Penetrationstests
Für mehr IT-Sicherheit im Unternehmen

Penetrationstest
  • Ist Ihr Unternehmen bereits vor Hackern ausreichend geschützt?
  • Suchen Sie professionelle Unterstützung beim Auffinden von Sicherheitslücken?
  • Soll ein geeigneter Penetrationstest für Ihr Unternehmen durchgeführt werden?
Penetrationstest
  • Ist Ihr Unternehmen bereits vor Hackern ausreichend geschützt?
  • Suchen Sie professionelle Unterstützung beim Auffinden von Sicherheitslücken?
  • Soll ein geeigneter Penetrationstest für Ihr Unternehmen durchgeführt werden?
„Es gibt zwei Arten von Unternehmen: Solche, die schon gehackt wurden, und solche, die es noch werden.“

Robert Mueller, ehemaliger FBI-Direktor

Was ist ein Penetrationstest?

Penetrationstests

Als Penetrationstest oder Pentest wird das gezielte Eindringen in das Netzwerk oder System eines Unternehmens durch einen IT-Spezialisten bezeichnet. Die Durchführung einer Reihe von Maßnahmen soll interne und externe Schwachstellen identifizieren. Dadurch werden Hacker abgehalten, Zugriff auf Ihre IT zu erhalten.

Durch die Simulation eines echten Angriffsversuchs kommen die vorhandenen Sicherheitslücken klar zum Vorschein. Außerdem wird durch das veranlasste White Hacking das bestehende Gefährdungspotential für das Unternehmen deutlich. Der simulierte Angriff auf das System zeigt auf, welches Verbesserungspotential für Ihre IT-Sicherheit möglich ist. Konkrete Sicherungsmaßnahmen werden so erkannt und angewendet.

Ein Penetrationstest bzw. Penetration Hacking muss von IT-Spezialisten mit Erfahrung durchgeführt werden. Damit werden alle Lücken im Sicherheitsnetzwerk herausgestellt und das Risiko eines echten, erfolgreichen Hackerangriffs ausgeschlossen.

Was ein Penetrationstest leisten kann

Ein Penetrationstest ist kein allgemeiner Angriffsversuch. Vielmehr ist dieser auf das zu testende System individualisiert worden. Ein so abgestimmter Pentest nutzt die erkannten Schwachstellen komplett aus. Damit wird deutlich, welche konkreten Daten gefährdet sind. Der mögliche Schaden durch einen Hackerangriff wird erkannt.

Das Gefährdungspotential wird in einem Abschlussbericht protokolliert und zusammengestellt. Dort wird gezeigt, welche Angriffsversuche Wirkung hatten. Weiterhin kommen die bereits gesicherten Stellen des Systems zum Vorschein. Als wichtigste Informationen dienen die, durch den Penetrationstest erkannten, Schwachstellen. Es werden konkrete Handlungsempfehlungen für das Schließen der jeweiligen Sicherheitslücken bereitgestellt.

Penetrationstests gehen manchmal über die technische Seite hinaus. Eine der größten Schwachstellen im Unternehmen sind deren Angestellte. Mit sog. Social Engineering-Methoden werden Mitarbeiter geprüft und die menschlichen Schwachstellen identifiziert. Denn auch mit diesem Vorgehen kann ein Hacker Zugriff auf das System erhalten. Dies kann unabhängig geschehen, egal welche technischen Sicherheitsmaßnahmen zuvor ergriffen wurden.

Penetrationtest Augsburg
Robert Ehlert

Robert Ehlert

Viele Unternehmen entscheiden sich für die Durchführung mehrerer unterschiedlicher Penetrationstests. Dadurch wird die Infrastruktur möglichst komplett vor Angriffen geschützt. Gerne prüfen wir Ihre Systeme auf Herz und Nieren.

 Seien auch Sie dabei! 

Welche Gründe sprechen für einen Pentest?

Infrastruktur prüfen

Investitionen in eine sichere IT-Infrastruktur und geschultes Personal sind leider keine Garantie dafür, dass ein Hackerangriff problemlos überstanden wird. Mit einem Pentest lässt sich im Rahmen eines simulierten Angriffs die tatsächliche Sicherheit erkennen. Zudem kann auf die potentielle Gefährdung reagiert werden.

Gesetzliche Pflichten erfüllen

Unternehmen haben, besonders die Geschäftsführung, eine direkte Verantwortung, für eine angemessene IT-Sicherheit zu sorgen. Im schlimmsten Fall kann ein Versäumnis zu einer persönlichen Haftung führen. Penetrationstests sind geeignete Maßnahmen, das Unternehmen technisch abzusichern. Das Risiko eines Hacks wird minimiert und der gesetzlichen Verantwortung nachgekommen.

