Penetration Testing
Proaktiver Schutz vor Sicherheitsbedrohungen mit Penetrationstests.
Nutzen Sie die Vorteile unserer einzigartigen Kombinationen von Kompetenzen.
Durch die Ausnutzung von Schwachstellen in IT-Systemen werden immer mehr Unternehmen Opfer von Cyber-Attacken – Tendenz steigend. Die Folgen einer erfolgreichen Cyber-Attacke sind in der Regel immens: mit den hohen finanziellen Schäden gehen meist Reputationsschäden einher, die kaum zu beziffern sind. Penetrationstests reduzieren das Risiko für Unternehmen, Opfer von Cyber-Attacken zu werden um ein Vielfaches. Schwachstellen in IT-Systemen werden aufgedeckt und können mit entsprechenden Schutzmaßnahmen geschlossen werden.
In den folgenden Abschnitten können Sie sich darüber informieren welche Art von Penetrationstest wir für Sie und ihre Produkte bzw. Netzwerke anbieten können.
Unsere Penetration Testing Services
Anwendungs Penetration Testing
Penetration Testing von Webanwendung
Im Rahmen des Web Application Penetrationstests simulieren wir einen realen Angriff auf Ihre Webanwendungen aus verschiedenen Perspektiven (beispielsweise authentifizierte und nicht authentifizierte Benutzer) und konzentrieren uns dabei auf die Bewertung der Sicherheit Ihrer Webanwendungen. Das Ziel ist, Schwachstellen in Ihren Webanwendungen zu identifizieren, Empfehlungen auszusprechen und Sie dahingehend zu beraten, die entsprechenden Maßnahmen zur Behebung der Schwachstellen umzusetzen. Dabei ist es unerheblich ob es sich bei der Webanwendung um eine eigene Entwicklung handelt, oder eine selbst betriebene Anwendung einer dritten Partei handelt.
Penetration Testing von APIs
Viele über ein Netzwerk exponierte Anwendungen sind heutzutage konzipiert um von vielen verschiedenen Clients genutzt werden können. Die Kommunikation zwischen Client und Anwendung findet dabei über ein oder mehrere Anwendungsschnittstellen (Application Programming Interface/API) statt.
Im Rahmen unserer Pentests können wir auch hier typische und anwendungsspezifische Schwachstellen ermitteln und Sie dahingehend beraten das Sicherheitsniveau zu verbessern.
Mobile Application Penetration Testing
Bei einem Mobile Application Penetrationstest simulieren unsere Experten einen Angriff auf Ihre mobilen Anwendungen und konzentrieren sich dabei auf die Bewertung der Sicherheit sowie die Durchführung eines Code Reviews. Ziel ist, Schwachstellen in Ihren mobilen Anwendungen (z.B. Android und iOS Mobile Apps) zu identifizieren und dahingehend zu beraten, die entsprechenden Maßnahmen zur Behebung der Schwachstellen umzusetzen.
Quellcode-Review/-Audit
Sie entwickeln Anwendungen selbst? Mit einem Audit des Quellcodes Ihrer Anwendung können wir Sie dabei unterstützen spezifische Fehler und Sicherheitsprobleme an kritischen Stellen innerhalb Ihrer Software zu vermeiden. Auch die möglichst sichere Integration externer Abhängigkeiten, den Build-Prozess sowie das Deployment der Anwendung können wir in Bezug auf sicherheitsrelevante Problemstellen begleiten (DevSecOps) und Sie dabei unterstützen Ihr Sicherheitsbewusstsein zu verbessern.
Infrastruktur & Netzwerk Penetration Testing
Internes Penetration Testing
Bei einem internen Netzwerk Penetrationstest simulieren wir den Angriff von innen heraus (z.B. ein IT-Mitarbeiter oder Geschäftspartner mit entsprechender Motivation), indem wir dieselben Tools, Methoden und Vorgehensweisen nutzen, um in das interne Netzwerk und in die IT-Systeme Ihres Unternehmens einzudringen.
Das Ziel besteht darin, Ihre internen Schwachstellen im Voraus zu identifizieren und zielgerichtete Handlungsempfehlungen auszusprechen, um das Risiko zu minimieren. Im Rahmen eines internen Netzwerk-Penetrationstests versuchen wir den Zugang zu so vielen kritischen Systemen wie möglich zu erlangen.
Externes Penetration Testing
Bei einem externen Netzwerk Penetrationstest simulieren wir einen realen Hacker-Angriff. Hierbei verwenden wir dieselben Tools, Methoden und Vorgehensweisen, um von außen heraus in die öffentlich zugänglichen IT-Systeme einzudringen.
Das Ziel besteht darin, Ihre Schwachstellen im Voraus zu identifizieren und zielgerichtete Handlungsempfehlungen auszusprechen, um das Risiko eines realen Hacker-Angriffs zu minimieren. Im Rahmen eines externen Netzwerk-Penetrationstests versuchen wir den Zugang zu so vielen kritischen Systemen wie möglich zu erlangen.
