Infrastruktur-Penetrationstest

Lassen Sie die Sicherheit Ihrer IT-Infrastruktur von Experten überprüfen.

Was ist ein Penetrationstest einer IT-Infrastruktur?

Bei einem Penetrationstest einer Infrastruktur wird ein Angriff auf IT-Systeme und IT-Netzwerke simuliert. Würden bösartige Akteure Ihre Systeme attackieren, welche Daten könnten sie erbeuten und welche Systeme könnten sie empfindlich stören? Das beantwortet ein Infrastruktur-Pentest.

Ob eine Windows-Domäne mit diversen Diensten wie Active Directory, MSSQL-Datenbanken und WSUS-Server oder heterogene Infrastrukturen, in denen auch Linux-Server mit Diensten wie Apache oder Postfix zum Einsatz kommen – in der Regel handelt es sich um komplexe Netzwerke, deren Services für Benutzer zur Verfügung stehen. Schafft ein Angreifer den Einstieg ins Netzwerk, beispielsweise durch einen schlecht gesicherten VPN-Zugang, kann er auf interne Systeme zugreifen. Durch unsichere Konfiguration, mangelhafte Updates oder Standardpasswörter gelingt die Ausbreitung auf immer weitere Systeme. Dieses sogenannte Lateral Movement führt oft zur Übernahme kritischer Systeme und schließlich der gesamten Infrastruktur.

Mit einem Penetrationstest Infrastruktur unterziehen Sie Ihre IT-Systeme einer Sicherheitsprüfung und können Hackern zuvorkommen, indem gefundene Schwachstellen behoben werden.

  • Erkennen Sie Sicherheitslücken frühzeitig
  • Erfüllen Sie Compliance-Anforderungen
  • Bewerten Sie Ihre Sicherheitslage
  • Schützen Sie sich vor Datenverlust
  • Wehren Sie Cyberangriffe ab
alt text
Abbildung 1 Mit Informationen aus dem AD werden Angriffsvektoren ermittelt, um das Konto eines Domänenadministrators zu übernehmen.

Wann brauche ich einen Pentest Infrastruktur?

Gründe für die Durchführung eines Infrastruktur-Penetrationstests gibt es viele. Neben Compliance-Anforderungen gemäß ISO 27001 oder BSI Grundschutz muss dafür gesorgt werden, dass Angreifer kein leichtes Spiel haben und Ihre Server hacken können.

Sie benötigen einen Penetrationstest für Ihre Infrastruktur, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:

  • Sie betreiben ein eigenes Netzwerk mit Diensten, die sensible Daten verarbeiten oder speichern.
  • Der letzte Penetrationstest liegt mehr als ein Jahr zurück.
  • Bestimmte Bereiche der Infrastruktur wurden noch nie durch eine Sicherheitsprüfung untersucht.
  • Sie wurden von Ihrem Auftraggeber oder Projektpartner aufgefordert nachzuweisen, dass Ihre IT-Systeme regelmäßig geprüft werden.
  • Sie planen die Einführung eines neuen IT-Systems und sind sich nicht sicher, wie robust es gegen Angriffe aus dem Internet ist.
  • Sie wollen Ihren Kunden zeigen, dass Sie sich für die Sicherheit ihrer Daten einsetzen.

Ablauf eines Infrastruktur-Pentests

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Der Umfang des Pentests wird festgelegt.
  • Es wird diskutiert, auf welche Bedrohungen besonders eingegangen werden soll.
  • Ansprechpartner werden bekannt gegeben.
  • Ein Zeitraum wird vereinbart, in dem die Prüfungen durchgeführt werden dürfen.

Im Anschluss an das Treffen wird die Durchführung des Penetrationstests vorbereitet und vor Beginn der eigentlichen Prüfungen eine Freigabe erteilt.

2

In der Hauptphase des Pentests wird die Infrastruktur analysiert und es wird versucht Schutzziele zu verletzen.

  • Reconnaissance: Die Komponenten der IT-Infrastruktur werden mit passiven und aktiven Methoden tiefgehend untersucht.
  • Enumeration: Mögliche Angriffsvektoren werden durch entdeckte Schwachstellen gesammelt.
  • Exploitation: Schwachstellen werden kontrolliert ausgenutzt und neue Informationen werden gewonnen.
  • Dokumentation: Die gefundenen Schwachstellen, Schritte zur Ausnutzung und konkrete Abhilfemaßnahmen werden präzise beschrieben.
3

Gemeinsame Ergebnisbesprechung, bei welcher die gefundenen Schwachstellen und Handlungsempfehlungen vorgestellt werden.

  • Präsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlungen: Konkrete Vorschläge zur Behebung von Schwachstellen werden gegeben.
  • Diskussion: Gemeinsam wird über die nächsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende des Pentests und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielfältigen Produktportfolio von aramido fort.

Normen und Standards

Eine Sicherheitsprüfung ist ein bewährtes Instrument für Risikomanagement. Aus diesem Grund fordern zahlreiche Normen und Standards die regelmäßige Prüfung der gesamten IT-Infrastruktur durch Penetrationstests, darunter ISO IEC 27001, BSI IT-Grundschutz, NIST SP 800-53 und PCI DSS. Auch Vorschriften durch die BaFin fordern mit ZAIT, VAIT, BAIT und KAIT Sicherheitsprüfungen ein.

