IT-Sicherheit und Penetration Testing Erlangen

für Unternehmen und Behörden

  • Zertifizierte Mitarbeiter (OSCP, OSCE, CISSP)
  • Pentests auf Netzwerke, Web-Anwendungen & APIs
  • Durchführung gemäß BSI-Standard
Für Unternehmen aller Größen stellt Cyberkriminalität eine bedeutende Herausforderung dar. Es ist von besonderer Bedeutung, dass auch kleine und mittelständische Firmen sich ihrer Pflichten bewusst werden und entsprechende Aktionen einleiten, um ihre Daten zu schützen.
Dr. Ewan Fleischmann, Pentester

Dr. Ewan Fleischmann (Geschäftsführer) OSCP, OSCE, CISSP

Experten für Pentests und IT-Sicherheit

Beratung zu Penetrationstests für Erlangener Unternehmen

10+

Dienstleistungen

PENETRATIONSTESTS

Maßgeschneidertes ISMS

Unsere ISMS-Angebot ist speziell darauf ausgerichtet, Ihr Unternehmen sicher und konform mit den geltenden Sicherheitsstandards zu halten. Dabei berücksichtigen wir stets die spezifischen Anforderungen und Herausforderungen Ihrer Branche, um Ihnen ein ISMS zu bieten, das perfekt auf Ihr Unternehmen zugeschnitten ist.

ISO 27001

ISO ISO 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie bietet einen Rahmen zur Risikominimierung und zur Implementierung eines effektiven ISMS.

VDA/ISA TISAX®

TISAX ist ein Standard für Informationssicherheit in der Automobilindustrie. Er ermöglicht den Austausch von Bewertungsergebnissen und reduziert den Auditierungsaufwand.

VAIT/BAIT

VAIT und BAIT sind Richtlinien der BaFin, die Anforderungen an das IT-Management in Versicherungsunternehmen bzw. Banken festlegen. Sie konzentrieren sich auf Risikomanagement und IT-Sicherheit.

VdS 10000

VdS 10000 ist eine Richtlinie des VdS Schadenverhütung für kleine und mittlere Unternehmen (KMU). Sie bietet einen leicht umsetzbaren Ansatz zur Informationssicherheit.

Redlings Baseline ISMS

Das Redlings Baseline ISMS unterstützt Unternehmen beim Aufbau eines soliden Fundaments für die Informationssicherheit. Es konzentriert sich auf grundlegende und effektive Sicherheitsmaßnahmen gegen Cyberkriminalität.

Redling Industrial ISMS

Das Redling Industrial ISMS ist für industrielle Umgebungen konzipiert. Es berücksichtigt spezielle Sicherheitsanforderungen und Risiken im IOT/OT-Kontext auftreten.

Warum ein ISMS unerlässlich ist: Die größten Risiken

Ohne ein ISMS sind Unternehmen und Behörden anfälliger für Angriffe und Datenverletzungen.
Beispiel: Ein Hackerangriff führt zu einem massiven Datenleck von Kundendaten.

Die Einhaltung relevanter Datenschutz- und Sicherheitsvorschriften kann schwierig sein.
Beispiel: Ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) kann zu erheblichen Strafen führen.

Ohne klare Sicherheitsrichtlinien und -verfahren können Prozesse ineffizient und anfällig für Fehler sein.
Beispiel: Zeit- und Ressourcenverschwendung aufgrund ineffizienter Sicherheitsverfahren

Kunden und Partner könnten das Vertrauen in die Datensicherheitspraktiken des Unternehmens verlieren.
Beispiel: Kunden wechseln nach einem Datenverstoß zu einem Konkurrenten.

Das Fehlen eines systematischen Ansatzes zur Risikoidentifizierung und -bewertung kann zu unkontrollierten Risiken führen.
Beispiel: Ein nicht erkanntes Sicherheitsrisiko führt zu einem vermeidbaren Datenleck.

Ohne ISMS-Zertifizierung könnten Unternehmen potenzielle Geschäftsmöglichkeiten verlieren.
Beispiel: Ein potenzieller Kunde bevorzugt einen Mitbewerber mit nachweislicher Informationssicherheit.

Ohne ein ISMS könnten interne Sicherheitsbedrohungen übersehen werden.
Beispiel: Ein unzufriedener Mitarbeiter verursacht absichtlich einen Datenverstoß.

Ohne ein umfassendes ISMS könnten physische Sicherheitsrisiken übersehen werden.
Beispiel: Sensible Dokumente gehen verloren oder werden gestohlen, weil sie nicht ordnungsgemäß gesichert sind.

