Penetration Testing

Break_TitleToBody_Header

Proaktiver Schutz vor Sicherheitsbedrohungen mit Penetrationstests. Nutzen Sie die Vorteile unserer einzigartigen Kombinationen von Kompetenzen.

Reduzieren Sie Risiken durch Pentests

Durch die Ausnutzung von Schwachstellen in IT-Systemen werden immer mehr Unternehmen Opfer von Cyber-Attacken – Tendenz steigend. Die Folgen einer erfolgreichen Cyber-Attacke sind in der Regel immens: mit den hohen finanziellen Schäden gehen meist Reputationsschäden einher, die kaum zu beziffern sind. Penetrationstests reduzieren das Risiko für Unternehmen, Opfer von Cyber-Attacken zu werden um ein Vielfaches. Schwachstellen in IT-Systemen werden aufgedeckt und können mit entsprechenden Schutzmaßnahmen geschlossen werden. In den folgenden Abschnitten können Sie sich darüber informieren welche Art von Penetrationstest wir für Sie und ihre Produkte bzw. Netzwerke anbieten können.

 

Unsere Penetration Testing Services

Anwendungs Penetration Testing

Im Rahmen des Web Application Penetrationstests simulieren wir einen realen Angriff auf Ihre Webanwendungen aus verschiedenen Perspektiven (beispielsweise authentifizierte und nicht authentifizierte Benutzer) und konzentrieren uns dabei auf die Bewertung der Sicherheit Ihrer Webanwendungen. Das Ziel ist, Schwachstellen in Ihren Webanwendungen zu identifizieren, Empfehlungen auszusprechen und Sie dahingehend zu beraten, die entsprechenden Maßnahmen zur Behebung der Schwachstellen umzusetzen. Dabei ist es unerheblich ob es sich bei der Webanwendung um eine eigene Entwicklung handelt, oder eine selbst betriebene Anwendung einer dritten Partei handelt.

Viele über ein Netzwerk exponierte Anwendungen sind heutzutage konzipiert um von vielen verschiedenen Clients genutzt werden können. Die Kommunikation zwischen Client und Anwendung findet dabei über ein oder mehrere Anwendungsschnittstellen (Application Programming Interface/API) statt.
Im Rahmen unserer Pentests können wir auch hier typische und anwendungsspezifische Schwachstellen ermitteln und Sie dahingehend beraten das Sicherheitsniveau zu verbessern.

Bei einem Mobile Application Penetrationstest simulieren unsere Experten einen Angriff auf Ihre mobilen Anwendungen und konzentrieren sich dabei auf die Bewertung der Sicherheit sowie die Durchführung eines Code Reviews. Ziel ist, Schwachstellen in Ihren mobilen Anwendungen (z.B. Android und iOS Mobile Apps) zu identifizieren und dahingehend zu beraten, die entsprechenden Maßnahmen zur Behebung der Schwachstellen umzusetzen.

Sie entwickeln Anwendungen selbst? Mit einem Audit des Quellcodes Ihrer Anwendung können wir Sie dabei unterstützen spezifische Fehler und Sicherheitsprobleme an kritischen Stellen innerhalb Ihrer Software zu vermeiden. Auch die möglichst sichere Integration externer Abhängigkeiten, den Build-Prozess sowie das Deployment der Anwendung können wir in Bezug auf sicherheitsrelevante Problemstellen begleiten (DevSecOps) und Sie dabei unterstützen Ihr Sicherheitsbewusstsein zu verbessern.

Infrastruktur & Netzwerk Penetration Testing

Bei einem internen Netzwerk Penetrationstest simulieren wir den Angriff von innen heraus (z.B. ein IT-Mitarbeiter oder Geschäftspartner mit entsprechender Motivation), indem wir dieselben Tools, Methoden und Vorgehensweisen nutzen, um in das interne Netzwerk und in die IT-Systeme Ihres Unternehmens einzudringen.

Das Ziel besteht darin, Ihre internen Schwachstellen im Voraus zu identifizieren und zielgerichtete Handlungsempfehlungen auszusprechen, um das Risiko zu minimieren. Im Rahmen eines internen Netzwerk-Penetrationstests versuchen wir den Zugang zu so vielen kritischen Systemen wie möglich zu erlangen.

