Zum Hauptinhalt springen

Penetrationstests


Schützen Sie Ihre Infrastruktur vor Cyberangriffen und Datenlecks.

Web

Penetrationstest

ionicons-v5-h

Konzentriert sich auf Websites und Webanwendungen, unabhängig davon, ob sie selbst oder extern gehostet werden. Jede Art von Website und Webanwendung kann getestet werden. Die regelmäßig aktualisierte OWASP Top 10 wird verwendet, um die Verwundbarkeit und Ausnutzbarkeit der Website oder Webanwendung gegenüber den 10 wichtigsten Webangriffen zu bewerten.

Infrastruktur

Penetrationstest

ionicons-v5-d

Konzentriert sich auf Web- und Dateiserver, Netzwerkkomponenten, Clients und andere IP-fähige Komponenten. Ein Pentester testet vordefinierte und begrenzte Netzwerkbereiche. Je nach Testumfang werden fortgeschrittene Methoden wie "Lateral Movement" und "Privilege Escalation" angewendet. Oberstes Ziel ist die Kompromittierung des Domain Controllers.

Active Directory

Penetrationstest

ionicons-v5-j

Konzentriert sich auf den Active Directory-Dienst von Microsoft. Er ist ein wesentlicher Bestandteil jeder IT-Umgebung und damit ein lukratives Ziel für Angreifer. Ein Pentester prüft die sichere Konfiguration, identifiziert inaktive Benutzer und Gruppen, untersucht Richtlinien, verifiziert Berechtigungen und deckt Systeme mit veralteten Betriebssystemen auf.

Applikation

Penetrationstest

ionicons-v5-k

Konzentriert sich auf die Bewertung der Sicherheit von mobilen Anwendungen für die Betriebssysteme Android und iOS. Stützt sich auf den bewährten und regelmäßig aktualisierten OWASP Mobile Security Testing Guide. Mobile Anwendungen werden systematisch auf Schwachstellen geprüft, indem zugängliche Schnittstellen, Benutzereingaben usw. untersucht werden.

Was ist ein Penetrationstest?


Definition


Ein Penetrationstest ist ein erprobtes und zielorientiertes Vorgehen, um das Angriffspotenzial und die Erfolgsaussichten eines Angriffs gegen eine IT- Infrastruktur, ein einzelnes System, oder einer Anwendung zur ermitteln und zu quantifizieren. Hierzu wird ein vorsätzlicher Angriff gegen einen vorher abgestimmten Informationsverbund oder System durch Anwendung geeigneter Mittel ausgeführt.

Daraus lassen sich notwendige Sicherheitsmaßnahmen ableiten oder bestehende Sicherheitsmaßnahmen auf ihre Wirksamkeit prüfen.
Konkret wird dabei ein IT-System und die darauf installierten Anwendungen (Webanwendung, Mailserver, etc.) und das zugrunde liegende Betriebssystem oder Datenbank auf Schwachstellen und Konfigurationsfehlern überprüft.
Zu den Zielen eines Penetrationstests gehören:

  • Netzwerk Komponente z. B. Router und Switches
  • Sicherheitsgateways z. B. Firewalls und \textbf{IDS}/\textbf{IPS}
  • Web-, Datenbank- und File-Server
  • Telekommunikationsanlagen z. B. Voice-Over-IP
  • Webanwendungen z. B. Webauftritt und Online-Shops
  • Endgeräte z. B. Laptops und Desktops
  • Drahtlose Netzwerke z. B. \textbf{WLAN}
  • Infrastruktureinrichtungen z. B. Kartenleser und Gebäudesteuerung

Vorgehensweise


Es existieren zwei Vorgehensweisen für Penetrationstests: Black-Box und White-Box Penetrationstests. Bei einem Black-Box Penetrationstest stehen dem Prüfer vorab bis auf den Eintrittspunkt (Netzwerk-Segment oder einzelne IP-Adressen) keinerlei Informationen über das Prüfobjekt zu Verfügung. Bei diesem Ansatz sind die besonderen rechtlichen Vorgaben des Hacker-Paragraphs (§202c StGB) zu beachten. Mittels eines Black-Box Penetrationstests wird der Angriff eines Außentäters simuliert, der den Umständen entsprechend nur begrenzte Kenntnisse über das Zielsystem hat. Bei einem White-Box Penetrationstest stehen dem Prüfer alle Einzelheiten über das Prüfobjekt zu Verfügung, dazu gehören umfangreiche Informationen über die Architektur, eingesetzte Software, Hardware und Sicherheitsmaßnahmen.

