Was ist ein Pentest?

Ein Pene­tra­ti­on-Test­ing auch Pen­test genannt, ist ein umfas­sen­der Sicher­heits­test von IT- und Netz­werk­sys­te­men, die die Emp­find­lich­keit gegen­über Cyber­kri­mi­nel­len fest­stel­len sol­len. Gefähr­ungs­po­ten­zia­le und Schwach­stel­len las­sen sich durch einen Pene­tra­ti­on-Test­ing auf­de­cken. Eine genaue Pro­to­kol­lie­rung aller durch­ge­führ­ten Maß­nah­men erfolgt wäh­rend des kom­plet­ten Pene­tra­ti­on-Test­ings. Die erkann­ten Schwach­stel­len und Lösungs­an­sät­ze zur Ver­bes­se­rung des IT-Sicher­heits­ni­veaus wer­den in einen detail­ier­ten Abschluss­be­richt auf­ge­führt. Der Abschluss­be­richt ent­hält neben den Fin­dings auch detal­lier­te Hin­wei­se und Emp­feh­lun­gen, wie die Fin­dings gelöst werden. 

War­um ist ein Pene­tra­ti­on-Test­ing so wichtig?

Mit zuneh­men­der Digi­ta­li­sie­rung wer­den immer mehr ver­trau­li­che Infor­ma­tio­nen auf IT-Sys­te­men gespei­chert. Oft­mals lie­gen Daten nicht mehr auf den eige­nen IT-Sys­te­men, son­dern wer­den in eine Cloud aus­ge­la­gert.  Je digi­ta­ler wir wer­den, umso mehr sind wir von den ein­ge­set­zen IT-Sys­te­men abhän­gig und set­zen auf ihre Funk­ti­ons­fä­hig­keit. Auf die­se benö­ti­ge Funk­ti­ons­fä­hig­keit und Abhän­gig­keit set­zen zuneh­mend immer mehr Cyber­kri­mi­nel­le, um Angrif­fe auf Unter­neh­men in Form von Indus­trie­spio­na­ge, die Stö­rung der Ver­füg­bar­keit von IT-Sys­te­men oder sons­ti­ge Mög­lich­kei­ten, um bei Unter­neh­men Schä­den anzu­rich­ten. Bei erfolg­rei­chen Cyber-Atta­cken sind die Fol­gen in der Regel immens. Meist geht ein hoher finan­zi­el­ler Scha­den mit Repu­ta­ti­ons­ver­lus ein­her. Durch Pene­tra­ti­on-Test­ings wer­den die Risi­ken, Oper von Cyber-Atta­cken zu wer­den, redu­ziert. Auf­ge­deck­te Schwach­stel­len in IT- und Netz­werk­sys­te­men kön­nen mit ent­spre­chen­den Maß­nah­men geschlos­sen wer­den. Dies erhöht Ihren Schutz nachhaltig.

Wie läuft ein Pene­tra­ti­on-Test­ing ab?

Vor­ge­spräch

Vor jedem Pene­tra­ti­on-Test­ing fin­det ein aus­führ­li­ches Vor­ge­spräch statt. In die­sem Vor­ge­spräch wer­den in Bezug auf die IT- und Netz­werk­sys­te­me des Kun­den die Mög­lich­kei­ten vorgestellt.

Pen­test

Wir ana­ly­sie­ren Ihre IT umfas­send und suchen aktiv nach Schwach­stel­len, die zu einem Angriff aus­ge­nutzt wer­den kön­nen. Wir ana­ly­sie­ren inter­ne und exter­ne Kom­mu­ni­ka­ti­ons­ver­bin­dun­gen, Pro­gram­me, IT-Sys­te­me und das Netz­werk. Ihre Schwach­stel­len wer­den nur uns und Ihnen bekannt. Wir sind sehr diskret.

Befun­dung

Nach dem Pene­tra­ti­on-Test­ing fas­sen wir alle Fund­stel­len zusam­men und schrei­ben einen umfas­sen­den Bericht. Der Bericht ent­hält neben der Ein­stu­fung der Schwach­stel­le Emp­feh­lun­gen, wie Sie die­se schlie­ßen kön­nen. Auf Ihren Wunsch beglei­ten wir Sie zur Schlie­ßung der Schwach­stel­len und tes­ten die Fund­stel­len nach — als Erfolgskontrolle.

