Ablauf Penetrationstest
Es vergeht kaum ein Tag in den Medien, wo über gezielte und erfolgreiche Hackerangriffe auf Industrie und Handel oder auf Kommunen oder andere Institionen berichtet wird. Einen wesentlichen Baustein bilden Penetration Tests, Schwachstellenanalysen oder Security Audits. Denn sie tragen durch eine umfassende Sicherheitsprüfung von IT-Systemen und Netzwerken dazu bei, Schwachstellen nicht nur zu identifizieren diese dann auch erfolgreich zu schließen zu können. Mit einem professionellen Penetration Test simulieren wir einen Hacker Angriff auf die IT-Systeme oder einzelne Komponenten unserer Kunden. Dabei können Kunden zwischen verschiedenen Ausprägungen wie z.B. dem Blackbox Penetrationstest (keine Offenlegung von Login-Daten oder Systeminformationen) oder dem Whitebox Penetrationstesting (Offenlegung von Systeminformationen) wählen.
Wir führen Penetrationstest nach Stand der aktuellen Technik, etwa dem OWASP Standard, und nach Empfehlungen des BSI durch. Selbstverständlich werden alle Prüfschritte protokolliert und in Abschlussberichten dokumentiert. Im Rahmen eines Abschlussgesprächs werden nach erfolgter Durchführung dann die Ergebnisse und Erkenntnisse vorgestellt. Außerdem erhalten unsere Kunden mit dem ausführlichen Bericht über mögliche Findings auch einen empfohlenen Maßnahmenkatalog zur Härtung der IT-Infrastruktur.
Wir führen die Penetration Tests in fünf Phasen durch.
Planung und Vorbereitung (PLANING)
In der Vorbereitungsphase legen wir in Absprache mit Ihnen Ziele und Umfang des Penetration Tests fest.
Aufklärung (RECON)
Sammeln von öffentliche Informationen, die über Suchmaschinen und Verzeichnisdienste ersichtlich sind.
Scannen (Discovery)
Kontaktaufnahme zum Zielsystem auf – mithilfe von Scans des Systems und Erkundung zugänglicher Schnittstellen und verwendeter Protokolle.
Schwachstellenanalyse (Vulnerability Analysis)
Wir analysieren das System und entscheiden, welche Angriffsmöglichkeiten sich bieten. Ziel ist nicht nur ein erfolgreicher Zugriff, sondern eine möglichst vollständige Analyse der gesamten Sicherheit des Systems. Es werden alle Parameter einer effektiven Verteidigung geprüft, insbesondere Verfügbarkeit, Integrität und Vertraulichkeit von Daten sowie die "Kronjuwelen des Unternehmen".
Zugang zum System etablieren (Exploit)
Beim eigentlichen Angriff versuchen wir, die identifizierten Schwachstellen auszunutzen, um in das System einzudringen. Wir simulieren verschiedene Angriffsszenarien und arbeiten sich sukzessive zu Schwachstellen in tieferen Verteidigungsschichten vor, über die Angreifer das System im Worst case vollständig kompromittieren können.
Nach Abschluss des Penetrationstests erstellen wir einen detaillierten Penetration Test Bericht.
Im Bericht werden unter anderen folgendes berücksichtigt:
o Berichterstellung in deutscher Sprache mit Darstellung aller gefundenen Schwachstellen
o Detaildarstellung der Befunde enthält eine Beschreibung der Schwachstelle und Empfehlungen zur Mitigation
o Qualitätssicherung des Berichts
o Die Zusendung des Berichts erfolgt innerhalb von 10 Werktagen
Sie erhalten eine Zusammenfassung der ausgeführten Tests, identifizierter Schwachstellen und deren potenzieller Auswirkungen. Außerdem zeigen wir Ihnen auf die gefundenen Schwachstellen dementsprechenden Empfehlungen.