So unterstützen wir Sie

  • Zertifizierungsstandards: Unterstützung bei der Auswahl des geeigneten Zertifizierungsstandards
  • Analyse: Durchführung von Struktur-, Schutzbedarfs- und Risikoanalysen
  • Modellierung: Hilfe bei der Modellierung des Informationsverbundes
  • ISMS-Optimierung: Überprüfung und Optimierung des Informationssicherheitsmanagementsystems (ISMS)
  • Interne Audits: Durchführung interner Audits oder Sicherheitschecks
  • Dokumentation & Projektunterstützung: Überprüfung und Ergänzung der Informationssicherheitsdokumentation; Unterstützung & Coaching

Warum sollten Unternehmen regelmäßig Penetrationstests durchführen?

Sicherheitsschwachstellen bleiben unbemerkt: Um die allgemeine Sicherheit zu erhöhen und Datenschutzverletzungen zu verhindern, tragen regelmäßige Penetrationstests dazu bei, Sicherheitslücken aufzudecken und zu beseitigen.

Erhöhtes Risiko von Cyberangriffen: Ohne regelmäßige Penetrationstests ist Ihr Unternehmen anfälliger für Cyberangriffe, die zu unbefugtem Zugriff, Datendiebstahl oder Schäden führen können.

Nichteinhaltung gesetzlicher Vorschriften: Pentesting kann in einigen Branchen eine Voraussetzung für die Einhaltung gesetzlicher Vorschriften sein, deren Nichteinhaltung zu Strafen oder einem Rufschaden führen kann.

Verlust des Kundenvertrauens: Datenschutzverletzungen oder Cyberangriffe aufgrund nicht erkannter Sicherheitslücken können zu einem Verlust des Kundenvertrauens führen, was sich auf die Marke, die Kundenbindung und die allgemeine Leistung auswirken kann.

Unterbrechung des Geschäftsbetriebs: Cyberangriffe können den normalen Geschäftsbetrieb stören und zu Produktivitäts- und Umsatzeinbußen führen, insbesondere für kleine und mittlere Unternehmen.

Rufschädigung des Unternehmens: Ein Cyberangriff, der den Verlust vertraulicher Daten zur Folge hat, kann das Ansehen der Firma beeinträchtigen, Geschäftsverluste verursachen und die Akquise neuer Kunden erschweren.

Welche Arten von Pentests gibt es?

Beim Penetration Testing werden die folgenden Fokusbereiche unterschieden.

Netzwerk Penetration Testing

Netzwerk - Pentest

Bei einem Penetration Test auf ein Netzwerk werden interne oder über das Internet erreichbare Adressen oder Adressbereiche auf Anzeichen von Sicherheitsproblemen hin geprüft. Übliche Fragestellungen sind hierbei:

  • Wie weit kommt ein Angriff von extern (z.B. Internet)?
  • Falls jemand Zugriff auf eine Netzwerkdose/LAN/VoIP-Anschluss im Gebäude hat - was ist dann möglich?
  • Wie gut hält unsere Firewall einem Angriff stand? Gibt es Konfigurationslücken?
  • Was würde geschehen, wenn ein Angreifer einen Web-Server in unserer DMZ kompromittieren konnte?
Web Application Penetration Test

Penetration Testing für Webapplikationen & Web-APIs

Webapplikations-Penetrationstests bewerten die Gesamtsicherheit und potenzielle Bedrohungen, die mit Programmierfehlern, unzureichender Authentifizierung oder Autorisierung, Session-Management-Problemen und Anfälligkeiten wie XSS oder SQL-Injektionen verbunden sind. Zudem wird die damit in Zusammenhang stehende und erreichbare Infrastruktur, wie beispielsweise Web- und Datenbankserver, in den Penetrationstest einbezogen und auf mögliche Schwachstellen hin untersucht.

Cloud Pen Testing, Penetration Testing

Cloud Penetration Testing

Cloud-Anbieter wie Amazon AWS, Google Cloud Platform (GCP) und Microsoft Azure bieten eine hohe Anzahl an Services, folgen jedoch im Allgemeinen einem Modell der geteilten Verantwortung. Der Cloud-Dienstleister ist für die Sicherheit der Cloud verantwortlich. Dazu gehört die Hardware, die Backend-Infrastruktur sowie die technische Umsetzung und sichere Programmierung des Services.

Der Kunde ist muss jedoch Verantwortung für die Sicherheit in der Cloud durch richtige Konfiguration der Server und Dienste, die gewährten Berechtigungen und vieles mehr übernehmen. Oftmals ergibt sich die Gefährdung aus der unzureichenden Konfiguration dieser immer komplexer werdenden Dienstleistungen.

Cloud-Penetration Tests prüfen die Sicherheit einer Cloud-Bereitstellung. Ein solcher Pentest gibt Empfehlungen für die Verbesserung der Sicherheit der Cloud-Umgebung.

