden dabei helfen, Sicherheitslücken zu schließen, indem Schwachstellen im gesamten Deployment identifiziert werden. Bei der Bewertung der Infrastruktur kommen sowohl automatisierte als auch manuelle Methoden zum Einsatz.
Alle wichtigen Informationen zum Penetrationstest für Cloud Umgebungen
Kontaktieren Sie uns jetzt, wir beantworten Ihre Fragen rund ums Thema IT-Sicherheit, IT-Infrastruktur und IT-Support.[/qodef_call_to_action]