Penetration tests
For more IT security in companies

Penetrationtest
  • Is your company already sufficiently protected against hackers?
  • Are you looking for professional support in finding security vulnerabilities?
  • Should a suitable penetration test be carried out for your company?
Penetrationtest
  • Is your company already sufficiently protected against hackers?
  • Are you looking for professional support in finding security vulnerabilities?
  • Should a suitable penetration test be carried out for your company?
"I am convinced that there are only two types of companies: those that have been hacked and those that will be. "

Robert Mueller, former FBI director

What is a penetration test?

Penetrationstests

Als Penetrationtest oder Pentest wird das gezielte Eindringen in das Netzwerk oder System eines Unternehmens durch einen IT-Spezialisten bezeichnet. Die Durchführung einer Reihe von Maßnahmen soll interne und externe Schwachstellen identifizieren. Dadurch werden Hacker abgehalten, Zugriff auf Ihre IT zu erhalten.

Durch die Simulation eines echten Angriffsversuchs kommen die vorhandenen Sicherheitslücken klar zum Vorschein. Außerdem wird durch das veranlasste White Hacking das bestehende Gefährdungspotential für das Unternehmen deutlich. Der simulierte Angriff auf das System zeigt auf, welches Verbesserungspotential für Ihre IT-Sicherheit möglich ist. Konkrete Sicherungsmaßnahmen werden so erkannt und angewendet.

Ein Penetrationstest bzw. Penetration Hacking muss von IT-Spezialisten mit Erfahrung durchgeführt werden. Damit werden alle Lücken im Sicherheitsnetzwerk herausgestellt und das Risiko eines echten, erfolgreichen Hackerangriffs ausgeschlossen.

What a penetrationtest can do

Ein Penetrationstest ist kein allgemeiner Angriffsversuch. Vielmehr ist dieser auf das zu testende System individualisiert worden. Ein so abgestimmter Pentest nutzt die erkannten Schwachstellen komplett aus. Damit wird deutlich, welche konkreten Daten gefährdet sind. Der mögliche Schaden durch einen Hackerangriff wird erkannt.

Das Gefährdungspotential wird in einem Abschlussbericht protokolliert und zusammengestellt. Dort wird gezeigt, welche Angriffsversuche Wirkung hatten. Weiterhin kommen die bereits gesicherten Stellen des Systems zum Vorschein. Als wichtigste Informationen dienen die, durch den Penetrationstest erkannten, Schwachstellen. Es werden konkrete Handlungsempfehlungen für das Schließen der jeweiligen Sicherheitslücken bereitgestellt.

Penetrationstests gehen manchmal über die technische Seite hinaus. Eine der größten Schwachstellen im Unternehmen sind deren Angestellte. Mit sog. Social Engineering-Methoden werden Mitarbeiter geprüft und die menschlichen Schwachstellen identifiziert. Denn auch mit diesem Vorgehen kann ein Hacker Zugriff auf das System erhalten. Dies kann unabhängig geschehen, egal welche technischen Sicherheitsmaßnahmen zuvor ergriffen wurden.

Penetrationtest Augsburg
Robert Ehlert

Robert Ehlert

Viele Unternehmen entscheiden sich für die Durchführung mehrerer unterschiedlicher Penetrationstests. Dadurch wird die Infrastruktur möglichst komplett vor Angriffen geschützt. Gerne prüfen wir Ihre Systeme auf Herz und Nieren.

 Be part of it! 

What are the reasons for a pentest?

Check infrastructure

Investitionen in eine sichere IT-Infrastruktur und geschultes Personal sind leider keine Garantie dafür, dass ein Hackerangriff problemlos überstanden wird. Mit einem Pentest lässt sich im Rahmen eines simulierten Angriffs die tatsächliche Sicherheit erkennen. Zudem kann auf die potentielle Gefährdung reagiert werden.

Fulfilling legal obligations

Unternehmen haben, besonders die Geschäftsführung, eine direkte Verantwortung, für eine angemessene IT-Sicherheit zu sorgen. Im schlimmsten Fall kann ein Versäumnis zu einer persönlichen Haftung führen. Penetrationstests sind geeignete Maßnahmen, das Unternehmen technisch abzusichern. Das Risiko eines Hacks wird minimiert und der gesetzlichen Verantwortung nachgekommen.

Detect threats

IT-Systeme werden immer komplexer, wodurch die Anforderungen an die Sicherheitsmaßnahmen stetig steigen. Kriminelle suchen beständig nach Schwächen, die sie zu ihrem Vorteil nutzen können. Durch Pentests kommen die Schwächen des Systems schon vor einem Hacker-Angriff ans Tageslicht. Folglich ist Ihr Unternehmen keine leichte Beute für Kriminelle.

Protect your image

If a hacker attack has taken place, not only the internal damage has to be taken care of. Because hacker attacks often end up in the headlines of daily newspapers. This leads to an enormous loss of trust towards customers, partners and the public. Such a loss of reputation can be avoided by a penetration test.