Social Engineering Penetration Tests

Social Engineering Penetration Test

Social Engineering ist eine Angriffstaktik, bei der es darum geht, sich durch Täuschung Zugang zu Informationen oder Räumlichkeiten zu verschaffen, die dann für böswillige Zwecke genutzt werden.

Das häufigste Beispiel hierfür ist der klassische Phishing-Betrug. Bei einem solchen Penetration Test verwenden die Pentester spezielle Phishing-Tools um die Verteidigungsmechanismen, Erkennungs- und Reaktionsfähigkeiten zu testen. Auch das Eindringen in die physischen Sicherheitszonen - vorbei am Security-Team - kann, beispielsweise beim Einsatz einer Hack-Box, eine große Gefahr darstellen und mit einem Penetration Test geprüft werden.

Aus offensichtlichen Gründen sind diese Art von Penetration Tests an strikte ethische Grundsätze gebunden und finden mit sehr transparenten Regeln statt.

Mobile App Pentests, Mobile App Penetrationstests

Mobile App Penetration Testing

Die Verbreitung von Mobile Apps, nimmt weiter stetig zu. Dabei werden häufig unternehmenskritische Informationen nicht nur übertragen, sondern auch direkt auf dem Mobilgerät gespeichert.

Bei einem Mobile App Penetration Test wird geprüft, ob ein Angreifer sich Zugriff auf die Unternehmens- und Nutzerdaten verschaffen kann und ob sich daraus weitere Risiken für das unternehmensinterne Netzwerk ergeben.

Client Penetration Tests, Penetrationstest

Client Penetration Test

Sind wir mal ehrlich - die meisten Angriffe auf Unternehmensnetze laufen über einen Benutzerrechner und nutzen den Dreiklang aus Outlook & Exchange & Active Directory aus.

Sicherheitslücken in systemnahmen Anwendungen wie der Softwareverteilung und fehlerhaft konfigurierte Systemdienste bieten Malware wie Ransomware hervorragende Einfallstore in das eigene Netzwerk.

Bei diesem Penetration Test geht es darum herauszufinden, was es für Möglichkeiten gibt, nachdem ein Benutzer mal falsch geklickt hat oder ein Angreifer physischen Zugriff auf einen Client erhalten hat.

Red Team Penetrationstests

Red Team

Bei einem Red Teaming wird die gesamte Verteidigung einer Umgebung getestet. Dabei nutzen die Pentester häufig auch Mittel des Social Engineerings für den initialen Zugriff zum Aufbau eines verdeckten Command-and-Control (C2)-Kanals.

Während ein normaler Penetration Test eine Analyse in der Tiefe durchführt geht Red Teaming in die Breite bei dem Versuch das abgesprochene Ziel zu erreichen. Bei einem Red Teaming wird somit insbesondere auch die Leistungsfähigkeit der eigenen IT-Umgebung hinsichtlich Incident Detection & Response geprüft.

Red Teaming richtet sich insbesondere an Unternehmen und Institutionen, die bereits einen hohen Reifegrad ihrer IT-Sicherheit erreicht haben.

Penetration Test

Individuelles Penetration Testing

Zu den hier nicht gelisteten Penetration Tests von Szenarien, Systemen und Komponenten zählen:

IT-Sicherheitsmanager Mittelstand, Herstellung und Vertrieb von Energiespeichersystemen

Pentest Webanwendungen

Ich habe kürzlich den Penetrationstest-Service für unsere Webapplikationen in Anspruch genommen und bin äußerst zufrieden mit den Ergebnissen. Das Team hat gründlich alle potenziellen Sicherheitslücken identifiziert und uns wertvolle Empfehlungen zur Behebung gegeben

IT-LeiterÖffentlicher Dienst, Stadeverwaltung in Hessen

Simulation Cyberangriff

Ich habe bei Redlings die durchführung einer Ransomware-Simulation beauftragt, um die Reaktionsfähigkeit unserer Verwaltung auf einen simulierten Angriff zu testen. Die Simulation half uns dabei, unsere Sicherheitsvorkehrungen zu verbessern und die Widerstandsfähigkeit unserer Organisation gegenüber Cyberbedrohungen zu stärken.

IT-SicherheitsbeauftragteLogistikdienstleister

Pentest Fat-Client

Der Pentest unserer Windows Fat-Client-Software deckte signifikante Schwachstellen in der Datenspeicherung, -kommunikation und Geschäftslogik auf. Der Abschlussbericht enthielt detaillierte Informationen zu den Schwachstellen, Auswirkungen, Entdeckungsmethoden und Empfehlungen. Das Team zeigte hohe Kompetenz, Zuverlässigkeit und Verständnis für solche Anwendungen.

