Direkt zum Inhalt

Penetrationstest

Unsere Leistungen

Unter Penetrationstests versteht man simulierte Angriffe auf Netzwerke, Anwendungen, Schnittstellen oder Geräte - also ohne Schaden zu verursachen. Im Gegensatz zu echten Angriffen, dienen unsere Attacken dazu, ihre Infrastruktur auf Schwachstellen zu testen.

Diese Methode erlaubt das Identifizieren von Schwachstellen, sodass wir aufzeigen können wo Sicherheitslücken sind und wie diese behoben werden können. Dabei gehen wir risikobasiert vor: zunächst werden Schwachstellen in der über das Internet verfügbaren Infrastruktur aufgedeckt, die gegenüber einem breiten Kreis an potenziellen Angreifern exponiert ist. Im nächsten Schritt werden interne Netz und Kernanwendungen gezielt geprüft um die Angriffsfläche möglichst weit zu reduzieren.

 

Um einen nachhaltigen Effekt zu erreichen, sollten Penetrationstests in regelmäßigen Abständen durchgeführt werden. Somit wird sichergestellt, dass bereits identifizierte Schwachstellen geschlossen wurden und keine neuen Sicherheitslücken hinzu gekommen sind.

Unsere Vorgehensweise stützt sich dabei vor allem auf manuelle Arbeit. Automatisierte Werkzeuge werden zwar zur Hilfe genommen, jedoch werden sämtliche Ergebnisse von erfahrenen Sicherheitsexperten manuell überprüft. Je nach Schwachstelle wird auf Kundenwunsch auch ein Angriff demonstriert, bei dem die Ausnutzbarkeit einer Schwachstelle erkenntlich wird (es wird ein sogenannter Proof-of-Concept für einen Exploit erstellt).

Penetrationstests - Portfolio

Webanwendungen

Webanwendungen stehen in der Regel einem großen Nutzerkreis zu Verfügung - sei es über das Internet oder im internen Netzwerk. Diese Tatsache sorgt dafür, dass sie stark expandiert sind und somit ein erhöhtes Risiko darstellen. Webanwendungen werden nämlich häufig mit einem Fokus auf eine schnelle Entwicklung und einem komfortablen Nutzererlebnis programmiert, dabei werden Sicherheitsaspekte teilweise unbewusst vernachlässigt.

Ein Penetrationstest hilft dabei, mögliche Risiken zu identifizieren, zu priorisieren und die Problemfelder gezielt anzugehen.

Verbessern Sie, mit unserer Unterstützung, die Sicherheit ihrer Webseiten, Onlineshops oder Webportale und helfen Sie so, die Daten ihrer Kunden und ihrer Organisation zu schützen!

Applikationsinterfaces (APIs)

Applikationsschnittstellen stellen heutzutage ein unverzichtbares Mittel dar um Daten zu beziehen oder auszutauschen. Sie sind dabei Teil nahezu jeder modernen Anwendung (Applikation). Jedoch bieten diese Applikationsschnittstellen (APIs) auch gleichzeitig eine leichte Angriffsfläche, weil die Kommunikation der Anwendungen an dieser Stelle statt findet und somit ein potenzielles Sicherheitsrisiko darstellt.

Wir untersuchen APIs auf sicherheitsrelevante Aspekte, wie etwa der Implementierung eines effektiven Berechtigungsmanagements oder möglicher sogenannter Injektions-Angriffe. Nur eine entsprechend gesicherte API sorgt dafür, dass ihre Daten bei denjenigen Nutzern landen, die auch Zugriff darauf haben sollen. Lassen Sie sich gerne von unseren Experten beraten und gemeinsam minimieren wir die Sicherheitsrisiken Ihrer APIs.

Mobile Anwendungen

Egal ob sie eine mobile Anwendung bereitstellen um Marketing zu betreiben, unternehmensinterne Prozesse zu erleichtern oder sie als Endnutzerprodukt entwickeln - die Art und Weise wie diese abgesichert ist verrät eine Menge über den Stellenwert der IT-Sicherheit in Ihrem Unternehmen.

Ein Penetrationstest hilft durch das Aufdecken möglicher Schwachstellen, Missbrauch an Kundendaten zu verhindern und trägt dazu bei, dass der Ruf Ihrer Organisation auch in Zukunft nicht gefährdet wird.

Infrastruktur Penetrationstests

Die IT-Infrastruktur stellt das Rückgrat jeder Organisation dar und ist beliebtes Ziel von Angreifern. Ob es das Kunden-WLAN, die VPN-Verbindung für Telearbeiter oder die ans Internet angeschlossenen Server sind - sie alle stehen im Fadenkreuz.

Ein Penetrationstest erlaubt das Aufdecken von Schwachstellen in Infrastrukturkomponenten, sodass diese behoben werden können bevor es zu Ausfällen, dem Abfließen von Daten oder ungewollter Manipulation des Datenbestands kommt.

