Cyberkriminelle werden immer raffinierter beim Untergraben der IT-Security und Ausnutzung von Schwachstellen. Insbesondere kleinere und mittelständische Unternehmen sind in den letzten Jahren vermehrt von Cyber-Attacken betroffen – trotz Firewalls und Antivirus-Software. Die Tendenz ist steigend.
Ob Ihre Schutzmaßnahmen ausreichen und wo Sie Einstiegspunkte für Hacker-Angriffe bieten, finden Sie mittels Penetration Testing (Penetrationstests, Pentesting oder kurz Pentest) heraus. Hierbei identifiziert unser erfahrenes Team Sicherheitslücken, potentielle Schwachstellen und Fehlkonfigurationen in IT-Systemen – und nutzt diese mit denselben Mitteln aktiv aus, die auch ein echter Angreifer verwenden würde. Beim Pentesting entsteht eine realistische Simulation eines Angriffs von außen oder von innen, die speziell die IT-Sicherheit in Ihrem Unternehmen beleuchtet. Das Ergebnis: Sie gewinnen wertvolle Erkenntnisse, die weit über andere IT-Sicherheitsanalysen hinausgehen.
Schwächen in Ihrer IT-Landschaft aufdecken
Vermutlich wissen Sie, dass jedes System über Schwachstellen verfügt – meist zwischen 50 und 100. Diese schlagartig zu beseitigen ist leider unmöglich – daher unterstützen wir Sie mit Priorisierung und Strategie diese in den Griff zu bekommen.
Für einen besseren Überblick über die aktuelle Situation Ihrer Systeme, können wir gezielt nach Schwachstellen suchen. Sie bekommen so einen schnellen Einblick über den IST-Zustand des analysierten Systems. Die Schwachstellenanalyse ist auch über einen längeren Zeitraum durchführbar. So ist die Entwicklung des Systems festzustellen und entsprechende Maßnahmen können ergriffen werden.
Bei der Schwachstellenanalyse (auch als Vulnerability Management bekannt) handelt es sich nicht um einen Penetration Test. Sie dient zur Identifikation von Schwachstellen eines einzelnen Systems und kann beim Pentest als wichtige Grundlage dienen.
Schwachstellenanalyse (Vulnerability Management)
- Einzelne Tests
- Regelmäßige Tests um Entwicklung festzuhalten
- Priorisierung von Gegenmaßnahmen
- Bewertung von Schwachstellen
Pentest Variationen
Während eines externen Penetrationstests prüfen wir unter anderem Mailserver, Websites, Firewalls, CMS-Systeme, APIs und Datenbanken. Bei einem internen Penetration Test geht es um die manuelle Überprüfung interner Systeme – die oftmals deutlich mehr verwundbare Punkte aufweisen. Unser Team kann dabei mit verschiedenen Ansätzen arbeiten:
Whitebox Test
Alle notwendigen Informationen sind uns vorab bekannt. Hier simulieren wir Attacken durch (Ex-) Mitarbeiter oder eines externe Dienstleister mit Insider-Informationen.
Greybox Test
Sie geben uns vorab einige Daten, wie zum Beispiel IP-Adressen. So simulieren wir außenstehende Hacker oder Innentäter mit eingeschränkten Rechten.
Blackbox Test
Sie stellen keinerlei Informationen über die zu testenden Systeme zur Verfügung. Wir starten bei Null, wie bei einem realistischen Angriff eines Hackers.
So läuft ein Penetrationtest ab
Unsere IT-Sicherheitsexperten gehen beim Penetration Testing genau so vor wie Cyber-Kriminelle, die an sensible Daten gelangen oder IT-Systeme lahmlegen wollen. Das Verfahren ist in sechs Phasen unterteilt:
- Informationen sammeln
- Ableitung und Erstellung von Angriffsvektoren
- Schwachstellenanalyse
- Verifikation und Ausnutzung der Schwachstellen
- Ausweitung des Angriffs innerhalb des Netzwerks
- Auswertung und Dokumentation
Verschiedene Penetrationtest Szenarien
Test einzelner IT-Systemumgebungen
Diese Art von Penetration Test bewertet den aktuellen Sicherheitsstatus einer einzelnen Systemumgebung. Vor jedem Pentest führen wir ein Vulnerability Assessment durch, um einen Überblick über mögliche Schwachstellen zu bekommen. Das Verfahren eignet sich auch für die Sicherheitsüberprüfung von extern erreichbaren Systemen wie Web- Shops oder dedizierten Applikationsservern in Ihrer demilitarisierten Zone (DMZ).