Über 15 Jahre Erfahrung


Stellen Sie sich einen Gegner vor, der niemals schläft, niemals inne hält und stets auf der Suche nach einer einzigen Schwachstelle in Ihrem System ist. Ein Gegner, der nicht aufhört, bis er Eintritt in Ihre sensibelsten Daten gefunden hat. In der digitalen Welt ist das Risiko, diesem Gegner gegenüberzustehen, größer als je zuvor. Aber keine Sorge - Sie sind nicht allein.

Wir wissen, dass Ihre Daten Ihr wertvollstes Gut sind. Deshalb bieten wir maßgeschneiderte Lösungen, die auf den Schutz Ihrer digitalen Infrastruktur abzielen. Unsere Experten nutzen modernste Technologien und fortschrittliche Penetrationstests, um Schwachstellen zu identifizieren, bevor sie zu echten Bedrohungen werden. Unsere Mission ist es, Ihre digitalen Grenzen sicher und uneinnehmbar zu machen. Mit uns an Ihrer Seite können Sie mit Sicherheit nach vorne blicken.

Herstellerunabhängige Expertise


In einer Zeit, in der sich die digitale Landschaft rasch verändert und neue Sicherheitsrisiken an jeder Ecke lauern, brauchen Sie einen Partner, der Sie durch dieses Minenfeld führt. Sie brauchen jemanden, der nicht an bestimmte Produkte oder Lösungen gebunden ist, sondern nur an eines: den Schutz Ihrer wertvollen Daten und Systeme.

Mit unserem breiten Verständnis von IT-Sicherheitslösungen und -Technologien sind wir in der Lage, die besten Werkzeuge und Strategien auszuwählen, unabhängig von der Marke oder dem Anbieter. Wir sind hier, um Ihnen die sicherste, effizienteste und kostengünstigste Lösung zu bieten.

Was ist ein Pentest?

ÜBERBLICK

Penetration Testing (Pentests) sind simulierte Cyberangriffe bei denen Sicherheitsexperten IT-Systeme auf ausnutzbare Sicherheitslücken untersuchen, um die damit verbundenen Risiken zu bewerten.

Solche Schwachstellen entstehen entweder durch Fehler in Konfiguration oder Programmierung der eingesetzten Webanwendungen, Betriebssysteme, Systemdienste, IT-Infrastruktur, Cloud-Diensten oder auch einfach durch riskantes Verhalten von Benutzern.

Beim Pentesting wird die Perspektive eines Angreifers eingenommen und versuchet mit den gleichen Mitteln und Tools versucht die vorhandenen Sicherheitsmechanismen auszuhebeln.

Zu den Ergebnissen eines Penetrationstests gehört ein umfangreicher Bericht mit Darstellung der aufgefundenen Sicherheitsschwachstellen mit Empfehlungen zur Behebung.

Das wichtigste Ziel beim Penetration Testing sollte nicht sein zu zeigen, dass ein Unternehmen gehackt werden kann, sondern die Sichtweisen und Techniken eines realen, fortgeschrittenen Angreifers so einzubringen, dass zielgerichtete Gegen­maßnahmen kosteneffizient umgesetzt werden können.

Dr. Ewan Fleischmann, Pentester

Dr. Ewan FleischmannGründer Redlings GmbH

Schwachstellenscan vs. Penetration Testing

Schwachstellen-Scanner (engl. Vulnerability Scanner) wie Nessus, OpenVAS oder sogar Nmap sind automatisierte Tools, die eine IT-Umgebung untersuchen und nach Abschluss einen Bericht über die aufgedeckten Schwachstellen erstellen. Häufig werden die vorgefundenen Schwachstellen mit einer CVE-Kennung versehen, über die sich genauere Informationen in Erfahrung bringen lassen. Auch die Bewertung mit einem CVSS-Risikoscore (von 1=Low bis 10=Critical) wird üblicherweise mit angegeben.

Solche Security-Scanner besitzen große Datenbanken mit zehntausenden von Schwachstellen. Die Bewertungen der Schwachstellen ist pauschal und berücksichtigt, im Gegensatz zum Penetration Testing, nicht die Umstände der IT-Umgebung.

Schwachstellen und Konfigurationsfehler, die nicht in der Datenbank enthalten können nicht aufgefunden werden.

Dennoch bleibt die - gerne auch häufige - Durchführung von Schwachstellen-Scans eine vergleichsweise einfach umzusetzende und wichtige Sicherheitsmaßnahme, durch die jedes Unternehmen einen guten Einblick in die eigenen potenziellen Schwachstellen der IT-Infrastruktur erhält.

Schwachstellen-Scanner sind sehr wertvolle Werkzeuge – aber man sollte die Grenzen kennen. Sie arbeiten rein signaturbasiert, unbekannte Schwachstellen können also nicht gefunden werden. Auch werden viele Konfigurationsfehler nicht aufgedeckt.

