Penetrationstest

Prüfen Sie die Sicherheit Ihrer Systeme mit unseren Experten.

  1. Start
  2. IT-Sicherheitsprüfung
  3. Penetrationstest

Was ist ein Penetrationstest?

Angesichts der immer komplexer werdenden IT-Landschaft sind Schwachstellen bei der Entwicklung von Software oder bei der Konfiguration von IT-Systemen nahezu unvermeidbar. Doch genau diese erlauben nicht selten schwerwiegende Angriffe, wodurch verarbeitete Daten oder sogar eine gesamte IT-Infrastruktur gefährdet ist. Die Folgen können schwere finanzielle Verluste durch Erpressungen oder Reputationsschaden sein. Ein Penetrationstest soll gezielt solchen Angriffen zuvor kommen und simuliert Angriffe auf IT-Systeme, um somit Schwachstellen frühzeitig zu erkennen. 

Während eines Pentests analysieren erfahrene Sicherheitsexperten (ethical Hacker) die Vorgehensweise eines potenziellen Angreifers, um Risiken zu identifizieren. Das Vorgehen unterscheidet sich dabei von einem einfachen Sicherheitsscan, welcher sich lediglich auf öffentlich bekannte Schwachstellen konzentriert. Ein Pentest erfolgt mit realistischen Angriffsszenarien und nutzt menschliche Expertise, um auch unbekannte Schwachstellen in Ihren Systemen oder Ihrer Software aufzudecken. 

Die Ergebnisse eines Penetrationstests werden in einem Bericht festgehalten, welcher ausführliche Beschreibungen der entdeckten Schwächen sowie direkte Maßnahmen zur Verbesserung des Sicherheitsniveaus enthält.

Egal, ob sie einen Angriff auf Ihre gesamte Infrastruktur simulieren wollen oder ob sie eine Mobile- oder Web-Anwendung entwickeln, aramido stehen Ihnen mit Expertise zur Seite.

  • Kommen Sie Angreifern zuvor
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Verhindern Sie eine Übernahme Ihrer Infrastruktur
  • Schützen Sie Ihre entwickelten Anwendungen
  • Vermeiden Sie negative Schlagzeilen und Reputationsschaden
Penetrationstest anfragen
Video 1 Wie Hacker das Konto eines Domänenadministrators übernehmen können, zeigt eine aramido Sondersendung.

Wann brauche ich einen Pentest?

Durch die heutige Bedrohung ist es wichtig das Sicherheitsniveau der eigenen IT-Landschaft zu kennen, um Maßnahmen und notwendige Prozesse umzusetzen. In den folgenden Situationen sollte ein Penetrationstest durchgeführt werden:

  • Ihre Systeme verarbeiten oder speichern sensible Informationen?
  • Sie entwickeln eine Anwendung und stehen kurz vor der Veröffentlichung?
  • Sie wollen herausfinden, wie weit ein Angreifer in ihrer Infrastruktur kommen würde?
  • Es werden größere Änderungen an Systemen oder Anwendungen durchgeführt?
  • Sie wollen technologische Risiken identifizieren und reduzieren?
  • Sie wollen ihr Blue-Team und die bestehende Verteidigung ihrer Systeme testen?

In Anbetracht der zunehmenden Häufigkeit von Cyberangriffen sollte verstärkt auf Penetrationstests gesetzt werden. Stellen Sie aktiv sicher, dass Ihre Systeme solchen Bedrohungen gewappnet sind.

Genereller Ablauf eines Pentests

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Der Umfang des Pentests wird festgelegt.
  • Es wird diskutiert, auf welche Bedrohungen besonders eingegangen werden soll.
  • Ansprechpartner werden bekannt gegeben.
  • Ein Zeitraum wird vereinbart, in dem die Prüfungen durchgeführt werden dürfen.

Im Anschluss an das Treffen wird die Durchführung des Penetrationstests vorbereitet und vor Beginn der eigentlichen Prüfungen eine Freigabe erteilt.

2

In der Hauptphase des Pentests wird das System analysiert und es wird versucht Schutzziele zu verletzen.

  • Reconnaissance: Der Testgegenstand wird mit passiven und aktiven Methoden tiefgehend untersucht.
  • Enumeration: Mögliche Angriffsvektoren werden durch entdeckte Schwachstellen gesammelt.
  • Exploitation: Schwachstellen werden kontrolliert ausgenutzt und neue Informationen werden gewonnen.
  • Dokumentation: Die gefundenen Schwachstellen, Schritte zur Ausnutzung und konkrete Abhilfemaßnahmen werden präzise beschrieben.
3

Gemeinsame Ergebnisbesprechung, bei welcher die gefundenen Schwachstellen und Handlungsempfehlungen vorgestellt werden.

  • Präsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlungen: Konkrete Vorschläge zur Behebung von Schwachstellen werden gegeben.
  • Diskussion: Gemeinsam wird über die nächsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende des Pentests und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielfältigen Produktportfolio von aramido fort.

Normen und Standards

Zahlreiche Normen und Standards fordern die regelmäßige Durchführung eines Penetests und umfangreiche Prüfungen von IT-Systemen. Eine solche Prüfung gilt als bewährtes Instrument für das Risikomanagement. Zu diesen Normen und Standards gehören unter anderem PCI-DSS, ISO IEC 27001, TISAX (VDA ISA), NIST SP 800-53 und SOC 2. Auch Vorschriften durch die BaFin fordern mit ZAIT, VAIT, BAIT und KAIT Sicherheitsprüfungen.

