Penetrationstest

Überprüfen Sie Ihre IT-Systeme und Webanwendungen mit den Strategien und Taktiken der Angreifer.

Kostenloser Bericht zur Demonstration
Konkrete Handlungsempfehlungen
Alle durchgeführten Tests

Welche Vorteile bietet ein Penetrationstest?

In­for­ma­tions­tech­nik von Un­ter­neh­men und Or­ga­ni­sa­tio­nen ist tä­glich ei­ner Viel­zahl von Ge­fah­ren aus­ge­setzt. Bös­willige Ha­cker ver­su­chen Schwach­stel­len aus­zu­nu­tzen, um so an wert­vol­le In­for­ma­tio­nen zu ge­lan­gen oder Sys­te­me lahm­zu­le­gen. Es gib eine Vielzahl an Gründen, warum Pene­trations­tests sinnvoll sind. Sei­en Sie ei­nen Schritt vo­raus und si­chern Sie Ih­re IT ab!

Als un­ab­hän­gi­ger Drit­ter führt aramido Pene­trati­ons­tests für Ih­re IT-In­fra­struk­tur und Web­an­wen­dun­gen durch. Wir ori­en­tie­ren uns da­bei an an­er­kannten Vor­ge­hens­wei­sen wie dem OWASP-Testing-Guide und OSSTMM.

Individuelle Simulation reeller Angriffe
Orientierung an anerkannten Standards
Effektiver Rundumschutz
Unabhängige Überprüfung Ihrer IT-Sicherheit

Wie ist das Vorgehen und das Ergebnis des Pentests?

1
Vorbereitung: Nachdem Sie mit aramido Er­war­tun­gen und Ziele for­mu­liert ha­ben, wer­den rech­tliche und or­ga­ni­sa­to­ri­sche As­pekte ge­klärt. Hier de­finieren wir beispielsweise Testzeiträume sowie -methoden und gren­zen Ziel­sys­teme ein.
2
Analyse: Mit öf­fent­lich und nicht öf­fent­lich ver­füg­ba­ren In­for­ma­tio­nen er­stel­len wir eine de­taillier­te Über­sicht über den Ist-Zu­stand der zu unter­suchen­den Sys­teme. An­schlie­ßend be­wer­ten wir das Ri­siko po­ten­ti­eller Schwach­stel­len und le­gen ein er­folgs­ver­spre­chen­des und wirt­schaft­lich effizientes Vorgehen fest.
3
Aktive Tests: Durch ak­tive Tests stellen wir he­raus, in­wie­fern ei­ne mut­maß­liche Schwach­stel­le ein tat­säch­liches Ri­si­ko dar­stellt. Die­se Tests führen wir mit der not­wen­di­gen Sorg­falt durch, um Sys­tem­aus­fälle zu ver­mei­den. Auch wenn wir in ein Sys­tem er­folg­reich ein­ge­drun­gen sind, wer­den ver­blei­ben­de Tests voll­stän­dig durch­ge­führt.
4
Ergebnisbericht: Im Er­ge­bnis­be­richt er­hal­ten Sie eine nach­voll­zieh­bare Be­schrei­bung un­serer Vor­ge­hens­wei­se und eine Be­wer­tung der ge­fun­denen Schwach­stel­len nach ihrem Ri­si­ko. Wir be­spre­chen mit Ihnen kon­kre­te Han­dlungs­em­pfeh­lun­gen und un­ter­stützen Sie auch nach der Über­prü­fung im wei­te­ren Vor­ge­hen.
Beispiel-Ergebnisbericht

Damit Sie sich vor Beauftragung eines Penetrationstests ein Bild davon machen können, wie das Ergebnis eines Pentests aussehen kann, senden wir Ihnen gerne kostenlos einen Beispielbericht zu.

Beispiel-Ergebnisbericht anfordern

Welche Penetrationstest-Module werden angeboten?

Pentests decken gra­vie­rende Sicher­heitslücken auf, die Hacker bös­willig aus­nutzen könnten. Damit dienen Penetrationstests als präventive Schutzmaßnahme gegen Hacker-Angriffe. Sie können die fol­gen­den Module durch die Penetrations­tester von aramido durch­führen lassen:
Webanwendung

Durch die Erreichbarkeit über Netz­werke sind Web­an­wen­dungen ein häu­figes Angriffs­ziel. Hacker er­beu­ten über Cross-Site Scrip­ting, Injec­tions oder Fehler in der Authen­tifi­zier­ung wert­volle Daten. Wir pen­testen sowohl Stand­ard- als auch Indi­vidu­al­soft­ware und deck­en un­be­kannte Schwach­stellen auf.