Umfangreiche Prüfung der Anwendung

Infrastrukturen von Organisationen sind komplex und können viele Systeme beinhalten. Ob Firewall oder Switch eines bestimmten Herstellers, hochverfügbares Datenbankmanagementsystem oder Kommunikation über bestimmte Protokolle wie HTTP, CIFS oder SIP: Es müssen stets geeignete Prüfungen durchgeführt werden. aramido führt für den gemeinsam definierten Umfang beispielsweise folgende Prüfungen durch:

  • Prüfung der Netzwerksicherheit durch Untersuchung von Firewalls, Routern, Switches und weiteren Netzwerkdiensten.
  • Prüfung der Server- und Betriebssystem-Sicherheit, indem der konzeptionelle Aufbau, die Sicherheitskonfiguration, das Patchmanagement und Autorisierung und Zugriffskontrollen detailliert betrachtet werden.
  • Prüfung von Anwendungen und Diensten, da sie oft die Übernahme eines Hosts erlauben. Mit der Kontrolle eines Servers können weitere Angriffe im Netzwerk durchgeführt werden (sogenanntes Lateral Movement).
  • Prüfung von Authentifikations- und Verzeichnissystemen wie Active Directory (AD), Lightweight Directory Access Protocol-Diensten (LDAP) und Identity and Access Management-Systemen (IAM).
  • Prüfung von Datenspeichern wie Datenbanken, Dateiservern oder Backupservern. Sie stellen ein wichtiges Angriffsziel dar und könnten durch eine nicht ausreichend geschützte Kommunikation oder schwache Authentifikationsverfahren verwundbar sein.
  • Prüfung der physischen Sicherheit von IT-Infrastrukturkomponenten, die oftmals in Serverräumen und Rechenzentren stattfinden. Ist beispielsweise der Hohlraumboden nicht gesichert oder werden Standardschließzylinder ("Rittal 3524") verwendet, können Angreifer vielfältige Angriffe auf IT-Komponenten durchführen.
  • Prüfung der Incident Response, bei der die Betrachtung der Reaktionsfähigkeit eines CERTs oder allgemein eines IT-Teams im Vordergrund steht.

Beim Kick-off des Projekts können außerdem besondere Prüfungswünsche festgelegt werden.

Bereit, Ihre Infrastruktur abzusichern? Unsere Profis enthüllen Schwachstellen, bevor es Hacker tun. Kontaktieren Sie uns jetzt und verteidigen Sie Ihre IT-Infrastruktur!

Penetrationstest anfragen

aramido ist Ihr qualifizierter Partner für Infrastruktur-Penetrationstests

  • Tiefgreifende Sicherheitsanalyse: Unser Penetrationstest geht über einfache Schwachstellenscans weit hinaus. aramido Pentester führen manuelle Tests durch und nutzen kreativ Angriffsvektoren, um auch komplexe Schwachstellen zu identifizieren und deren Auswirkungen auf die gesamte IT-Infrastruktur zu bewerten. Dies ermöglicht eine umfassende Analyse der Sicherheitslage Ihrer IT.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langjähriger Erfahrung und aktuellem Wissen über die neuesten Bedrohungen und Angriffstechniken.
  • Maßgeschneiderte Ansätze: Wir passen unsere Tests auf die individuellen Bedürfnisse Ihrer Infrastruktur an, sei es eine on-premise Infrastruktur, eine Cloud-Umgebung oder eine hybride Form.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitslücken zu erkennen.
  • Preiswerter Penetrationstest: Wir bieten professionelle Leistungen zu sehr guten, marktüblichen Konditionen an.
  • Verständliche Berichte: Unsere Berichte sind klar strukturiert und verständlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverlässige Partnerschaft: Wir stehen Ihnen nicht nur während des Tests zur Seite, sondern sind Ihr Ansprechpartner für alle Fragen der Informationssicherheit.
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Erfüllen Sie Compliance-Anforderungen
  • Bewerten Sie Ihre Sicherheitslage
  • Schützen Sie sich vor Datenverlust
  • Wehren Sie Cyberangriffe ab

Artikel zum Thema

Armin Harbrecht

Am 14.11.2016 veröffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man häufig die Frage, was die Kosten für einen Penetrationstest sind. Die Antwort hängt von verschiedenen Faktoren ab. (weiterlesen)


Andreas Sperber

Am 01.08.2016 veröffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)


Leonard Otto

Am 27.04.2023 veröffentlicht.

In 30 Minuten zum Domain-Admin

Am 4. Mai 2023 zeigen wir bei einem Live-Hacking-Event, wie Angreifer innerhalb von 30 Minuten ein ganzes Netzwerk übernehmen können. (weiterlesen)


Niklas Fuhrberg

Am 26.08.2024 veröffentlicht.

Was ist die NIS-2-Richtlinie? (Teil 1)

Durch die steigende Zahl an Cyberangriffen reagiert die EU mit neuen Maßnahmen. Hierzu zählt die NIS-2, die neue Anforderungen an Unternehmen stellt. (weiterlesen)


Niklas Fuhrberg

Am 19.08.2024 veröffentlicht.

NIS-2: Was müssen Unternehmen tun? (Teil 3)

Als erstere Schritte sollten Verantwortlichkeiten im Unternehmen festgelegt werden. Neben einer koordinierenden Stelle, beispielsweise einem Informationssicherheitsbeauftragten, muss auch die Geschäftsleitung ganz konkrete Pflichte wahrnehmen. (weiterlesen)