Ein Beispiel: Durch einen Penetration Test werden beispielsweise häufig Fehler, die sich aus dem Zusammenspiel verschiedener Systemdienste entstehen und zu administrativen Rechten führen können, aufgedeckt. Ebenso werden logische Sicherheitsfehler, beispielsweise in Web-Anwendungen, üblicherweise nicht erkannt.

Dr. Ewan FleischmannGründer Redlings GmbH

Wie läuft ein Pentest ab?

Durch Penetration Testing ermitteln Sie proaktiv die ausnutzbaren Sicherheitsschwachstellen, bevor es jemand anderes tut. Penetration Tests sind strukturiert und methodisch ablaufende Projekte. Grundsätzlich unterscheiden wir dabei die folgenden Projektphasen:

1

Pentest Scoping, Planung und Vorbereitung

Zwischen Pentester und Kunde wird vorab vereinbart, welche Art von Pentest durchgeführt und welche Ziele dabei erreicht werden sollen. Üblicherweise findet kurz vor Beginn noch ein gemeinsames Kick-Off Meeting zur organisatorischen und technischen Abstimmung statt:

  • Austausch von aktuellen Kontaktinformationen
  • Bestätigung Start- und Enddatum, ggf. Testzeitfenster
  • Bestätigung des genauen Projektumfangs
  • Vorstellung des Testgegenstands
  • Bereitstellung von Informationen/Zugängen für die Tester (z.B. API-Dokumentation im Falle eines API-Tests und Zugangsinformationen)
  • Abstimmung zur Testumgebung, Vorgehensweisen und anderen Rahmenbedingungen
2

Erkundung (engl. Enumeration)

In dieser Penetration Testing Phase werden beispielsweise Informationen über Firewalls, verfügbaren Netzwerkdiensten, IP-Adressen evaluiert. Abhängig von der Art des Pentests können auch persönliche Daten wie Namen, Berufsbezeichnungen, E-Mail-Adressen, Benutzernamen und aktuelle Stellenausschreibungen aus öffentlichen Quellen gesammelt und für spätere Phasen vorgehalten werden.

3

Identifizierung und Ausnutzung von Schwachstellen

In dieser Phase des Penetration Test wird versucht in die Umgebung einzudringen, Sicherheitsschwachstellen zu identifizieren und auszunutzen und beispielsweise zu zeigen, wie tief die Pentester in das Netzwerk eindringen können. Nach erfolgreicher Ausnutzung einer Schwachstelle findet üblicherweise wieder eine weitere Erkundung statt um die nun neu vorgefundenen Möglichkeiten für die nächsten Schritte des Penetration Test zu prüfen.

4

Bericht und Analyse der Ergebnisse

Die Ergebnisse des Penetration Test werden in einem Bericht zusammengetragen. Darin ist enthalten:

  • Executive Summary als Kurzfassung der Resultate des Penetration Test mit Einschätzung des Gesamtrisikos
  • Darstellung der Rahmenparameter, des Vorgehensmodells und des Testgegenstandes
  • eine Liste und Darstellung der durch das Penetration Testing Projekt aufgedeckten Sicherheitsprobleme mit Einschätzung des Risikos sowie Vorschlägen zur Abhilfe
  • eine detaillierte Dokumentation des Pentests, wie die aufgedeckten Sicherheitslücken konkret und Schritt für Schritt ausgenutzt werden konnten.

5

Abschlussgespräch / Closing Meeting

Die Ergebnisse des Penetration Test werden in einem Abschlussgespräch vorgestellt. Dabei stehen die Pentester persönlich für konkrete Fragen in einem gemeinsamen Rahmen zur Verfügung.

6

Schließung von Sicherheitslücken

Es sollten die notwendigen Korrekturen vorgenommen werden, um die durch den Penetration Test aufgezeigten Lücken zu schließen.

7

Nachtest

Der beste Weg, um sicherzustellen, dass die durchgeführten Korrekturmaßnahmen wirksam sind, ist ein erneuter Penetration Test.

Auch wenn der Ablauf eines Penetration Tests methodisch und strukturiert ist, bleibt für den erfahrenen Pentester genug Freiraum, um Schwachstellen mit nicht-linearen Ansätzen aufzuspüren und auszunutzen. Gutes Penetration Testing zeichnet sich aus genau der richtigen Mischung aus methodischem Vorgehen, leistungsfähigen Tools, einem Blick für den Business-Use-Case, Erfahrung, und einem kreativen Ausnutzen des Wissens um aktuelle Angriffstaktiken aus.

Dr. Ewan FleischmannGründer Redlings GmbH

zertifiziert und erfahren

Qualifikationen unserer Pentester

Lassen Sie sich kostenlos beraten!