Bei einem externen Netzwerk Penetrationstest simulieren wir einen realen Hacker-Angriff. Hierbei verwenden wir dieselben Tools, Methoden und Vorgehensweisen, um von außen heraus in die öffentlich zugänglichen IT-Systeme einzudringen.

Das Ziel besteht darin, Ihre Schwachstellen im Voraus zu identifizieren und zielgerichtete Handlungsempfehlungen auszusprechen, um das Risiko eines realen Hacker-Angriffs zu minimieren. Im Rahmen eines externen Netzwerk-Penetrationstests versuchen wir den Zugang zu so vielen kritischen Systemen wie möglich zu erlangen.

Beim Red Teaming gehen wir noch einen Schritt weiter. Während beim internen Penetration Testing der Fokus in der Regel darauf liegt Schwachstellen zu finden ohne den laufenden IT-Betrieb nicht zu stören, wird beim Red Teaming alles daran gesetzt das Netzwerk zu infiltrieren.

Dazu gehört insbesondere die Umgehung von Virenschutzsoftware und anderen Sicherheitsmaßnahmen, der Einsatz von individuell zugeschnittener Schadsoftware, Phishing und die Durchführung von Angriffen auf Clients.

Mit Red Teaming können daher auch Schutzmaßnahmen gegen fortgeschrittene Arten von Angreifern getestet werden.

Viele IT-Systeme werden heutzutage nicht mehr auf virtuellen Maschinen im eigenen Rechenzentrum betrieben, sondern laufen auf Hyperscalern und basieren auf modernen Container-Technologien, wie Kubernetes, Docker, podman oder istio.

Bei dem komplexen Zusammenspiel zwischen all diesen Komponenten kommt es jedoch immer wieder zu sicherheitskritischen Konfigurationsfehlern. Wir testen insbesondere Ihre Rechte- und Rollenverwaltung (IAM), die Absicherung Ihrer Container, sowie die Sicherheit der Kommunikation zwischen verschiedenen Pods innerhalb eines Clusters. 

Penetration Testing nach Maß anstatt von der Stange

Unabhängig davon welche Art von Produkt oder Anwendung getestet werden soll, erhalten Sie von uns immer ein individuelles Angebot welches sich an Ihren Bedürfnissen und Wünschen orientiert. Daher sprechen Sie bei uns direkt ab dem ersten Gespräch mit erfahrenen Testern, die mit Ihnen zusammen Ihre individuellen Testanforderungen ermitteln — für Sie selbstverständlich kostenfrei.

Blackbox vs. Whitebox

Häufig wird zwischen drei Vorgehensweisen bei der Durchführung eines Penetration-Tests unterschieden: Blackbox-Tests, Graybox-Tests und Whitebox-Tests.

Egal welches Testobjekt Sie testen lassen möchten, wir empfehlen grundsätzlich die Durchführung eines Whitebox-Tests. Entgegen der landläufigen Meinung sind Blackbox-Tests weder günstiger, noch bilden Sie einen realistischeren Angreifer ab. Im Gegenteil: bei Blackbox-Tests bezahlen Sie in der Regel den Tester dafür sich Informationen selbst zu beschaffen, die Ihnen bereits vorliegen und zahlreiche Klassen von Sicherheitslücken lassen sich durch Blackbox-Tests nur mit unverhältnismäßig hohem Aufwand finden. Whitebox-Tests liefern daher immer eine höhere Qualität zu einem vergleichbaren Preis.

Whitebox

Der Pentester verfügt über vollständige und detaillierte Informationen über das Zielsystem (Architektur- und Systemdiagramme, Quellcode, Zugangsdaten usw.). Dadurch kann er eine umfassende Bewertung des Sicherheitsstatus des Systems vornehmen.

Blackbox

Penetrationstests im „Blackbox“-Modus gelten als die realistischste Testmethode, da der Pentester keine Informationen über das Zielsystem hat, um erfolgreich in dieses einzubrechen. Diese Methode zeigt Schwachstellen auf, die von einem echten Angreifer ausgenutzt werden könnten.