Bedrohungen erkennen

IT-Systeme werden immer komplexer, wodurch die Anforderungen an die Sicherheitsmaßnahmen stetig steigen. Kriminelle suchen beständig nach Schwächen, die sie zu ihrem Vorteil nutzen können. Durch Pentests kommen die Schwächen des Systems schon vor einem Hacker-Angriff ans Tageslicht. Folglich ist Ihr Unternehmen keine leichte Beute für Kriminelle.

Gesicht wahren

Ist ein Hackerangriff geschehen, muss sich nicht nur um den internen Schaden sorgen gemacht werden. Denn oft landen Hackerangriffe in den Headlines der Tageszeitungen. Das führt gegenüber Kunden, Partnern und der Öffentlichkeit zu einem enormen Vertrauensverlust. Durch einen Penetrationstest kann ein solcher Reputationsverlust vermieden werden.

Datenschutz einhalten

Jedes Unternehmen muss genau auf den Schutz der sensiblen Daten von Mitarbeitern, Kunden oder den eigenen Produkten achten. Ein Datendiebstahl führt nicht nur zu einem finanziellen Schaden. Gesetzliche Vorschriften, wie die DSGVO, machen Unternehmen haftbar, wenn gesammelte Daten nicht ausreichend geschützt werden. Penetrationstests identifizieren Mängel im Datenschutz.

Risikomanagement durchführen

Pentests simulieren Worst Case Szenarien, wodurch Risiken erkannt werden und realistisch einzuordnen sind. Durch ein gezielteres Risikomanagement wird die Planung und die Budgetierung vereinfacht. Es kann strukturiert den Gefahren entgegen getreten werden.

„Unternehmen stecken Millionen von Dollar in Firewalls. Sie verschwenden ihr Geld, da das schwächste Glied der Sicherheitskette nicht berücksichtigt wird: Die Anwender und Systemadministratoren.“

Kevin Mitnick, berühmter Hacker

Penetrationstest: Die verschiedenen Ansätze

Es gibt verschiedene Ansätze, die bei einem Penetrationstest simuliert werden können. Das WIE hängt maßgeblich von den Informationen ab, die einem Hacker im Vorfeld eines Angriffsversuchs zur Verfügung stehen. Demnach wird zwischen drei Ansätzen unterschieden: Black Box, Grey Box und White Box.

Black Box

Das realistischste Szenario wird als Black Box Pentest bezeichnet. Der White Hacker verfügt im Rahmen dieses Pentests über keinerlei Vorkenntnisse von der IT-Infrastruktur. Er muss sich, wie ein echter Hacker, im System selbst zurecht finden. Er findet die Schwachstellen aufgrund seiner Angriffsversuche heraus.

Bei einem solchen Pentest Hacking kann es passieren, dass Sicherheitslücken unentdeckt bleiben. Oftmals kann nicht die komplette Infrastruktur im vorgegebenen Testzeitraum bearbeitet werden.

Grey Box

Im Grey Box Pentest Szenario sind dem Pentester einige, notwendige Informationen bekannt. Weiterhin werden die zu testenden Bereiche vorgegeben. Andere Bereiche des Systems werden gar nicht betrachtet.

Dies ist das am häufigsten vorkommende Szenario im Rahmen eines Penetrationstests. Ohne Kenntnisse über das gesamte System werden bestimmte Ziele systematisch angegriffen.

Um diesen Ansatz des Pentests erfolgreich umzusetzen, sollten nach und nach alle Bereiche des Systems überprüft werden.

White Box

Noch effektiver und spezieller ist das White Box Pentest Szenario. Dem Penetrationstester werden alle erforderlichen Informationen über die IT-Infrastruktur mitgeteilt. Das umfasst die volle Kenntnis über Server, Anwendungen, Betriebssysteme oder welche Ports geöffnet sind bzw. sein sollten.

Im Gegensatz zum Black Box Pentest ist diese Variante eher unrealistisch, wenngleich deutlich effektiver. Der Test kann schnell und gründlich mit den passenden Angriffsmethoden durchgeführt werden.

Penetrationstest: Die richtige Positionierung

Bei einem Penetrationstest ist der Ort oder das WO entscheidend, von welchem aus der gezielte Angriffsversuch stattfinden soll. Die Positionierung entscheidet über die gewählten Angriffsmethoden. Es wird zwischen externen und internen Pentests unterschieden.

Cyber Security Breach Hacking Laptop

Externe Penetrationstests

Über externe Schwachstellen wird versucht, Zugang zum internen Systemnetzwerk herzustellen. Weiterhin können E-Mails, Webseiten oder Datenfreigaben Wege darstellen, auf die internen Daten zuzugreifen.

Eine häufige Variante stellt die Sammlung von Unternehmensinformationen dar. Dies kann über offene Ports, Sicherheitslücken oder Nutzerinformationen geschehen.