Test Ihrer vernetzten IT-Systemumgebung
Unser Black-Team hat es auf Ihre IT-Infrastruktur abgesehen. Dazu testen wir Ihre Umgebungen wie das interne Netzwerk oder die WLAN-Infrastruktur. Zusätzlich überprüfen wir extern erreichbare Systeme und checken, welche Unternehmensinformationen aus öffentlichen Quellen herauszufiltern sind (Open Source Intelligence = OSINT). Auch die Sicherheit am Übergang zwischen dem Netz Ihres Unternehmens und dem Internet (Perimeter-Security) nehmen wir unter die Lupe.
Der digitale Einbruch oder unser Cyberangriff bei Ihnen
Beim Red-Teaming sehen Sie unsere “friendly Hacker” nicht kommen. Unter realistischen Bedingungen simulieren wir einen gezielten Angriff im Blackbox-Verfahren, um an Ihre Unternehmensdaten zu gelangen. Von OSINT über gezielte Attacken auf die Systeme bis hin zu Social Engineering gegen Ihre Mitarbeiter: Das Red-Team bedient sich während des Penetrationstests einer Reihe an Angriffstechniken, um an Ihre „Kronjuwelen“ zu gelangen.
Sie brauchen regelmäßige Penetration Tests
Mittels Penetrationstests stärken Sie die Cyber Security in Ihrem Unternehmen – und wehren sich aktiv gegen Gefahren wie Phishing-Angriffe, DoS-Attacken, Schäden durch interne Angreifer oder Industriespionage. Sie kommen damit Compliance-Anforderungen nach und unterstützen Ihr Information Security Management System (ISMS) nach ISO 27001 oder BSI-Grundschutz. Vertrauen Sie beim Penetration Testing auf SKIP Datentechnik: Als seriöser und erfahrener IT-Sicherheitsdienstleister bieten wir Ihnen Expertise in der Prüfung und Analyse Ihrer IT-Sicherheit.
Security kompromisslos auf dem Prüfstand
Die Sicherheit jedes Autos wird in zahlreichen Crash-Tests erprobt – wir bieten Ihnen die Möglichkeit, Ihre IT-Infrastruktur durch den Pentest einem echten Härtetest zu unterziehen. Der feine Unterschied: Penetrationstests verursachen keine Schäden, sondern vermeiden sie.
Aus Schwachstellen und Sicherheitslücken lernen
Die Ergebnisse des Penetrationstests und der simulierten Angriffe dokumentieren wir detailliert und nachvollziehbar. Neben einer kurzen Management-Summary und einer ausführlichen Erklärung der gefundenen Schwachstellen enthält der Ergebnisbericht Maßnahmenempfehlungen, um das Sicherheitsniveau weiter zu erhöhen.
Gut Ding will Weile haben
Ein guter Pentest findet unter möglichst realistischen Bedingungen statt. Unser Expertenteam nimmt sich die Zeit, Ihre Systeme auszukundschaften und auf Schwachstellen hin zu prüfen – so wie es auch Angreifer tun würden. Denn Penetration bedeutet: Wir sind hartnäckig und geben alles beim Testing!
Genaue Prüfung statt schneller Security Scan
Manche Anbieter geben vor, einen Penetrationstest vorzunehmen – führen aber nur einen Vulnerability Scan durch. Dieser überprüft Systeme automatisiert auf bekannte Sicherheitslücken. Unsere Experten nutzen den V-Scan allerdings als Teil der Vorbereitung auf den eigentlichen Pentest, so wie viele Angreifer es auch tun würden.