Prüfen Sie mit einem Penetrationstest welchen Schaden Hacker bei Ihnen anrichten können.

Als Pentester und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Erlangen, Deutschland, Europa und weltweit durchführen.

So erreichen Sie uns

  • Redlings Erlangen
    91056 Erlangen
  • (0800) 40 40 776
  • vertrieb@redlings.com
  • Werktags von 8 Uhr - 18 Uhr
  • In Notfällen 24/7

Häufige Fragen zu Pentests und Informationssicherheitsmanagementsystemen (ISMS)

Was ist ein Penetrationstest?

Ein Penetrationstest, kurz "Pentest", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.

Was bedeutet ISMS?

ISMS steht für Information Security Management System. Es handelt sich dabei um ein strukturiertes und systematisches Vorgehen, um die Informationssicherheit in einer Organisation zu managen. Ein ISMS umfasst nicht nur Technologie und technische Maßnahmen, sondern auch Aspekte wie Organisationsstrukturen, Policies, Prozesse und Menschen. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in der Organisation zu gewährleisten. Ein ISMS folgt in der Regel einem iterativen Prozess auf der Grundlage eines risikobasierten Ansatzes. Dies umfasst:

1 Bewertung der Risiken: Hierbei werden die Bedrohungen und Schwachstellen, die die Informationen in der Organisation gefährden könnten, identifiziert und bewertet. Dies kann auch eine Bewertung der möglichen Auswirkungen eines Sicherheitsvorfalls umfassen.
2 Implementierung von Maßnahmen: Basierend auf der Risikobewertung werden geeignete Sicherheitskontrollen implementiert, um die identifizierten Risiken zu behandeln. Dies kann physische Kontrollen, technische Kontrollen oder administrative Kontrollen umfassen.
3 Überwachung und Überprüfung: Die Effektivität der implementierten Kontrollen wird regelmäßig überwacht und überprüft. Dies kann durch interne Audits, Überprüfungen und andere Methoden erfolgen.
4 Kontinuierliche Verbesserung: Basierend auf den Ergebnissen der Überwachung und Überprüfung werden Verbesserungen am ISMS und an den Sicherheitsmaßnahmen vorgenommen.

Ein ISMS sollte in die Gesamtstrategie und -ziele einer Organisation eingebettet sein, um sicherzustellen, dass die Informationssicherheit im Einklang mit den Geschäftszielen steht. Es sollte auch eine Verpflichtung des Managements zur Informationssicherheit und eine klare Kommunikation der Sicherheitspolitik an alle Mitarbeiter geben.

Was ist ein White-Box Test?

Bei einem White-Box-Test erhält der Pentester alle relevanten Informationen über das oder die Zielsystem(e). Der Vorteil ist, dass dieses Vorgehen Zeit – und damit Kosten – spart. Auch generell gilt, dass White-Box-Tests bei der Verbesserung der Sicherheit von IT-Systemen effektiver sind und üblicherweise bevorzugt werden sollten.
Allgemein gilt, dass Black-Box-Tests ein geeignetes Mittel sein können um Sicherheitsprobleme gegenüber einer Spezifikation (z.B. einer Web-API Schnittstelle) aufzudecken, jedoch nur sehr wenig geeignet sind um Fehler innerhalb von bestimmten Komponenten zu identifizieren. Im letzteren Falls sollten White-Box-Tests das bevorzugte Mittel sein.

Was ist der Unterschied zwischen einem Penetration Test und einem Schwachstellen-Scan?

Sowohl Penetrationstests als auch automatisierte Schwachstellenscans sind nützliche Werkzeuge zum Erkennen von technischen Risiken und Sicherheitslücken. Obwohl es sich um unterschiedliche Testmethoden handelt, ergänzen sie sich und sollten beide durchgeführt werden.

Ein Schwachstellen-Scan ist eine automatisierte, kostengünstige Methode zum Testen gängiger Netzwerk- und Server-Schwachstellen. Dies wird manchmal auch als automatisierter Pen-Test bezeichnet. Es gibt viele automatisierte Tools, und die meisten lassen sich vom Endbenutzer leicht so konfigurieren, dass sie zeitgesteuert nach veröffentlichten Schwachstellen scannen. Ein automatisierter Schwachstellen-Scan ist zwar sehr effizient und kostengünstig, wenn es darum geht, allgemeine Schwachstellen wie fehlende Patches, Fehlkonfigurationen von Diensten und andere bekannte Schwachstellen zu identifizieren, aber sie sind nicht so genau, wenn es darum geht, die Richtigkeit von Schwachstellen zu überprüfen, und sie bestimmen auch nicht vollständig die Auswirkungen durch Ausnutzung. Automatisierte Scanner sind anfälliger für die Meldung von False Positives (falsch gemeldete Schwachstellen) und False Negatives (nicht identifizierte Schwachstellen, insbesondere solche, die Webanwendungen betreffen). Automatisiertes Schwachstellen-Scanning wird durch den Payment Card Industry Data Security Standard (PCI DSS) vorgeschrieben.
Bekannte Schwachstellen-Scanner sind beispielweise und OpenVAS. Beispiele für Scanner, welche auf das Finden von Schwachstellen von Webapplikationen spezialisiert sind Netsparker Security Scanner und Acunetix Vulnerability Scanner.