Der externe Penetrationstest erreicht mit dem Zugang zum System sein Ziel. Anschließend kann ein interner Pentest folgen.

Internet Cyber Security

Interne Penetrationstests

Ein Angreifer hat die Sicherheitsbarrieren umgangen hat oder ein Insider besitzt bereits Zugang zum Unternehmen. Nun geht es darum, welche internen Angriffspunkte vorliegen.

Dabei stellt sich die Frage, was der Hacker mit seinem Zugang anstellen kann. Beispiele hierfür wären der Wechsel zwischen den Netzwerken. Weiterhin kann das Abfangen interner Kommunikation simuliert werden.

Ein interner Penetrationstest ist abgeschlossen, sobald ein Administrationszugriff besteht. Damit wurde die Kontrolle über die wichtigsten Informationen des Unternehmens übernommen.

„Sicherheitssysteme müssen immer gewinnen. Der Angreifer hingegen muss es nur einmal.“

Kevin Mitnick, berühmter Hacker

Arten von Penetrationstests

Ein Pentest kann ganz unterschiedlich aussehen. Neben den verschiedenen Ansätzen und Positionierungen kommt es ebenso auf die Art des Penetrationstests an. Es stellt sich die Frage, WAS getestet werden soll. 

IT-Infrastruktur-Penetrationstest

Der Fokus liegt auf der Überprüfung von Schwachstellen der Server, Firewalls und VPN-Zugänge

Penetrationstest für Applikationen

In diesem Szenario werden Webapplikationen wie Webshops und auch mobile Apps getestet. Besonderer Fokus liegt dabei auf Funktionalität, Prozessfluss und Sicherheitskontrollen.

Social Engeneering

Pentester versuchen, durch Manipulation der Mitarbeiter auf vertrauliche Informationen zuzugreifen. Techniken wie zum Beispiel Phishing-E-Mails und Telefonanrufe kommen dabei zum Einsatz. Aber auch eine gezielte Ansprache ist nicht auszuschließen.

Physischer Penetrationstest

Hier werden physische Barrieren wie Türschlösser, Sensoren und Kameras einem Test unterzogen. Pentester prüfen, ob unautorisierter Zugang zu wichtigen Bereichen wie Serverräumen möglich ist.

WLAN Penetrationstest

WLAN-Netze eines Unternehmens werden auf Schwachstellen in der Konfiguration, dem Verschlüsselungsverfahren und den Passwörtern überprüft.

Konfigurations Penetrationstest

Diese Art von Test zielt darauf ab, die aktuelle Konfiguration verschiedener Systemkomponenten zu überprüfen. Es trägt dazu bei sicherzustellen, dass die aktuelle und zukünftige Infrastruktur im Einklang mit den branchenüblichen Best Practices steht.

Das Vorgehen bei einem Pentest

Um das beste Ergebnis zu erzielen, wird jeder Penetrationstest durch ein konkretes Vorgehen unterstützt. Alle relevanten Abläufe werden im Vorfeld klar definiert. Unser Plan umfasst 7-Schritte. Für Sie als Kunde führt dieses Vorgehen zum besten Ergebnis. Um einen ersten Überblick zu erhalten, können Sie sich an unserem 7-Punkte-Plan orientieren.

Vor dem Test

1. Projektumfang festlegen

Im Vorfeld eines Pentests werden Bedingungen und Ziele festgelegt. Zunächst einmal müssen sich Auftraggeber und Dienstleister auf die Art des Penetrationstests einigen. Es muss klar sein, welcher Teil des Systems oder ob das komplette Netzwerk getestet werden soll. Die Positionierung und der gewählte Ansatz wird danach definiert. 

Bei einem Pentest kann es zu Verzögerungen im Tagesgeschäft kommen. Deshalb ist Auswahl des Testzeitraums wichtig. 

Darüber hinaus muss der Kunde im Vorfeld Backups für seine Systeme erstellen. Alternativ kann ein gleichwertiges Testsystem für die Durchführung ausgewählt werden. 

2. Wichtige Informationen bereitstellen

Je nach gewählten Ansatz müssen einige Informationen vor Beginn des Tests zur Verfügung stehen. Bei einem Black Box Test ist keinerlei Vorabinformation notwendig. Der Pentester, wie auch ein realer Hacker, muss im realistischsten Fall ohne Kenntnisse über die interne IT agieren.

Bei einem Grey Box Test bedarf es einiger spezifischer Informationen. Es wird nur ein bestimmter Teil des Systems überprüft.

Die meisten Informationen und die aufwändigste Vorarbeit fällt bei einem White Box Test an. Der Tester benötigt eine vollkommene Kenntnisse über die IT-Infrastruktur.

