Penetrationstest

Prüfen Sie die Sicherheit Ihrer Systeme mit unseren Experten.

Was ist ein Penetrationstest?

Angesichts der immer komplexer werdenden IT-Landschaft sind Schwachstellen bei der Entwicklung von Software oder bei der Konfiguration von IT-Systemen nahezu unvermeidbar. Doch genau diese erlauben nicht selten schwerwiegende Angriffe, wodurch verarbeitete Daten oder sogar eine gesamte IT-Infrastruktur gefährdet ist. Die Folgen können schwere finanzielle Verluste durch Erpressungen oder Reputationsschaden sein. Ein Penetrationstest soll gezielt solchen Angriffen zuvor kommen und simuliert Angriffe auf IT-Systeme, um somit Schwachstellen frühzeitig zu erkennen. 

Während eines Pentests analysieren erfahrene Sicherheitsexperten (ethical Hacker) die Vorgehensweise eines potenziellen Angreifers, um Risiken zu identifizieren. Das Vorgehen unterscheidet sich dabei von einem einfachen Sicherheitsscan, welcher sich lediglich auf öffentlich bekannte Schwachstellen konzentriert. Ein Pentest erfolgt mit realistischen Angriffsszenarien und nutzt menschliche Expertise, um auch unbekannte Schwachstellen in Ihren Systemen oder Ihrer Software aufzudecken. 

Die Ergebnisse eines Penetrationstests werden in einem Bericht festgehalten, welcher ausführliche Beschreibungen der entdeckten Schwächen sowie direkte Maßnahmen zur Verbesserung des Sicherheitsniveaus enthält.

Egal, ob sie einen Angriff auf Ihre gesamte Infrastruktur simulieren wollen oder ob sie eine Mobile- oder Web-Anwendung entwickeln, aramido stehen Ihnen mit Expertise zur Seite.

  • Kommen Sie Angreifern zuvor
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Verhindern Sie eine Übernahme Ihrer Infrastruktur
  • Schützen Sie Ihre entwickelten Anwendungen
  • Vermeiden Sie negative Schlagzeilen und Reputationsschaden
Video 1 Wie Hacker das Konto eines Domänenadministrators übernehmen können, zeigt eine aramido Sondersendung.

Wann brauche ich einen Pentest?

Durch die heutige Bedrohung ist es wichtig das Sicherheitsniveau der eigenen IT-Landschaft zu kennen, um Maßnahmen und notwendige Prozesse umzusetzen. In den folgenden Situationen sollte ein Penetrationstest durchgeführt werden:

  • Ihre Systeme verarbeiten oder speichern sensible Informationen?
  • Sie entwickeln eine Anwendung und stehen kurz vor der Veröffentlichung?
  • Sie wollen herausfinden, wie weit ein Angreifer in ihrer Infrastruktur kommen würde?
  • Es werden größere Änderungen an Systemen oder Anwendungen durchgeführt?
  • Sie wollen technologische Risiken identifizieren und reduzieren?
  • Sie wollen ihr Blue-Team und die bestehende Verteidigung ihrer Systeme testen?

In Anbetracht der zunehmenden Häufigkeit von Cyberangriffen sollte verstärkt auf Penetrationstests gesetzt werden. Stellen Sie aktiv sicher, dass Ihre Systeme solchen Bedrohungen gewappnet sind.

Genereller Ablauf eines Pentests

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Der Umfang des Pentests wird festgelegt.
  • Es wird diskutiert, auf welche Bedrohungen besonders eingegangen werden soll.
  • Ansprechpartner werden bekannt gegeben.
  • Ein Zeitraum wird vereinbart, in dem die Prüfungen durchgeführt werden dürfen.

Im Anschluss an das Treffen wird die Durchführung des Penetrationstests vorbereitet und vor Beginn der eigentlichen Prüfungen eine Freigabe erteilt.

2

In der Hauptphase des Pentests wird das System analysiert und es wird versucht Schutzziele zu verletzen.

  • Reconnaissance: Der Testgegenstand wird mit passiven und aktiven Methoden tiefgehend untersucht.
  • Enumeration: Mögliche Angriffsvektoren werden durch entdeckte Schwachstellen gesammelt.
  • Exploitation: Schwachstellen werden kontrolliert ausgenutzt und neue Informationen werden gewonnen.
  • Dokumentation: Die gefundenen Schwachstellen, Schritte zur Ausnutzung und konkrete Abhilfemaßnahmen werden präzise beschrieben.
3

Gemeinsame Ergebnisbesprechung, bei welcher die gefundenen Schwachstellen und Handlungsempfehlungen vorgestellt werden.

  • Präsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlungen: Konkrete Vorschläge zur Behebung von Schwachstellen werden gegeben.
  • Diskussion: Gemeinsam wird über die nächsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende des Pentests und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielfältigen Produktportfolio von aramido fort.