Umfangreiche Prüfung der Anwendung

Abhängig von der jeweiligen Art des Pentests orientiert man sich an verschiedenen Vorgehensweisen und Standards. Somit soll eine einheitliche und gründliche Analyse sichergestellt werden. Die folgenden beispielhaften Prüfungen werden bei einem Pentest durchgeführt:

  • Authorisierungsprüfungen und Authentifizierungsprüfungen sollen Schwächen im Rechte und Rollenmanagement der Software oder Infrastruktur aufdecken.
  • Prüfung schwacher Kryptografie (Encryption at Rest und Encryption in Transit) für Kommunikationsverbindungen zwischen Systemen.
  • Mobile-Anwendungen (Apps) werden gemäß OWASP Mobile Application Security Testing Guide untersucht.
  • Bei einem Infrastrukturpentest werden Systeme und die Konfiguration der Active-Directory-Infrastruktur analysiert und angegriffen.
  • Prüfung der betriebenen Dienste und Server innerhalb einer Infrastruktur. Untersuchung auf mögliche Konfigurationsfehler, welche Angriffe erlauben.
  • Webpentests werden gemäß OWASP Top 10 auf häufigste Fehlerquellen untersucht.

Bereit, Ihre IT-Systeme zu prüfen und abzusichern? Unsere Experten enthüllen Schwachstellen, bevor es Hacker tun. Kontaktieren Sie uns jetzt und härten Sie Ihre Systeme und Anwendungen!

Penetrationstest anfragen

Penetrationstest Web

Prüfung von Webanwendungen und Ausnutzung deren Schwachstellen

Penetrationstests Infrastruktur

Sicherheitstests von Komponenten der IT-Infrastruktur wie Server und Dienste

Penetrationstest Mobile

Sicherheitsuntersuchung von Mobile Apps und deren Schnittstellen

Belastungstests und Dienstausfallprüfung

Stresstests von IT-Systemen

Schwach­stellen­scan

Automatisierte und effiziente Prüfung auf bekannte Schwachstellen

Red Teaming

Digitale und physische Angriffe gegen die gesamte Organisation

aramido ist Ihr qualifizierter Partner für Penetrationstests

  • Tiefgreifende Sicherheitsanalyse: Unser Penetrationstest geht über einfache Schwachstellenscans weit hinaus. aramido Pentester führen manuelle Tests durch und nutzen kreativ Angriffsvektoren, um auch komplexe Schwachstellen zu identifizieren und deren Auswirkungen auf das Gesamtsystem zu bewerten. Dies ermöglicht eine umfassende Analyse der Sicherheitslage Ihrer Plattform.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langjähriger Erfahrung und aktuellem Wissen über die neuesten Bedrohungen und Angriffstechniken.
  • Maßgeschneiderte Ansätze: Wir passen unsere Tests auf individuelle Bedürfnisse an, sei es eine traditionelle Webseite, eine Single-Page-Application, eine Mobile-Anwendung, eine API oder die Prüfung einer gesamten Infrastruktur inklusive Red-Teaming.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitslücken zu erkennen.
  • Preiswerter Penetrationstest: Wir bieten professionelle Leistungen zu sehr guten, marktüblichen Konditionen an.
  • Verständliche Berichte: Unsere Berichte sind klar strukturiert und verständlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverlässige Partnerschaft: Wir stehen Ihnen nicht nur während des Tests zur Seite, sondern sind Ihr Ansprechpartner für alle Fragen der Informationssicherheit.
  • Kommen Sie Angreifern zuvor
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Verhindern Sie eine Übernahme Ihrer Infrastruktur
  • Schützen Sie Ihre entwickelten Anwendungen
  • Vermeiden Sie negative Schlagzeilen und Reputationsschaden
Penetrationstest anfragen

Artikel zum Thema

Armin Harbrecht

Am 14.11.2016 veröffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man häufig die Frage, was die Kosten für einen Penetrationstest sind. Die Antwort hängt von verschiedenen Faktoren ab. (weiterlesen)

Andreas Sperber

Am 01.08.2016 veröffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)

Niklas Fuhrberg

Am 26.08.2024 veröffentlicht.

Was ist die NIS-2-Richtlinie? (Teil 1)

Durch die steigende Zahl an Cyberangriffen reagiert die EU mit neuen Maßnahmen. Hierzu zählt die NIS-2, die neue Anforderungen an Unternehmen stellt. (weiterlesen)

Niklas Fuhrberg

Am 19.08.2024 veröffentlicht.

NIS-2: Was müssen Unternehmen tun? (Teil 3)

Als erstere Schritte sollten Verantwortlichkeiten im Unternehmen festgelegt werden. Neben einer koordinierenden Stelle, beispielsweise einem Informationssicherheitsbeauftragten, muss auch die Geschäftsleitung ganz konkrete Pflichte wahrnehmen. (weiterlesen)

Moritz Kaumanns

Am 01.02.2021 veröffentlicht.

Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Eine Sicher­­­heits­­­lücke in einem Amazon Pay Plugin für Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)

Themenfelder

Pentester Cross Site Scripting (XSS) Ethical Hacker Exploitation White Hat Hacker Mobile Security Informationssicherheit Man-In-The-Middle (MIM) Security Audit Red Team Hardening • Härten • Absichern SQL Injections Threat Modeling Web Application Security Ransomware