Penetrationstest

Penetrationstest – Was ist das?

Nahezu jedem IT-Anwender ist mittlerweile bewusst, dass Angriffe auf die IT-Infrastruktur täglich im eigenen Unternehmen stattfinden. Auch vor vermeintlich weniger attraktiven Zielen wird heute nicht mehr Halt gemacht, denn gerade das schwächste Glied in der Systemkette ist als Einstieg für Hacker äußerst interessant. Aus diesem Grund sollten besonders Unternehmen, die mit vernetzten IT-Systemen arbeiten regelmäßig IT-Sicherheitstests durchführen, die entwickelt wurden, um aktuelle Angriffsmöglichkeiten aufzudecken.

 

Eine bewährte Vorgehensweise ist der Penetrationstest, um das Angriffspotenzial auf die gesamte IT-Infrastruktur, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Im Ergebnisbericht werden gefundene Schwachstellen kategorisiert, priorisiert und Hinweise zu deren Beseitigung gegeben. Auf Wunsch versuchen die Penetrationstester auch aktiv Schwachstellen auszunutzen, um eine Einbruchsmöglichkeit praktisch durchzuführen und zu dokumentieren.

Zertifikate

  • Offensive Security Certified
    Professional (OSCP)
  • CompTIA PenTest+
  • Certified Security Hacker
  • Certified Security Consultant
  • TeleTrusT Security Information Professional (T.I.S.P.)
  • Windows Security Master 2021 / 2022

Maciej Golik

IT-Security


Zielsysteme für einen Penetrationstest sind:

  • Server und Speichersysteme (Datenbankserver, Webserver, Fileserver, Applikationsserver, Domänencontroller etc.)
  • Clients (Desktop-PCs, Notebooks, Tablets, Smartphones etc.)
  • Webanwendungen (Internetauftritt, Vorgangsbearbeitung, Webshop)
  • Drahtlose Netze (WLAN, Bluetooth, proprietäre Funkverbindungen)
  • Netzkoppelelemente und Sicherheitsgateways (Router, Switches, Firewalls, IDS/IPS-Systeme)
  • Industrieanlagen (ICS, SCADA)
  • Telekommunikationsanlagen
  • Infrastruktureinrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung)
  • IoT-Geräte

Unsere Vorgehensweise

Je nach Kundenwunsch führen wir ohne weitere Informationen über die Systeme Blackbox-Tests durch. Effektiver gestaltet sich allerdings ein Whitebox-Test, bei dem der Kunde uns möglichst viele Informationen der anzugreifenden Systeme vorab zur Verfügung stellt. Als Kompromiss zwischen Durchführungsaufwand und Informationsbereitstellung wird am häufigsten der Greybox-Test gewählt, bei dem uns der Kunde nur Basisinformationen für den Angriff zur Verfügung stellt.

Für einen Penetrationstest in der internen Infrastruktur führen wir den Test vor Ort oder aus der Ferne über eine von uns entwickelte Analysebox durch, die beim Kunden in das Netzwerk integriert wird und über ein gesichertes VPN im Durchführungszeitraum von uns gesteuert werden kann.
Ein Schaubild zum Ablauf finden Sie hier: Pentest Darstellung.

Vereinbaren Sie einen Beratungstermin. Gemeinsam finden wir die richtige Lösung für Sie.
Cookie Consent mit Real Cookie Banner