Data protection

Every company must pay close attention to protecting the sensitive data of employees, customers or its own products. Data theft does not only lead to financial damage. Legal regulations, such as the GDPR, make companies liable if collected data is not adequately protected. Penetration tests identify deficiencies in data protection.

Perform risk management

Pentests simulieren Worst Case Szenarien, wodurch Risiken erkannt werden und realistisch einzuordnen sind. Durch ein gezielteres Risikomanagement wird die Planung und die Budgetierung vereinfacht. Es kann strukturiert den Gefahren entgegen getreten werden.

„Unternehmen stecken Millionen von Dollar in Firewalls. Sie verschwenden ihr Geld, da das schwächste Glied der Sicherheitskette nicht berücksichtigt wird: Die Anwender und Systemadministratoren.“

Kevin Mitnick, computer security consultant

Penetrationtesting: The different approaches

There are different approaches that can be simulated in a penetration test. The HOW depends significantly on the information available to a hacker in the run-up to an attack attempt. Accordingly, a distinction is made between three approaches: Black Box, Grey Box and White Box.

Black Box

Das realistischste Szenario wird als Black Box Pentest bezeichnet. Der White Hacker verfügt im Rahmen dieses Pentests über keinerlei Vorkenntnisse von der IT-Infrastruktur. Er muss sich, wie ein echter Hacker, im System selbst zurecht finden. Er findet die Schwachstellen aufgrund seiner Angriffsversuche heraus.

Bei einem solchen Pentest Hacking kann es passieren, dass Sicherheitslücken unentdeckt bleiben. Oftmals kann nicht die komplette Infrastruktur im vorgegebenen Testzeitraum bearbeitet werden.

Grey Box

Im Grey Box Pentest Szenario sind dem Pentester einige, notwendige Informationen bekannt. Weiterhin werden die zu testenden Bereiche vorgegeben. Andere Bereiche des Systems werden gar nicht betrachtet.

This is the most common scenario in a penetration test. Without knowledge of the entire system, certain targets are systematically attacked.

In order to successfully implement this pentest approach, all areas of the system should be progressively reviewed.

White Box

Noch effektiver und spezieller ist das White Box Pentest Szenario. Dem Penetrationstester werden alle erforderlichen Informationen über die IT-Infrastruktur mitgeteilt. Das umfasst die volle Kenntnis über Server, Anwendungen, Betriebssysteme oder welche Ports geöffnet sind bzw. sein sollten.

In contrast to the Black Box Pentest, this variant is rather unrealistic, although much more effective. The test can be carried out quickly and thoroughly with the appropriate attack methods.

Penetration testing: The right positioning

In a penetration test, the location or WO from which the targeted attack attempt is to take place is decisive. The positioning decides about the chosen attack methods. A distinction is made between external and internal pentests.

Cyber Security Breach Hacking Laptop

External penetrationtests

External vulnerabilities are used to attempt to gain access to the internal system network. Furthermore, e-mails, web pages or data releases can represent ways to access the internal data.

A common variant is the collection of company information. This can be done through open ports, vulnerabilities or user information.

The external penetrationtest reaches its goal with the access to the system. Then an internal pentest can follow.

Internet Cyber Security

Internal penetrationtests

Ein Angreifer hat die Sicherheitsbarrieren umgangen hat oder ein Insider besitzt bereits Zugang zum Unternehmen. Nun geht es darum, welche internen Angriffspunkte vorliegen.

Dabei stellt sich die Frage, was der Hacker mit seinem Zugang anstellen kann. Beispiele hierfür wären der Wechsel zwischen den Netzwerken. Weiterhin kann das Abfangen interner Kommunikation simuliert werden.

Ein interner Penetrationstest ist abgeschlossen, sobald ein Administrationszugriff besteht. Damit wurde die Kontrolle über die wichtigsten Informationen des Unternehmens übernommen.

„Sicherheitssysteme müssen immer gewinnen. Der Angreifer hingegen muss es nur einmal.“

Kevin Mitnick, computer security consultant

Types of penetrationtests

A pentest can look very different. In addition to the different approaches and positioning, the type of penetration test is also important. The question arises, WHAT should be tested. 

IT infrastructure penetrationtest

The focus is on checking vulnerabilities of servers, firewalls and VPN accesses

Penetrationtesting for applications

In this scenario, web applications such as web shops and mobile apps are tested. Special focus is placed on functionality, process flow and security controls.

Social engeneering

Pentesters try to access confidential information by manipulating employees. Techniques such as phishing e-mails and telephone calls are used. But a targeted approach cannot be ruled out either.

Physical penetrationtest

Physical barriers such as door locks, sensors and cameras are tested here. Pentesters check whether unauthorized access to important areas such as server rooms is possible.

WLAN Penetrationstest

A company's WLAN networks are checked for weaknesses in configuration, encryption procedures and passwords.

Configuration penetrationtest

This type of test aims to check the current configuration of various system components. It helps to ensure that the current and future infrastructure is in line with industry best practices.

