Infrastruktur-Penetrationstest

Lassen Sie die Sicherheit Ihrer IT-Infrastruktur von Experten ├╝berpr├╝fen.

Was ist ein Penetrationstest einer IT-Infrastruktur?

Bei einem Penetrationstest einer Infrastruktur wird ein Angriff auf IT-Systeme und IT-Netzwerke simuliert. W├╝rden b├Âsartige Akteure Ihre Systeme attackieren, welche Daten k├Ânnten sie erbeuten und welche Systeme k├Ânnten sie empfindlich st├Âren? Das beantwortet ein Infrastruktur-Pentest.

Ob eine Windows-Dom├Ąne mit diversen Diensten wie Active Directory, MSSQL-Datenbanken und WSUS-Server oder heterogene Infrastrukturen, in denen auch Linux-Server mit Diensten wie Apache oder Postfix zum Einsatz kommen – in der Regel handelt es sich um komplexe Netzwerke, deren Services f├╝r Benutzer zur Verf├╝gung stehen. Schafft ein Angreifer den Einstieg ins Netzwerk, beispielsweise durch einen schlecht gesicherten VPN-Zugang, kann er auf interne Systeme zugreifen. Durch unsichere Konfiguration, mangelhafte Updates oder Standardpassw├Ârter gelingt die Ausbreitung auf immer weitere Systeme. Dieses sogenannte Lateral Movement f├╝hrt oft zur ├ťbernahme kritischer Systeme und schlie├člich der gesamten Infrastruktur.

Mit einem Penetrationstest Infrastruktur unterziehen Sie Ihre IT-Systeme einer Sicherheitspr├╝fung und k├Ânnen Hackern zuvorkommen, indem gefundene Schwachstellen behoben werden.

  • Erkennen Sie Sicherheitsl├╝cken fr├╝hzeitig
  • Erf├╝llen Sie Compliance-Anforderungen
  • Bewerten Sie Ihre Sicherheitslage
  • Sch├╝tzen Sie sich vor Datenverlust
  • Wehren Sie Cyberangriffe ab
alt text
Abbildung 1 Mit Informationen aus dem AD werden Angriffsvektoren ermittelt, um das Konto eines Dom├Ąnenadministrators zu ├╝bernehmen.

Wann brauche ich einen Pentest Infrastruktur?

Gr├╝nde f├╝r die Durchf├╝hrung eines Infrastruktur-Penetrationstests gibt es viele. Neben Compliance-Anforderungen gem├Ą├č ISO 27001 oder BSI Grundschutz muss daf├╝r gesorgt werden, dass Angreifer kein leichtes Spiel haben und Ihre Server hacken k├Ânnen.

Sie ben├Âtigen einen Penetrationstest f├╝r Ihre Infrastruktur, wenn mindestens eine der folgenden Voraussetzungen erf├╝llt ist:

  • Sie betreiben ein eigenes Netzwerk mit Diensten, die sensible Daten verarbeiten oder speichern.
  • Der letzte Penetrationstest liegt mehr als ein Jahr zur├╝ck.
  • Bestimmte Bereiche der Infrastruktur wurden noch nie durch eine Sicherheitspr├╝fung untersucht.
  • Sie wurden von Ihrem Auftraggeber oder Projektpartner aufgefordert nachzuweisen, dass Ihre IT-Systeme regelm├Ą├čig gepr├╝ft werden.
  • Sie planen die Einf├╝hrung eines neuen IT-Systems und sind sich nicht sicher, wie robust es gegen Angriffe aus dem Internet ist.
  • Sie wollen Ihren Kunden zeigen, dass Sie sich f├╝r die Sicherheit ihrer Daten einsetzen.

Ablauf eines Infrastruktur-Pentests

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Der Umfang des Pentests wird festgelegt.
  • Es wird diskutiert, auf welche Bedrohungen besonders eingegangen werden soll.
  • Ansprechpartner werden bekannt gegeben.
  • Ein Zeitraum wird vereinbart, in dem die Pr├╝fungen durchgef├╝hrt werden d├╝rfen.