Unsere Vorgehensweise bei Penetresationstests

Bei der Durchführung von Penetrationstest orientieren wir uns an standardisierten Prozeduren, Best Practices und Richtlinien:

- OWASP Testing Guides

- Open Source Security Testing Methodology Manual (OSSTMM)

- Penetration Testing Execution Standards (PTES).

Vorbereitung

Ein unverbindliches Gespräch stellt meist den ersten Schritt dar. Dabei steht das Sammeln von Informationen über einen möglichen Leistungsumfang und über das zu testende System im Vordergrund. Im wechselseitigen Austausch klären wir gemeinsam offene Fragen und die Aufgabenstellung. Im Rahmen eines Kick-off Meetings werden Besonderheiten diskutiert, Kommunikationsstrukturen aufgesetzt und Kontaktpersonen festgelegt.

Informationsbeschaffung

In dieser Phase bedienen wir uns einer Reihe von Methoden und Werkzeugen um eime möglichst umfassende Menge an Informationen über das zu untersuchende Ziel zu gewinnnen. Dabei können beispielsweise auch Social Engineering Methoden - wie Anrufe unter falschem Vorwand - zum Einsatz kommen, um wichtige Informationsbausteine zu erlangen.

Datenabgleich

Die im vorangegangenen Schritt gesammelten Informationen werden im Anschluss dazu genutzt, um mögliche Einfallstore zu identifizieren. Eine dezidierte Dokumentation erlaubt es im Nachgang, zurückzuverfolgen, wie ein potenzieller Angreifer in den Besitz solcher Informationen gelangen kann, sodass die Quelle geschlossen werden kann.

Vulnerability Assessment

Für die identifizierten Schwachstellen wird nun evaluiert, inwieweit sie durch Angriffe aktiv ausgenutzt werden können. In Abhängigkeit der Technologien, die zum Einsatz gekommen sind, der erweiterten Schutzmaßnahmen, die in der Organisation Anwendung finden oder weiterer Einschränkungen, die zu beachten sind, werden darauf basierend Handlungsempfehlungen ausgesprochen. Diese erlauben es, die Schwachstellen zu beheben und die Angriffsfläche zu minimieren.

Ausnutzung der Schwachstellen

Falls dies gewünscht ist oder notwendig erscheint, werden identifizierte Schwachstellen aktiv ausgenutzt, um zu demonstrieren, wie ein tatsächlicher Angreifer Daten hätte stehlen oder manipulieren können. Dabei ist es ratsam, die aktive Ausnutzung auf einem Testsystem durchzuführen, um den produktiven Betrieb nicht zu gefährden.

Bericht

Alle durchgeführten Arbeiten - vom Sammeln der ersten Informationen bis hin zur aktiven Ausnutzung der Schwachstellen - werden in einem detaillierten Report dokumentiert. Dieser enthält neben einer Beschreibung der jeweiligen Sicherheitslücke auch eine Handlungsempfehlung, die genutzt werden kann, um das Risiko zu minimieren.

Mögliche Ansätze bei Penetrationstests

Black Box Ansatz

In diesem Szenario testen wir ein System, über das wir keine weitergehenden Informationen verfügen. Wir haben weder Zugriff auf den Source Code noch Hintergrundwissen über Architiektur oder Aufbau des Systems. Dieser Ansatz findet typischerweise bei Webapplikationen Anwendung und spiegelt am ehesten die Situation wieder mit der sich ein echter Angreifer konfrontiert sieht. Der Aufwand für einen solchen Test ist jedoch höher und es ist schwieriger, ein umfassendes Bild des Testgegenstands zu gewinnen. 

Grey Box Ansatz

Bei einem Grey Box Penetrationstest sind die Kerndaten des Zielsystems bekannt. Diese umfassen unter anderem die URL einer Applikation und gültige Zugangsdaten für einen Nutzer. Dieser Ansatz ist dabei der wohl effektivste Weg, ein System zu untersuchen, da die Informationsbeschaffung weniger zeitraubend ist und so die Identifikation und Ausnutzung der Schwachstellen im Vordergrund steht.

White Box Penetration test

Sind sämtliche Details des Zielsystems bekannt, spricht man von einem Whitebox Test. Diese Form des Tests beinhaltet unter anderem einen Review des Source Codes und kann neben der Anwendung selbst auch die Architektur und die darunter liegende Infrastruktur berücksichtigen. Damit einher geht, dass diese Form des Tests verhältnismäßig aufwändig ist. 

Kostenlose Projektberatung

Erzählen Sie uns von Ihren Plänen und wir beleuchten mit Ihnen die besten Lösungsansätze für eine Umsetzung Ihres Projektes. Schon nach dem ersten Treffen erfahren Sie realistische Projektfristen und die Kosten.

Bei uns erwartet Sie eine durchweg kompetente und profesionelle Beratung.  Wir kennen unsere Qualitäten und Fähigkeiten. Aber lassen Sie sich selbst, bereits ab dem ersten Gespräch davon überzeugen.