Web
Penetrationstest
Konzentriert sich auf Websites und Webanwendungen, unabhängig davon, ob sie selbst oder extern gehostet werden. Jede Art von Website und Webanwendung kann getestet werden. Die regelmäßig aktualisierte OWASP Top 10 wird verwendet, um die Verwundbarkeit und Ausnutzbarkeit der Website oder Webanwendung gegenüber den 10 wichtigsten Webangriffen zu bewerten.
Infrastruktur
Penetrationstest
Konzentriert sich auf Web- und Dateiserver, Netzwerkkomponenten, Clients und andere IP-fähige Komponenten. Ein Pentester testet vordefinierte und begrenzte Netzwerkbereiche. Je nach Testumfang werden fortgeschrittene Methoden wie "Lateral Movement" und "Privilege Escalation" angewendet. Oberstes Ziel ist die Kompromittierung des Domain Controllers.
Active Directory
Penetrationstest
Konzentriert sich auf den Active Directory-Dienst von Microsoft. Er ist ein wesentlicher Bestandteil jeder IT-Umgebung und damit ein lukratives Ziel für Angreifer. Ein Pentester prüft die sichere Konfiguration, identifiziert inaktive Benutzer und Gruppen, untersucht Richtlinien, verifiziert Berechtigungen und deckt Systeme mit veralteten Betriebssystemen auf.
Applikation
Penetrationstest
Konzentriert sich auf die Bewertung der Sicherheit von mobilen Anwendungen für die Betriebssysteme Android und iOS. Stützt sich auf den bewährten und regelmäßig aktualisierten OWASP Mobile Security Testing Guide. Mobile Anwendungen werden systematisch auf Schwachstellen geprüft, indem zugängliche Schnittstellen, Benutzereingaben usw. untersucht werden.
Definition
Ein Penetrationstest ist ein erprobtes und zielorientiertes Vorgehen, um das Angriffspotenzial und die Erfolgsaussichten eines Angriffs gegen eine IT- Infrastruktur, ein einzelnes System, oder einer Anwendung zur ermitteln und zu quantifizieren. Hierzu wird ein vorsätzlicher Angriff gegen einen vorher abgestimmten Informationsverbund oder System durch Anwendung geeigneter Mittel ausgeführt.
Daraus lassen sich notwendige Sicherheitsmaßnahmen ableiten oder bestehende Sicherheitsmaßnahmen auf ihre Wirksamkeit prüfen.
Konkret wird dabei ein IT-System und die darauf installierten Anwendungen (Webanwendung, Mailserver, etc.) und das zugrunde liegende Betriebssystem oder Datenbank auf Schwachstellen und Konfigurationsfehlern überprüft.
Zu den Zielen eines Penetrationstests gehören:
- Netzwerk Komponente z. B. Router und Switches
- Sicherheitsgateways z. B. Firewalls und IDS/IPS
- Web-, Datenbank- und File-Server
- Telekommunikationsanlagen z. B. Voice-Over-IP
- Webanwendungen z. B. Webauftritt und Online-Shops
- Endgeräte z. B. Laptops und Desktops
- Drahtlose Netzwerke z. B. WLAN
- Infrastruktureinrichtungen z. B. Kartenleser und Gebäudesteuerung
Vorgehensweise
Es existieren zwei Vorgehensweisen für Penetrationstests: Black-Box und White-Box Penetrationstests. Bei einem Black-Box Penetrationstest stehen dem Prüfer vorab bis auf den Eintrittspunkt (Netzwerk-Segment oder einzelne IP-Adressen) keinerlei Informationen über das Prüfobjekt zu Verfügung. Bei diesem Ansatz sind die besonderen rechtlichen Vorgaben des Hacker-Paragraphs (§202c StGB) zu beachten. Mittels eines Black-Box Penetrationstests wird der Angriff eines Außentäters simuliert, der den Umständen entsprechend nur begrenzte Kenntnisse über das Zielsystem hat. Bei einem White-Box Penetrationstest stehen dem Prüfer alle Einzelheiten über das Prüfobjekt zu Verfügung, dazu gehören umfangreiche Informationen über die Architektur, eingesetzte Software, Hardware und Sicherheitsmaßnahmen.
Nicht nur DriveByte sondern auch die Bundesbehörde für Sicherheit in Informationssystemen (BSI) empfiehlt grundsätzlich einen White-Box Penetrationstest durchzuführen.
Bei einem Black-Box Penetrationstest wird das Szenario eines informierten Innentäters („Evil Employee“) nicht berücksichtigt. Darüber hinaus ist es möglich, dass wegen den fehlenden Informationen über das Prüfobjekt Schwachstellen übersehen werden. Zusätzlich zu den genannten Gründen ist das erhöhte Risiko und der erhöhte Aufwand eines Black-Box Penetrationstest ebenfalls ein Grund der für die Durchführung eines White-Box Penetrationstest spricht.
Hellseherei
Verhindern Sie Cyberangriffe und Datenlecks, bevor sie auftreten.
Fairness
Kostengünstige und maßgeschneiderte Preise für alle Unternehmensgrößen.
Verdeckt
Eine präzise, nicht-invasive Ausführung und keine Störung des Betriebs.
Geeignet
Ausschließlich zertifizierte und erfahrene Pentester werden mit der Durchführung beauftragt.
Ein Penetrationstest wird von einem zertifizierten und erfahrenen Pentester durchgeführt. Der Pentester verwendet eine große Anzahl von Tools, einschließlich automatisierter Schwachstellen-Scans, um Schwachstellen aufzudecken und die Ausnutzbarkeit zu bestimmen. Im Gegensatz zu einem automatisierten Schwachstellen-Scan ist der Pentester in der Lage, verschiedene Schwachstellen und architekturelle Mängel zu kombinieren, um die Infrastruktur auszunutzen, während der automatisierte Schwachstellen-Scan jeweils nur Schwachstellen eines einzelnen Systems aufdeckt und berücksichtigt.
Die Durchführung eines Penetrationstests ist in einigen Fällen gesetzlich vorgeschrieben, z. B. im Falle von Zahlungsverkehr, von Gesundheitsanwendungen oder kritischen Infrastrukturen. Auch wenn ein Penetrationstest nicht gesetzlich vorgeschrieben ist, wird er dringend empfohlen, um Schwachstellen in der IT-Infrastruktur aufzudecken, bevor sie von Angreifern ausgenutzt werden und zu Datenverlusten oder Produktionsausfällen führen.