Normen und Standards

Zahlreiche Normen und Standards fordern die regelmäßige Durchführung eines Penetests und umfangreiche Prüfungen von IT-Systemen. Eine solche Prüfung gilt als bewährtes Instrument für das Risikomanagement. Zu diesen Normen und Standards gehören unter anderem PCI-DSS, ISO IEC 27001, TISAX (VDA ISA), NIST SP 800-53 und SOC 2. Auch Vorschriften durch die BaFin fordern mit ZAIT, VAIT, BAIT und KAIT Sicherheitsprüfungen.

Umfangreiche Prüfung der Anwendung

Abhängig von der jeweiligen Art des Pentests orientiert man sich an verschiedenen Vorgehensweisen und Standards. Somit soll eine einheitliche und gründliche Analyse sichergestellt werden. Die folgenden beispielhaften Prüfungen werden bei einem Pentest durchgeführt:

  • Authorisierungsprüfungen und Authentifizierungsprüfungen sollen Schwächen im Rechte und Rollenmanagement der Software oder Infrastruktur aufdecken.
  • Prüfung schwacher Kryptografie (Encryption at Rest und Encryption in Transit) für Kommunikationsverbindungen zwischen Systemen.
  • Mobile-Anwendungen (Apps) werden gemäß OWASP Mobile Application Security Testing Guide untersucht.
  • Bei einem Infrastrukturpentest werden Systeme und die Konfiguration der Active-Directory-Infrastruktur analysiert und angegriffen.
  • Prüfung der betriebenen Dienste und Server innerhalb einer Infrastruktur. Untersuchung auf mögliche Konfigurationsfehler, welche Angriffe erlauben.
  • Webpentests werden gemäß OWASP Top 10 auf häufigste Fehlerquellen untersucht.

Bereit, Ihre IT-Systeme zu prüfen und abzusichern? Unsere Experten enthüllen Schwachstellen, bevor es Hacker tun. Kontaktieren Sie uns jetzt und härten Sie Ihre Systeme und Anwendungen!

Penetrationstest anfragen

aramido ist Ihr qualifizierter Partner für Penetrationstests

  • Tiefgreifende Sicherheitsanalyse: Unser Penetrationstest geht über einfache Schwachstellenscans weit hinaus. aramido Pentester führen manuelle Tests durch und nutzen kreativ Angriffsvektoren, um auch komplexe Schwachstellen zu identifizieren und deren Auswirkungen auf das Gesamtsystem zu bewerten. Dies ermöglicht eine umfassende Analyse der Sicherheitslage Ihrer Plattform.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langjähriger Erfahrung und aktuellem Wissen über die neuesten Bedrohungen und Angriffstechniken.
  • Maßgeschneiderte Ansätze: Wir passen unsere Tests auf individuelle Bedürfnisse an, sei es eine traditionelle Webseite, eine Single-Page-Application, eine Mobile-Anwendung, eine API oder die Prüfung einer gesamten Infrastruktur inklusive Red-Teaming.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitslücken zu erkennen.
  • Preiswerter Penetrationstest: Wir bieten professionelle Leistungen zu sehr guten, marktüblichen Konditionen an.
  • Verständliche Berichte: Unsere Berichte sind klar strukturiert und verständlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverlässige Partnerschaft: Wir stehen Ihnen nicht nur während des Tests zur Seite, sondern sind Ihr Ansprechpartner für alle Fragen der Informationssicherheit.
  • Kommen Sie Angreifern zuvor
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Verhindern Sie eine Übernahme Ihrer Infrastruktur
  • Schützen Sie Ihre entwickelten Anwendungen
  • Vermeiden Sie negative Schlagzeilen und Reputationsschaden

Artikel zum Thema

Armin Harbrecht

Am 14.11.2016 veröffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man häufig die Frage, was die Kosten für einen Penetrationstest sind. Die Antwort hängt von verschiedenen Faktoren ab. (weiterlesen)


Andreas Sperber

Am 01.08.2016 veröffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)


Moritz Kaumanns

Am 01.02.2021 veröffentlicht.

Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Eine Sicher­Â­Â­heits­­­lücke in einem Amazon Pay Plugin für Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)


Andreas Sperber

Am 28.01.2017 veröffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher kön­nen sich am 1. und 2. Febru­ar über In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)


Andreas Sperber

Am 19.09.2016 veröffentlicht.

RoundTable: Gebt mir eure Daten!

Lang­fristiger Kun­den­er­folg Ihrer SaaS-Lö­sung durch IT-Sicher­heit und Da­ten­schutz - ein Vor­trag mit Live-Hacking von aramido und eknowvation (weiterlesen)