Graybox

Eine Mischung aus White- und Blackbox-Pentest. Der Pentester hat nur Zugang zu einem bestimmten Grad an Informationen über das Zielsystem, um spezifischere Tests durchzuführen, während er das System weiter erforscht, um potenzielle Schwachstellen zu identifizieren.

Buchen Sie jetzt Ihr kostenloses und unverbindliches Beratungsgespräch mit unserem Sales Team.

Penetration Test vs. Schwachstellenscan

Bei einem Schwachstellenscan wird Ihr Produkt oder System vorrangig mittels automatisierten Testwerkzeugen untersucht. Netzwerke werden dann beispielsweise nach Servern durchsucht, auf denen Dienste mit bekannten Schwachstellen laufen, während bei Web-Applikationen unter anderem automatisiert speziell manipulierte Eingaben in Eingabefelder eingetragen werden.

Schwachstellenscans sind vergleichsweise günstig in der Durchführung, haben jedoch einige entscheidende Nachteile:

  • Sie liefern eine hohe Anzahl an falsch-positiven Ergebnissen, die anschließend manuell überprüft werden müssen.
  • Sie finden nur einfache Sicherheitslücken, die in einem Schritt ausgenutzt werden können.
  • Sie können zahlreiche Arten von Sicherheitslücken überhaupt nicht finden.

Im Vergleich dazu wird Ihr Testobjekt im Rahmen eines Penetration Test immer individuell und manuell untersucht, wodurch auch Sicherheitslücken gefunden werden, die von Scannern nicht erkennbar sind. Schwachstellenscans bieten sich daher vorrangig als ergänzende Sicherheitsmaßnahme an, die Sie in regelmäßigen Abständen durchführen sollten. Dafür existieren auf dem Markt verschiedene etablierte und teilweise sogar kostenfreie Werkzeuge, sodass die Beauftragung eines Dienstleisters häufig gar nicht notwendig ist.

Die Ergebnisse eines Schwachstellenscans können jedoch eine gute Grundlage für die anschließende Durchführung eines Penetrationstests sein.

Warum sollten Sie zu uns kommen?
Die Vorteile auf einen Blick

Alle Arten von Schwachstellen

Wir testen nicht nur automatisiert, sondern vorrangig manuell, wodurch wir grundsätzlich alle Arten von Schwachstellen finden können.

Individuell auf Sie zugeschnitten

Bei uns erhalten Sie schon vor Vertragsabschluss individuelle Beratung und stets ein Angebot mit Leistungen, die auf Ihre Bedürfnisse zugeschnitten sind.

Handlungsempfehlungen

Sie erhalten nicht nur eine Liste mit Schwachstellen, sondern jeweils auch konkrete und individuelle Handlungsempfehlungen.

Qualität durch Zertifizierungen

Die meisten unserer Tester haben drei oder mehr namhafte Zertifizierungen erreicht. Offensive Security Certified Professional (OSCP) ist bei uns eine Mindestanforderung und wird als Einstiegszertifizierung gesehen. 

Methodik und Kreativität

Wir folgen bei unseren Tests etablierten Methodiken (wie denen der OWASP). Komplexe Sicherheitslücken lassen sich nicht durch die bloße Anwendung einer Methodik finden, sondern erfordern immer auch Kreativität und tiefes technisches Verständnis des Testobjekts.

Expertise in allen Bereichen

Ob Netzwerk, Web-Applikation, Mobile-Apps oder Desktop-Anwendung: wir haben Erfahrung und Know-How mit allen Arten von Penetration Tests.

Durch die Durchführung eines Penetrationstests können Sie die Sicherheit Ihres Produktes oder Ihrer IT-Infrastruktur deutlich steigern. Anders als bei vielen anderen Anbietern, sind Penetrationstests bei uns keine überwiegen automatisiert durchgeführte Standardware, sondern werden immer individuell auf Ihre Bedürfnisse zugeschnitten und von erfahrenen Testern sorgfältig durchgeführt.
jochen-rill
Dr. Jochen Rill
Head of Cyber Security, Alter Solutions Deutschland