Bei einem Penetrationstest überprüfen wir Ihre technischen sowie organisatorischen Sicherheitsmaßnahmen, wobei der Fokus klar auf den technischen Aspekten liegt.
In der Regel stellen Sie uns als Auftraggeber vorab definierte Zugangspunkte zu den zu testenden Systemen bereit. Penetrationstests können je nach Auftrag, Zielsetzung und Umfang der zu testenden Infrastruktur variieren. Manchmal soll nur ein bestimmtes exponiertes System getestet werden. Abhängig davon, in welcher Detailtiefe Sie uns beauftragen, werden wir identifizierte Schwachstellen dabei ausnutzen, um uns Zugriff zu weiteren Systemen zu verschaffen und somit den tatsächlichen Impact ermitteln.
Im Ergebnis haben Sie nach diesem Test Gewissheit, ob Ihre auf dem Papier beschriebenen Absicherungs- und Härtungskonzepte auch in der Realität greifen oder ob Sie noch Handlungsbedarf haben.
Wir unterscheiden Penetrationstests in folgenden Klassifizierungen:
Durchführung
Handelt es sich bei dem Penetrationstest um den Test
Soll der Penetrationstest eher
durchgeführt werden?
Soll der Penetrationstest vollständig, durch Faktoren wie Budget begrenzt erfolgen oder sich auf bestimmte Schwachstellen fokussieren.
Soll bei der Durchführung des Penetrationstests offensichtlich (umfangreiche Log-Einträge stellen hier kein Problem dar, die Verteidiger sind eingeweiht) oder verdeckt vorgegangen werden?
Soll der Test von außerhalb, aus der DMZ oder von innen durchgeführt werden? Wird ein gesondertes Testnetzwerk zur Verfügung gestellt?
Welche Techniken sollen bei der Durchführung des Penetrationstests eingesetzt werden? Sind Social Engineering oder physischer Zugang im Scope mitenthalten?
Besonders bei Penetrationstests von Applikationen spielen diese Techniken keine Rolle. In der Regel fokussieren wir uns bei Penetrationstests auf den Netzwerkzugang. Physischer Zugang und Social Engineering werden insbesondere bei unseren Attack Simulationen eingesetzt.
Die hier beschriebenen Klassifizierungen unterstützen bei der zielgerichteten Ausarbeitung eines Angebotes und der planmäßigen Durchführung des Penetrationstests, damit Sie Ihren nächsten Auftrag zielgerichtet erteilen können.
Wenden Sie sich gerne an uns, wenn Sie sich unsicher sind, welche Ausprägung die für Sie Richtige ist.
Penetrationstests erfordern Spezialwissen. Es gibt nicht die eine Art von PenTest. Jede Art von Penetrationstest erfordert gesonderte Expertise.
Mit unserem Expertenwissen für ActiveDirectory-Umgebungen spüren wir gefährliche Fehlkonfigurationen und Designfehler auf. Wir zeigen Ihnen, wie Angreifer mit Zugriff auf ein internes Netzwerk sich durch Manipulation und Ausnutzen von ActiveDirectory-Schwachstellen bis auf Ihren Domaincontroller vorarbeiten können, damit diese Schwachstellen beseitigt werden können, bevor sie von Angreifern ausgenutzt werden.
Web-Anwendungen können ein Einfallstor in Ihre DMZ darstellen. Wir finden Schwachstellen und wenden dabei nicht nur die OWASP TOP 10 an, sondern schauen auch über den Tellerrand.
APIs sind heutzutage fast überall zu finden – sei es bei Web-Anwendungen oder auch im Zusammenspiel mit Applikationen auf dem Smartphone. Das Testen von APIs erfordert besondere Spezialkenntnisse, welche unsere Hacker liefern können.
Klassische Desktop- und Server-Anwendungen, ob in Java, Go oder .NET geschrieben – wir analysieren und testen Ihre Anwendungen auf Herz und Nieren, damit weder Sie noch Ihre Kunden einer Gefahr ausgesetzt werden.
Die Welt ist vernetzt – und damit gehen Sicherheitsrisiken einher. Wir untersuchen Netzwerk-Infrastrukturen auf Schwachstellen. Könnten Angreifer aus Ihrer DMZ ausbrechen? Gibt es Schwachstellen in der Netztrennung? Wir finden die Einfallstore!
IoT-Geräte und deren Anwendungen bedürfen einer besonderen Härtung, um keine Gefahr darzustellen. Die Versorgung mit Updates ist häufig lückenhaft – die Geräte dürfen auch nach langer Zeit ohne Updates kein Sicherheitsrisiko darstellen.
Da wir um die hohe Sensitivität beim Zugriff auf Ihre Systeme wissen, haben wir hochsichere Lösungen entwickelt, um während der Penetrationstests auf Ihre Systeme zuzugreifen, ohne dabei zusätzliche Türen für Angreifer zu öffnen. Wir beraten Sie hierzu gerne und finden gemeinsam mit Ihnen eine Lösung. Wir halten uns außerdem an die Empfehlungen des BSI.
Unsere Mitarbeiter haben jahrelange Erfahrung im Bereich Penetrationstests. Durch unsere Erfahrung in den Bereichen Penetrationstests und Incident Response kennen wir die typischen Fallen, die im Bereich der Härtung von IT-Systemen herrschen. Trotzdem prüfen wir mit einem umfassenden Blick all Ihre Systeme.
Cluster und Container auf Kubernetes-Basis, ob K8s oder K3s, finden in unterschiedlichsten Bereichen Anwendung. Sie
Mehr InformationenAutomatisierte, regelmäßige Schwachstellenanalysen mit einer qualifizierten Aussage zum Status-Quo ergeben im Zusammenspiel mit dem Patch-Management
Mehr InformationenAnders als bei einem Penetrationstest liegt der Fokus bei unseren Attack Simulations nicht ausschließlich auf
Mehr Informationen