Ein Penetrationstest konzentriert sich auf die Umgebung als Ganzes. In vielerlei Hinsicht knüpft er dort an, wo die Scanner aufhören, um eine umfassende Analyse der gesamten Sicherheitslage zu liefern. Obwohl Skripte und Tools von einem Penetrationstester eingesetzt werden, ist ihre Verwendung weitgehend auf Erkundungsaktivitäten beschränkt. Der Großteil eines Penetrationstests ist von Natur aus manuell. Ein Penetrationstest identifiziert Schwachstellen, die Scanner nicht erkennen können, wie z. B. Schwachstellen in drahtlosen Systemen, Schwachstellen in Webanwendungen und noch nicht veröffentlichte Schwachstellen. Darüber hinaus beinhaltet ein Penetrationstest Versuche, Schwachstellen sicher auszunutzen, Privilegien zu erweitern und letztendlich zu demonstrieren, wie ein Angreifer Zugang zu sensiblen Informationsbeständen erlangen könnte. Bei Penetrationstests werden häufig auch unternehmensspezifische "Testszenarien" angewendet.

Penetrationstests und automatisierte Schwachstellen-Scans erfüllen beide einen Zweck und beide Arten von Tests gehören in ein umfassendes Programm zur Schwachstellenbewertung. Automatisierte Schwachstellen-Scans sollten in regelmäßigen Abständen, idealerweise mindestens wöchentlich, durchgeführt werden, während Penetrationstests für das Netzwerk vierteljährlich oder bei geplanten signifikanten Änderungen an der Umgebung geplant werden sollten.

Wie viel kostet ein Penetrationtest?

Wie bei jeder Unternehmensdienstleistung variieren auch die Kosten für einen Penetrationstests in Abhängigkeit von mehreren Faktoren erheblich.

Scoping-Details wie Netzwerk-IP-Adressen, Komplexität und Anzahl der (Web-)Anwendungen und Mitarbeiter für Social Engineering sind Schlüsselfaktoren zur Bestimmung der Projektgröße. Unter Berücksichtigung dieser Variablen arbeitet unser Team sorgfältig daran, die Details des Umfangs mit den Sicherheitsanforderungen Ihrer Organisation abzustimmen.

Dennoch lassen sich einige Erfahrungswerte, die als erste Anhaltspunkte dienen können, nennen. Ein hochwertiger, professioneller und von Experten durchgeführter Pentest kostet üblicherweise ab etwa €8.000, kann aber bei großen Projekten auch deutlich über diesem Betrag liegen.

Redlings bietet auch Rabatte für Mehrjahresverträge an ("Continuous-Pentesting"), um sicherzustellen, dass Ihr Unternehmen einen beständigen Pentesting-Partner hat und das Sicherheitsbudget weiter strecken kann.

Wie bereite ich mich auf einen Pentest vor?

Das kann – je nach Art des Pentests – verschieden sein. Häufig sind die Folgenden Punkte aber Teil des Scopes bzw. der gemeinsam getroffenen Vereinbarung:

- Zielsysteme (IP/Hostname) oder IP-Adressräume
- Testzeiträume sowie Ansprechpartner

Cloud-Provider wie AWS, Azure und Google haben für bestimmte Bereiche pauschale Einverständniserklärungen gegeben, jedoch kann dies je nach Provider unterschiedlich sein. Grundsätzlich muss eine solche vorliegen, falls die zu testenden System nicht auf eigener Infrastruktur liegen. Häufig ist es sinnvoll die betroffenen Systemverantwortlichen frühzeitig in den Planungsprozess mit einzubinden damit der „Pentest“ nicht als Angriff sondern als Potentialanalyse zur Verbesserung der IT-Sicherheit wahrgenommen wird. Um ehrlich zu sein, uns geht es auch nicht darum zu zeigen, dass wir ein Unternehmen hacken können, sondern in einer kollaborativen Arbeitsatmosphäre Verbesserungspotentiale der IT-Landschaft aufzudecken, Maßnahmen abzuleiten und zu priorisieren und so effektiv und effizient wie möglich die IT-Sicherheit zu verbessern.