The procedure for a pentest

Um das beste Ergebnis zu erzielen, wird jeder Penetrationstest durch ein konkretes Vorgehen unterstützt. Alle relevanten Abläufe werden im Vorfeld klar definiert. Unser Plan umfasst 7-Schritte. Für Sie als Kunde führt dieses Vorgehen zum besten Ergebnis. Um einen ersten Überblick zu erhalten, können Sie sich an unserem 7-Punkte-Plan orientieren.

Before the test

1. Define the scope of the project

Im Vorfeld eines Pentests werden Bedingungen und Ziele festgelegt. Zunächst einmal müssen sich Auftraggeber und Dienstleister auf die Art des Penetrationstests einigen. Es muss klar sein, welcher Teil des Systems oder ob das komplette Netzwerk getestet werden soll. Die Positionierung und der gewählte Ansatz wird danach definiert. 

A pentest can cause delays in day-to-day business. Therefore it is important to choose the test period. 

In addition, the customer must create backups for his systems in advance. Alternatively, an equivalent test system can be selected for implementation. 

2. Provide important information

Je nach gewählten Ansatz müssen einige Informationen vor Beginn des Tests zur Verfügung stehen. Bei einem Black Box Test ist keinerlei Vorabinformation notwendig. Der Pentester, wie auch ein realer Hacker, muss im realistischsten Fall ohne Kenntnisse über die interne IT agieren.

Bei einem Grey Box Test bedarf es einiger spezifischer Informationen. Es wird nur ein bestimmter Teil des Systems überprüft.

Die meisten Informationen und die aufwändigste Vorarbeit fällt bei einem White Box Test an. Der Tester benötigt eine vollkommene Kenntnisse über die IT-Infrastruktur.

During the test

3. Perform vulnerability analysis

In the first phase, during a pentration test, the white hacker attempts to identify initial vulnerabilities in the network, system or application. 

In order to gain access to the internal network, other means such as e-mails, websites or data sharing are also possible. But also publicly accessible information (Open Source Intelligence) is checked. For example, whether passwords of the company have already been leaked.

4. Exploit security gaps

Zunächst schließt der Pentester die Schwachstellenanalyse ab. Über entdeckte Sicherheitslücken wird sich Zugang zum System verschafft. 

If the unauthorized access has succeeded in passing the security barriers, it depends on the previously made agreements. The penetration tester can try to access other connected systems or intercept the internal communication. 

Ein Pentester hat i.d.R. sein Ziel erreicht, sobald dieser über Administrationsrechte verfügt. Er ist somit im Besitz eines Zugangs zu allen Informationen des Unternehmes.

After the test

5. Remove traces

Nach Abschluss des Penetrationstests müssen alle Spuren des Tests beseitigt werden. Alle eingesetzten Skripte und Spuren der Pentester werden entfernt. Hiermit werden die Systeme keiner unnötigen Gefahren ausgesetzt.

6. Create the report

All steps of the test are documented in detail. The aim is to provide the customer with an easily understandable, clear insight into the procedure and the results. The following points must be included in the report:

  • All current vulnerabilities and associated risks
  • Which attacks were successful and which data could be captured
  • Proof of Concept (PoC): Evidence of successful attacks and instructions on how to reenact them.
  • Recommended steps to close the vulnerabilities 

7. Final discussion & evaluation

In einem abschließenden Gespräch können Kunden nochmals Fragen stellen. Alle Unklarheiten werden aus dem Weg geräumt. Häufig bieten die Dienstleister auch Unterstützung beim Ausbessern der gefundenen Schwachstellen an.

Conclusion on penetrationtests

A Penetrationtest is an optimal procedure for uncovering weak points in IT security and taking appropriate countermeasures. Thus you are protected against hacker attacks at the right time. By choosing suitable tests and the right service provider, you are on the safe side.

Pentests sollten als fester Bestandteil im IT-Sicherheitskonzept eines Unternehmens regelmäßig durchgeführt werden. Externe Partner können effektiver die IT und Ihre Systeme überprüfen. Der Grund ist, dass die eigene IT-Abteilung zu vertraut mit dem internen System ist. Schnell werden Kleinigkeiten übersehen, die zu gravierenden Schäden führen können.

In addition, a penetration test should be performed by an expert. Qualified White hackers can better understand the thinking of criminal hackers. They see security barriers and systems as a kind of challenge. Through experience and competent action, even the smallest security vulnerability will be detected.

Often companies see such tests as an unnecessary investment to protect their systems and data. However, the decisive advantage is overlooked.

We apply best security practices that companies can incorporate into their processes - whether it's taking stock of IT, programming or evaluating information. This win-win situation makes a penetration test profitable and increases the ROI.

Arrange a free consultation appointment now for a penetrationtest
Your contact person
Robert Ehlert
Robert Ehlert


Your contact for penetration tests. Let us arrange an appointment for you.

ADDRESS
new direction Cyber Security GmbH
Piechlerstraße 3-5
86356 Neusäß
Germany

Phone
+49 (0) 821 5 43 70-00

E-Mail
info@ndcybersecurity.de

en_USEnglish
de_DEDeutsch en_USEnglish