Red Teaming
Beim Red Teaming gehen wir noch einen Schritt weiter. Während beim internen Penetration Testing der Fokus in der Regel darauf liegt Schwachstellen zu finden ohne den laufenden IT-Betrieb nicht zu stören, wird beim Red Teaming alles daran gesetzt das Netzwerk zu infiltrieren.
Dazu gehört insbesondere die Umgehung von Virenschutzsoftware und anderen Sicherheitsmaßnahmen, der Einsatz von individuell zugeschnittener Schadsoftware, Phishing und die Durchführung von Angriffen auf Clients.
Mit Red Teaming können daher auch Schutzmaßnahmen gegen fortgeschrittene Arten von Angreifern getestet werden.
Cloud Penetration Testing
Viele IT-Systeme werden heutzutage nicht mehr auf virtuellen Maschinen im eigenen Rechenzentrum betrieben, sondern laufen auf Hyperscalern und basieren auf modernen Container-Technologien, wie Kubernetes, Docker, podman oder istio.
Bei dem komplexen Zusammenspiel zwischen all diesen Komponenten kommt es jedoch immer wieder zu sicherheitskritischen Konfigurationsfehlern. Wir testen insbesondere Ihre Rechte- und Rollenverwaltung (IAM), die Absicherung Ihrer Container, sowie die Sicherheit der Kommunikation zwischen verschiedenen Pods innerhalb eines Clusters.
Penetration Testing nach Maß anstatt von der Stange
Blackbox vs. Whitebox
Häufig wird zwischen drei Vorgehensweisen bei der Durchführung eines Penetration-Tests unterschieden: Blackbox-Tests, Graybox-Tests und Whitebox-Tests.
Diese drei Testarten unterscheiden sich vor allem bezüglich der Informationen, die über das Testobjekt bereitgestellt werden. Während bei einem Blackbox-Test neben dem Testobjekts selbst keine weiteren Informationen über dessen Funktionsweise oder Architektur bereitgestellt werden, werden dem Pentester bei einem Whitebox-Test detaillierte Informationen überlassen. Hierzu gehören beispielsweise Architektur- sowie Systemdiagramme, Quellcode, Zugangsdaten für Testkonten oder auch Zugriff auf administrative Schnittstellen des zu testenden Systems. Ein Graybox-Test stellt eine Mischung aus Blackbox- und Whitebox-Test dar, bei dem nur ausgewählte Informationen bereitgestellt werden.
Egal welches Testobjekt Sie testen lassen möchten, wir empfehlen grundsätzlich die Durchführung eines Whitebox-Tests. Entgegen der landläufigen Meinung sind Blackbox-Tests weder günstiger, noch bilden Sie einen realistischeren Angreifer ab. Im Gegenteil: bei Blackbox-Tests bezahlen Sie in der Regel den Tester dafür sich Informationen selbst zu beschaffen, die Ihnen bereits vorliegen und zahlreiche Klassen von Sicherheitslücken lassen sich durch Blackbox-Tests nur mit unverhältnismäßig hohem Aufwand finden. Whitebox-Tests liefern daher immer eine höhere Qualität zu einem vergleichbaren Preis.
Penetration Test vs. Schwachstellenscan
Bei einem Schwachstellenscan wird Ihr Produkt oder System vorrangig mittels automatisierten Testwerkzeugen untersucht. Netzwerke werden dann beispielsweise nach Servern durchsucht, auf denen Dienste mit bekannten Schwachstellen laufen, während bei Web-Applikationen unter anderem automatisiert speziell manipulierte Eingaben in Eingabefelder eingetragen werden.
Schwachstellenscans sind vergleichsweise günstig in der Durchführung, haben jedoch einige entscheidende Nachteile:
- Sie liefern eine hohe Anzahl an falsch-positiven Ergebnissen, die anschließend manuell überprüft werden müssen.
- Sie finden nur einfache Sicherheitslücken, die in einem Schritt ausgenutzt werden können.
- Sie können zahlreiche Arten von Sicherheitslücken überhaupt nicht finden.
Im Vergleich dazu wird Ihr Testobjekt im Rahmen eines Penetration Test immer individuell und manuell untersucht, wodurch auch Sicherheitslücken gefunden werden, die von Scannern nicht erkennbar sind. Schwachstellenscans bieten sich daher vorrangig als ergänzende Sicherheitsmaßnahme an, die Sie in regelmäßigen Abständen durchführen sollten. Dafür existieren auf dem Markt verschiedene etablierte und teilweise sogar kostenfreie Werkzeuge, sodass die Beauftragung eines Dienstleisters häufig gar nicht notwendig ist.
Die Ergebnisse eines Schwachstellenscans können jedoch eine gute Grundlage für die anschließende Durchführung eines Penetrationstests sein.