Im Anschluss an das Treffen wird die Durchf├╝hrung des Penetrationstests vorbereitet und vor Beginn der eigentlichen Pr├╝fungen eine Freigabe erteilt.

2

In der Hauptphase des Pentests wird die Infrastruktur analysiert und es wird versucht Schutzziele zu verletzen.

  • Reconnaissance: Die Komponenten der IT-Infrastruktur werden mit passiven und aktiven Methoden tiefgehend untersucht.
  • Enumeration: M├Âgliche Angriffsvektoren werden durch entdeckte Schwachstellen gesammelt.
  • Exploitation: Schwachstellen werden kontrolliert ausgenutzt und neue Informationen werden gewonnen.
  • Dokumentation: Die gefundenen Schwachstellen, Schritte zur Ausnutzung und konkrete Abhilfema├čnahmen werden pr├Ązise beschrieben.
3

Gemeinsame Ergebnisbesprechung, bei welcher die gefundenen Schwachstellen und Handlungsempfehlungen vorgestellt werden.

  • Pr├Ąsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlungen: Konkrete Vorschl├Ąge zur Behebung von Schwachstellen werden gegeben.
  • Diskussion: Gemeinsam wird ├╝ber die n├Ąchsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende des Pentests und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielf├Ąltigen Produktportfolio von aramido fort.

Normen und Standards

Eine Sicherheitspr├╝fung ist ein bew├Ąhrtes Instrument f├╝r Risikomanagement. Aus diesem Grund fordern zahlreiche Normen und Standards die regelm├Ą├čige Pr├╝fung der gesamten IT-Infrastruktur durch Penetrationstests, darunter ISO IEC 27001, BSI IT-Grundschutz, NIST SP 800-53 und PCI DSS. Auch Vorschriften durch die BaFin fordern mit ZAIT, VAIT, BAIT und KAIT Sicherheitspr├╝fungen ein.

Umfangreiche Pr├╝fung der Anwendung

Infrastrukturen von Organisationen sind komplex und k├Ânnen viele Systeme beinhalten. Ob Firewall oder Switch eines bestimmten Herstellers, hochverf├╝gbares Datenbankmanagementsystem oder Kommunikation ├╝ber bestimmte Protokolle wie HTTP, CIFS oder SIP: Es m├╝ssen stets geeignete Pr├╝fungen durchgef├╝hrt werden. aramido f├╝hrt f├╝r den gemeinsam definierten Umfang beispielsweise folgende Pr├╝fungen durch:

  • Pr├╝fung der Netzwerksicherheit durch Untersuchung von Firewalls, Routern, Switches und weiteren Netzwerkdiensten.
  • Pr├╝fung der Server- und Betriebssystem-Sicherheit, indem der konzeptionelle Aufbau, die Sicherheitskonfiguration, das Patchmanagement und Autorisierung und Zugriffskontrollen detailliert betrachtet werden.
  • Pr├╝fung von Anwendungen und Diensten, da sie oft die ├ťbernahme eines Hosts erlauben. Mit der Kontrolle eines Servers k├Ânnen weitere Angriffe im Netzwerk durchgef├╝hrt werden (sogenanntes Lateral Movement).
  • Pr├╝fung von Authentifikations- und Verzeichnissystemen wie Active Directory (AD), Lightweight Directory Access Protocol-Diensten (LDAP) und Identity and Access Management-Systemen (IAM).
  • Pr├╝fung von Datenspeichern wie Datenbanken, Dateiservern oder Backupservern. Sie stellen ein wichtiges Angriffsziel dar und k├Ânnten durch eine nicht ausreichend gesch├╝tzte Kommunikation oder schwache Authentifikationsverfahren verwundbar sein.
  • Pr├╝fung der physischen Sicherheit von IT-Infrastrukturkomponenten, die oftmals in Serverr├Ąumen und Rechenzentren stattfinden. Ist beispielsweise der Hohlraumboden nicht gesichert oder werden Standardschlie├čzylinder ("Rittal 3524") verwendet, k├Ânnen Angreifer vielf├Ąltige Angriffe auf IT-Komponenten durchf├╝hren.
  • Pr├╝fung der Incident Response, bei der die Betrachtung der Reaktionsf├Ąhigkeit eines CERTs oder allgemein eines IT-Teams im Vordergrund steht.