Ziel eines Penetration-Testing

Das Ziel des Pene­tra­ti­on-Test­ings ist es, Schwach­stel­len von Netz­wer­ken und Gerä­ten auf tech­ni­scher und orga­ni­sa­to­ri­scher Ebe­ne zu iden­ti­fi­zie­ren und sie in einem detail­lier­ten Bericht zu doku­men­tie­ren. Die Sicher­heit der unter­such­ten Sys­te­me lässt sich ver­bes­sern, in dem die emp­foh­le­nen Maß­nah­men zur Besei­ti­gung der gefun­de­nen Schwach­stel­len durch­ge­führt wer­den. Schu­lun­gen des Per­so­nals, Per­so­nal­auf­sto­ckung, Abschal­tung eines Sys­tems oder das Ein­spie­len von Kor­rek­tu­ren und Updates, kön­nen mög­li­che Bege­bungs­maß­nah­men sein. Ein Pene­tra­ti­on-Test­ing kann als eine Art Moment­auf­nah­me ver­stan­den wer­den, er stellt aber kei­ne kon­ti­nu­ier­li­che Über­wa­chung der IT- und Net­zerk­sys­te­me dar. Jedoch soll­te ein Pene­tra­ti­on-Test­ing regel­mä­ßig durch­ge­führt wer­den, um die Sicher­heit der IT-Sys­te­me zu steigern. 

White­box-Test

Der Auf­trag­ger oder Betrei­ber des IT-Sys­tems stellt dem Pen­tes­ter alle not­wen­di­gen Infor­ma­tio­nen über das IT- und Netz­werk­sys­tem sowie die inter­nen Stru­ku­ren des Unter­neh­mens zu Ver­fü­gung. Zu den not­wen­di­gen Infor­ma­tio­nen gehö­ren bespiels­wei­se Quell­tex­te von Web­ap­pli­ka­tio­nen, Zugangs­da­ten von Web­an­wen­dun­gen (wie sie z.B. von Kun­den eines Web­shops besit­zen) und Netz­werk­plä­ne. So kön­nen Web­an­wen­dun­gen getes­tet wer­den, ob Benut­zer die­se Berech­ti­gun­gen mit Zugang zu Sys­te­men, miss­bräuch­lich benutzen.

Black­box-Test

Bei einem Black­box-Test erhält der Pen­tes­ter kei­ne detail­ier­ten inter­nen Infor­ma­tio­nen von den Auf­trag­ge­ber oder Besit­zer der IT- und Netz­werk­sys­te­men. Der Pen­tes­ter soll her­aus­fin­den wie weit ein Cyber­kri­mi­nel­ler (Angrei­fer) in das IT- und Netz­werk­sys­tem kom­men kann. Jedoch sind gewis­se Anga­ben zu den Rah­men­in­for­ma­tio­nen unum­gäng­lich. Wäh­rend des Pene­tra­ti­on-Test­ings besteht die Gefahr, unbe­tei­lig­te Drit­te zu treffen. 

Als seriö­ses Unter­neh­men führt wibo­con GmbH nur Pene­tra­ti­on-Test­ings mit schrift­li­cher Geneh­mi­gung der Geschäfts­füh­rung durch.

Kon­takt

+49 30 88 72 46 60

Kur­fürs­ten­damm 194, 10707 Ber­lin, Deutschland

Mon­tag-Frei­tag: 09:00 Uhr — 17:00 Uhr

+41 78 84 88 780

Stem­mer­stras­se 54, 8238 Büsin­gen, Schweiz

Mon­tag-Frei­tag: 09:00 Uhr — 17:00 Uhr

Get Star­ted

Stei­gern Sie Ihre IT-Secu­ri­ty und schüt­zen somit die Assets Ihres Unternehmens.

Ver­ein­ba­ren Sie noch heu­te einen Beratungstermin.