Server

Server (Webserver, Mail­server oder Da­tei­server) sind teils nur aus dem inter­nen Netz­werk erreich­bar und werden daher oft nur unzureichend geschützt. Industrie­spionage er­folgt aber meis­tens durch Innen­tä­ter oder in das interne Netz­werk ein­ge­schleus­te Mal­ware. Durch einen Server-Pene­tra­tions­test können die­se Gefahren er­kannt und abge­wehrt werden.

WLAN

Viele Unternehmensnetzwerke setz­en auf drahtlose Kom­mu­ni­ka­tion mit­tels WLAN, um Geräte wie Drucker, Laptops und Smartphones zu vernetzen. Doch WLAN-Netze halten sich nicht an Bürogrenzen und sind so im Zugriffsbereich von War­drivern und anderen An­greifern. Die aramido-Pentester überprüfen die Sicher­heit Ihrer WLAN-Netze und decken Schwach­stellen von Konfi­guration, ge­wähl­ten Vers­chlüs­selungs­ver­fahren und Pass­wörtern auf.

Social Hacking

Die größte Sorge vieler IT-Si­cher­heits­verant­wort­licher sind in­zwisch­en gezielte Attacken auf den Faktor Mensch. Die ei­ge­nen Mitarbeiter geben durch Spear-Phishing oder sogar Pharming Pass­wörter preis oder installieren Tro­ja­ner aus E-Mail-Anhängen und USB-Sticks. Social Hacking Tests nutz­en So­cial En­gineer­ing Tech­ni­ken, um in Ihre IT-Systeme einzu­dring­en. Durch Social Hack­ing kön­nen Sie das Awareness Level Ihrer Mit­arbeiter mes­sen und die Er­geb­nisse im Nach­gang zur Sensi­bi­li­sierung nutzen.

Was ist der richtige Umfang für einen Penetrationstest?

Ein Penetrationstest kann wenige Tage bis hin zu mehreren Wochen dau­ern. Neben den ge­wähl­ten Modulen und Test­zielen beeinflusst der Test­umfang den Auf­wand. Er kann ent­lang der fol­gen­den Di­mensio­nen ein­ge­stellt werden. Die für Ihre Situation passende Konfi­gu­ra­tion des Pe­ne­trations­test bestimmen wir gemeinsam mit Ihnen. Eine erste Einschätzung erhalten Sie im Artikel zu den Kosten eines Penetrationstests.
Informationsbasis White-Box Black-Box
Prüftiefe passiv moderat invasiv
Vorgehensweise offensichtlich verdeckt
Ausgangspunkt von innen von außen
Wie würde ein Angreifer vorgehen, um Ihr Unternehmen auszuspionieren oder zu sabotieren? Wie wirksam ist Ihr IT-Sicherheitskonzept? Machen Sie mit einem Penetrationstest die Probe aufs Exempel.
Pentest anfragen

Stimmen zu aramido

Kundenstimme Dr. Herzig

Die Berater von aramido haben mich durch um­fassendes Fach­wissen und kon­krete Maß­nah­men­em­pfeh­lungen über­zeugt.

Dr. Herzig, Geschäftsführer SearchHaus GmbH

Penetrationstest schützt

WLAN Router KARMA Evil Twin Advanced Persistent Threats (APT) Zero-Day-Exploits Cross Site Scripting (XSS) SQL Injections PHP Trojaner Social Engineering BSI Spear Phishing Webserver Webanwendung Man-In-The-Middle (MIM) Click-Jacking SSL-Stripping DSGVO Session-Management Autorisierung • Zugriffskontrolle Cross Site Request Forgery (CSRF) Typo3 Assume Breach Bitlocker FileVault 1CRM Insecure Direct Object Reference

Aktuelle Artikel im Penetration Testing Blog

FIDO2 und WebAuthn: Login ohne Passwort

FIDO2 und WebAuthn erlau­ben eine sichere und phi­shing­re­sis­ten­te Authen­ti­fi­ka­tion bei Web­diens­ten, um einen Daten­ab­fluss zu ver­mei­den. (weiterlesen)