Beim Kick-off des Projekts k├Ânnen au├čerdem besondere Pr├╝fungsw├╝nsche festgelegt werden.

Bereit, Ihre Infrastruktur abzusichern? Unsere Profis enth├╝llen Schwachstellen, bevor es Hacker tun. Kontaktieren Sie uns jetzt und verteidigen Sie Ihre IT-Infrastruktur!

Penetrationstest anfragen

aramido ist Ihr qualifizierter Partner f├╝r Infrastruktur-Penetrationstests

  • Tiefgreifende Sicherheitsanalyse: Unser Penetrationstest geht ├╝ber einfache Schwachstellenscans weit hinaus. aramido Pentester f├╝hren manuelle Tests durch und nutzen kreativ Angriffsvektoren, um auch komplexe Schwachstellen zu identifizieren und deren Auswirkungen auf die gesamte IT-Infrastruktur zu bewerten. Dies erm├Âglicht eine umfassende Analyse der Sicherheitslage Ihrer IT.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langj├Ąhriger Erfahrung und aktuellem Wissen ├╝ber die neuesten Bedrohungen und Angriffstechniken.
  • Ma├čgeschneiderte Ans├Ątze: Wir passen unsere Tests auf die individuellen Bed├╝rfnisse Ihrer Infrastruktur an, sei es eine on-premise Infrastruktur, eine Cloud-Umgebung oder eine hybride Form.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitsl├╝cken zu erkennen.
  • Preiswerter Penetrationstest: Wir bieten professionelle Leistungen zu sehr guten, markt├╝blichen Konditionen an.
  • Verst├Ąndliche Berichte: Unsere Berichte sind klar strukturiert und verst├Ąndlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverl├Ąssige Partnerschaft: Wir stehen Ihnen nicht nur w├Ąhrend des Tests zur Seite, sondern sind Ihr Ansprechpartner f├╝r alle Fragen der Informationssicherheit.
  • Erkennen Sie Sicherheitsl├╝cken fr├╝hzeitig
  • Erf├╝llen Sie Compliance-Anforderungen
  • Bewerten Sie Ihre Sicherheitslage
  • Sch├╝tzen Sie sich vor Datenverlust
  • Wehren Sie Cyberangriffe ab

Artikel zum Thema

Armin Harbrecht

Am 14.11.2016 ver├Âffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man h├Ąufig die Frage, was die Kosten f├╝r einen Penetrationstest sind. Die Antwort h├Ąngt von verschiedenen Faktoren ab. (weiterlesen)


Andreas Sperber

Am 01.08.2016 ver├Âffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)


Leonard Otto

Am 27.04.2023 ver├Âffentlicht.

In 30 Minuten zum Domain-Admin

Am 4. Mai 2023 zeigen wir bei einem Live-Hacking-Event, wie Angreifer innerhalb von 30 Minuten ein ganzes Netzwerk ├╝bernehmen k├Ânnen. (weiterlesen)


Moritz Kaumanns

Am 01.02.2021 ver├Âffentlicht.

Sicherheitswarnung: Amazon Secret Key ├Âffentlich einsehbar (CVE-2020-28199)

Eine Sicher­┬ş┬şheits┬ş┬ş­l├╝cke in einem Amazon Pay Plugin f├╝r Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)


Andreas Sperber

Am 28.01.2017 ver├Âffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher k├Ân­nen sich am 1. und 2. Febru­ar ├╝ber In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)