Inwiefern unterscheidet sich ein Schwachstellen-Scan von einem Penetrationstest?

Im Gegensatz zu Penetrationstests wird bei der Schwachstellenbewertung nicht im Detail ermittelt, ob die Schwachstelle tatsächlich ausgenutzt werden kann oder welche Auswirkungen sie hat. Ein Vulnerability Scan nutzt normalerweise automatisierten Schwachstellen-Scanner wie Nessus oder auch Nmap. Die Schwachstellen-Scanner decken nur Standardszenarien ab und berücksichtigen nicht die Besonderheiten der jeweiligen IT-Infrastruktur.

Vulnerability Scans sind daher eher ein erster Schritt in der technischen Analyse von Schwachstellen als ein vollständiger Prozess zur Absicherung von Systemen. Sie werden auch oft als Teil eines Sicherheitsaudits oder als einer der ersten Schritte bei Penetrationstests eingesetzt. In allen Fällen geht der Penetrationstest weiter und untersucht die entdeckten Schwachstellen im Detail.

Der Pentester versucht, die Schwachstellen auszunutzen und die sich daraus ergebenden Möglichkeiten für den Angreifer zu bewerten. Dies hilft, die Auswirkungen einer Schwachstelle zu bestimmen. Aufgrund der manuellen Natur eines Penetrationstests und der Kreativität des Pentesters sind die Chancen, schwerwiegende Schwachstellen zu finden, bei professionell durchgeführten Penetrationstests wesentlich höher als bei standardisierten Vulnerability Scans.

Was müssen wir vor einem Pentest bereitstellen?

Zu Beginn des Prozesses versuchen wir, uns mit Ihrem Unternehmen und dem Arbeitsumfang vertraut zu machen, damit wir in der Lage sind, ein genaues Angebot zu erstellen. Wir sammeln diese Informationen absichtlich, damit wir nicht zurückkommen und um mehr Testzeit (und zusätzliche Kosten) bitten. Je mehr Informationen Sie bereit sind, uns mitzuteilen, desto besser können wir eine Einschätzung abgeben.

Manche Kunden wünschen jedoch einen Blackbox-Ansatz, bei dem nur wenige Informationen zur Verfügung gestellt werden, um einen realen Angriff und die Reaktion darauf zu simulieren. In diesem Fall müssen wir immer noch die Größe/Komplexität erfassen, die für das Testen erforderlich ist, und haben daher einige grundlegende Fragen zum Umfang.

Wie lange dauert ein Pentest?

Ähnlich wie bei den Kosten, hängt die Dauer von Penetrationstests von mehreren Faktoren ab. Penetrationstests sind eine praktische Bewertung, die sich nicht für kurze, schnelle Sprints eignet. Bei Redlings neigen wir dazu, Pentestingprojekte ab etwa einer Woche beginnen zu lassen, aber viele Projekte können sich auch über einen deutlich längeren Zeitraum erstrecken.

Wie viel von Redlings Penetrationstests ist automatisiert, wie viel ist manuell?

Eine Frage, die nicht oft genug gestellt wird, ist, wie viel von den Tests automatisiert und wie viel manuell ist. Automatisierte Tools, insbesondere zu Beginn eines Projektes, können einem Pentester viel Zeit sparen und der Einsatz ist auch abhängig von Projekt zu Projekt. Erfahrungsgemäß sind jedoch ca. 90-95% des Pentets "Handarbeit".

Das soll nicht heißen, dass automatisierte Schwachstellen-Scanner keinen Mehrwert bieten; Schwachstellen-Scans sind schnelle und einfache Tools, die regelmäßig eingesetzt werden sollten, um fehlende Patches oder veraltete Software in größeren Umgebungen zu identifizieren.

Warum Redlings?

Penetration Testing LL
Ein vertrauenswürdiger Partner

Transparente Vorgehensweise

Erfahrene und zertifizierte Berater

Eingehende Bedrohungsanalyse

Ein tiefes Verständnis der Arbeitsweise von Hackern

Durchführung von Pentests nach anerkannten Regeln der Technik (BSI, PTES, OWASP, PCI DSS, OSSTMM, NIST)

Ihr Ansprechpartner

Dr. Ewan Fleischmann

Gründer, Geschäftsführer

  • Seit über 15 Jahren in der IT-Sicherheit
  • Beratung von Mittelstand, DAX-Unternehmen und Finanzinstituten
  • Doktorarbeit Kryptographie mit 15+ internationalen Publikationen in der IT-Sicherheit
  • SANS Advisory Board Member
  • 20+ Zertifikate, darunter CISSP, OSCP, OSCE

Experten für Pentests und IT-Sicherheit

Beratung zu Penetrationstests für Erlangener Unternehmen

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.