Während des Tests

3. Schwachstellenanalyse durchführen

In der ersten Phase während eines Pentrationstests versucht der White Hacker erste Schwachstellen im Netzwerk, System oder einer Applikation zu identifizieren. 

Um Zugang auf das interne Netzwerk zu erhalten, sind auch andere Wege wie E-Mails, Webseiten oder Datenfreigaben möglich. Aber auch öffentlich zugängliche Informationen (Open Source Intelligence) werden überprüft. Beispielsweise ob bereits Passwörter des Unternehmens geleakt wurden.

4. Sicherheitslücken ausnutzen

Zunächst schließt der Pentester die Schwachstellenanalyse ab. Über entdeckte Sicherheitslücken wird sich Zugang zum System verschafft. 

Ist der unautorisierte Zutritt an den Sicherheitsbarrieren vorbei gelungen, kommt es auf die zuvor getroffenen Vereinbarungen an. Der Penetrationstester kann versuchen, auf weitere, verbundene Systeme zuzugreifen oder die interne Kommunikation abzufangen. 

Ein Pentester hat i.d.R. sein Ziel erreicht, sobald dieser über Administrationsrechte verfügt. Er ist somit im Besitz eines Zugangs zu allen Informationen des Unternehmes.

Nach dem Test

5. Spuren beseitigen

Nach Abschluss des Penetrationstests müssen alle Spuren des Tests beseitigt werden. Alle eingesetzten Skripte und Spuren der Pentester werden entfernt. Hiermit werden die Systeme keiner unnötigen Gefahren ausgesetzt.

6. Bericht erstellen

Alle Schritte des Tests werden ausführlich dokumentiert. Ziel ist es, dem Kunden einen leicht verständlichen, übersichtlichen Einblick in das Vorgehen und den Ergebnissen bereitzustellen. Folgende Punkte müssen im Bericht vorhanden sein:

  • Alle momentanen Schwachstellen und die damit verbundenen Risiken
  • Welche Angriffe erfolgreich waren und welche Daten erbeutet werden konnten
  • Proof of Concept (PoC): Beweise für erfolgreiche Angriffe und eine Anleitung zum Nachstellen eben dieser
  • Empfohlene Schritte zur Schließung der Sicherheitslücken 

7. Abschlussgespräch & Auswertung

In einem abschließenden Gespräch können Kunden nochmals Fragen stellen. Alle Unklarheiten werden aus dem Weg geräumt. Häufig bieten die Dienstleister auch Unterstützung beim Ausbessern der gefundenen Schwachstellen an.

Fazit zu Penetrationstests

Ein Penetrationstest stellt ein optimales Vorgehen dar, um Schwachstellen in der IT-Sicherheit aufzudecken und geeignete Gegenmaßnahmen zu ergreifen. Dadurch sind Sie rechzeitig vor Hackerangriffen geschützt. Durch die Wahl von geeigneten Tests und des richtigen Dienstleisters sind Sie auf der sicheren Seite.

Pentests sollten als fester Bestandteil im IT-Sicherheitskonzept eines Unternehmens regelmäßig durchgeführt werden. Externe Partner können effektiver die IT und Ihre Systeme überprüfen. Der Grund ist, dass die eigene IT-Abteilung zu vertraut mit dem internen System ist. Schnell werden Kleinigkeiten übersehen, die zu gravierenden Schäden führen können.

Außerdem sollte ein Penetrationstest von einem Experten durchgeführt werden. Qualifizierte White Hacker können sich besser in die Denkweise von kriminellen Hackern hinein versetzen. Sie sehen Sicherheitsbarrieren und Systeme als eine Art Herausforderung. Durch Erfahrung und kompetentes Vorgehen wird jede noch so kleine Sicherheitslücke erkannt.

Häufig sehen Unternehmen solche Tests als unnötige Investition an, um Ihre Systeme und Daten zu schützen. Jedoch wird der entscheidende Vorteil übersehen.

Wir wenden beste Sicherheitspraktiken an, die Unternehmen in ihre Prozesse übernehmen können – sei es bei der Bestandsaufnahme der IT, dem Programmieren oder der Auswertung von Informationen. Diese Win-Win-Situation macht einen Penetrationstest profitabel und erhöht den ROI.

Jetzt kostenfreien Beratungstermin für einen Penetrationstest vereinbaren
Ihr Ansprechpartner
Robert Ehlert
Robert Ehlert


Ihr Ansprechpartner für Penetrationstests. Lassen Sie uns einen Termin vereinbaren.

ADRESSE
new direction Cyber Security GmbH
Piechlerstraße 3-5
86356 Neusäß
Deutschland

TELEFON
+49 (0) 821 5 43 70-00

E-Mail
info@ndcybersecurity.de

de_DEDeutsch
en_USEnglish de_DEDeutsch