Nicht nur DriveByte sondern auch die Bundesbehörde für Sicherheit in Informationssystemen (BSI) empfiehlt grundsätzlich einen White-Box Penetrationstest durchzuführen.
Bei einem Black-Box Penetrationstest wird das Szenario eines informierten Innentäters („Evil Employee“) nicht berücksichtigt. Darüber hinaus ist es möglich, dass wegen den fehlenden Informationen über das Prüfobjekt Schwachstellen übersehen werden. Zusätzlich zu den genannten Gründen ist das erhöhte Risiko und der erhöhte Aufwand eines Black-Box Penetrationstest ebenfalls ein Grund der für die Durchführung eines White-Box Penetrationstest spricht.

Ihre Vorteile auf einen Blick


Hellseherei

Verhindern Sie Cyberangriffe und Datenlecks, bevor sie auftreten.

Fairness

Kostengünstige und maßgeschneiderte Preise für alle Unternehmensgrößen.

Verdeckt

Eine präzise, nicht-invasive Ausführung und keine Störung des Betriebs.

Geeignet

Ausschließlich Zertifizierte und erfahrene Pentester werden mit der Durchführung beauftragt.

Häufig gestellte Fragen


Ein Penetrationstest wird von einem zertifizierten und erfahrenen Pentester durchgeführt. Der Pentester verwendet eine große Anzahl von Tools, einschließlich automatisierter Schwachstellen-Scans, um Schwachstellen aufzudecken und die Ausnutzbarkeit zu bestimmen. Im Gegensatz zu einem automatisierten Schwachstellen-Scan ist der Pentester in der Lage, verschiedene Schwachstellen und architekturelle Mängel zu kombinieren, um die Infrastruktur auszunutzen, während der automatisierte Schwachstellen-Scan jeweils nur Schwachstellen eines einzelnen Systems aufdeckt und berücksichtigt.

Die Durchführung eines Penetrationstests ist in einigen Fällen gesetzlich vorgeschrieben, z. B. im Falle von Zahlungsverkehr, von Gesundheitsanwendungen oder kritischen Infrastrukturen. Auch wenn ein Penetrationstest nicht gesetzlich vorgeschrieben ist, wird er dringend empfohlen, um Schwachstellen in der IT-Infrastruktur aufzudecken, bevor sie von Angreifern ausgenutzt werden und zu Datenverlusten oder Produktionsausfällen führen.

DriveByte bietet sehr günstige und maßgeschneiderte Preise für kleine und mittelständische Unternehmen (KMU). Die genauen Kosten für einen Penetrationstest sind sehr variabel und hängen von der spezifischen Kundeninfrastruktur ab. Als Beispiel für die Preiskalkulation nehmen wir eine Infrastruktur von 100 Systemen/IPs. Ein Penetrationstest kostet dann 3.600,00€ ohne Mwst. und dauert drei Tage. Jedes zusätzliche System/IP kostet 12,00€ ohne Mwst. und jede 100 zusätzlichen Systeme/IPs erhöhen die Durchführungsdauer um einen Tag.

 

 

Sind Sie an einem Penetrationstest interessiert?


Kontaktieren Sie uns


Sie möchten mehr über unsere Dienstleistungen erfahren oder haben eine Frage an uns? Ist Ihnen ein Kontaktformular zu unpersönlich?
Rufen Sie stattdessen einfach an: 

 +49 9631 6007704

Bitte füllen Sie das Kontaktformular aus. Wir werden Ihre Anfrage schnellstmöglich bearbeiten und uns mit Ihnen in Verbindung setzten.

Ich habe die Erklärung zum Datenschutz gelesen. Ich bin damit einverstanden, dass meine Angaben und Daten zur Beantwortung meiner Anfrage elektronisch erfasst und gespeichert werden.