Penetrationstests / Technische Audits

Pentests nach BSI Standards

Unser Spezialisten-Team führt seit vielen Jahren technische Sicherheitstests durch. In der Rolle eines fiktiven Angreifers prüfen wir vorhandene IT-Infrastrukturen und Anwendungen von außen und innen. Dabei setzen wir Tools ein, wo sie Arbeitsschritte erleichtern, fokussieren uns aber auf die Kreativität der Prüfer in manuellen Tests.

HiSolutions ist als Anbieter von Pentests BSI-Zertifiziert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat uns als erstes Unternehmen in Deutschland auf der Grundlage einer Prüfung der Sicherheitsvorkehrungen im Unternehmen und des Qualitätsmanagements sowie der fachlichen Qualifikation zertifiziert, und zwar sowohl für den Geltungsbereich Informationssicherheitsrevision und -beratung als auch für die Durchführung von Penetrationstests.

Als BSI-zertifizierter Anbieter von Penetrationstests decken wir eine Vielzahl von Prüfszenarien ab, in denen die Sicherheit von IT-Systemen, Anwendungen und Netzen geprüft wird. Das Spektrum reicht dabei von Webanwendungen über Büronetze bis hin zu Steuerungsanlagen und Leitnetzen. Zur qualifizierten Durchführung von Penetrationstests beschäftigt die HiSolutions AG mehrere BSI zertifizierte Penetrationstester. Diese Zertifizierungen bildet neben dem Nachweis der fachlichen Eignung auch die Grundlage für die Erlaubnis zur Prüfung von Online-Kfz-Diensten (i-Kfz), Online-Wahlen (nach BSI-TR-03162) und beispielsweise Smartmeter-Gateways.

Wir verfügen weiterhin über eine Zertifizierung unseres Qualitätsmanagementsystems (ISO 9001) und unseres IT-Sicherheitsmanagementsystems (ISO 27001 auf Basis von IT-Grundschutz). Dies bestätigt, dass wir auch im eigenen Haus ein hohes Sicherheitsniveau umgesetzt haben und aufrecht erhalten – damit die Ergebnisse unserer Tests nicht in falsche Hände gelangen.

Unsere Pentest-Experten als Unterstützung für Ihre Cyber-Sicherheit

HiSolutions führt seit über 20 Jahren Penetrationstests und technische Audits durch, wobei ein besonderer Fokus auf unsere hohen Qualitätsstandards in der Durchführung, in der Bewertung und bei der Aufbereitung der Ergebnisse gesetzt wird. Dank unserer umfangreichen Expertise aus über 600 durchgeführten Penetrationstests vertrauen über 300 Kunden aus allen Sektoren auf unsere Kompetenz. Wir stellen hohe Anforderungen an die Fachkenntnisse unserer Mitarbeiter, die durch steige Weiterbildungen und anspruchsvolle Projekte kontinuierlich weiterentwickelt werden. Diese Kombination aus Qualitätsanspruch, Erfahrung und Innovation ermöglicht es uns, Sie bestmöglich zu unterstützen und Projekte seit vielen Jahren mit hoher Kundenzufriedenheit abzuschließen.

Unsere Pentester und technischen Auditoren untersuchen die Konfiguration von Sicherheitssystemen und IT-Komponenten oder prüfen den Quellcode kritischer Anwendungen auf die korrekte Implementierung sicherheitsrelevanter Funktionen (Ein- und Ausgabebehandlung, Kryptographieeinsatz usw.). Durch simulierte Angriffe decken wir in Penetrationstests Schwachstellen und Fehlkonfigurationen auf und unterstützen Sie bei der Behebung. Im Interview mit den IT-Verantwortlichen beleuchten wir sicherheitskritische Betriebsprozesse. Dabei verfolgen wir stets das Ziel, von den im Test erkannten Symptomen auf die Ursachen zu schließen und mit unseren Empfehlungen an der richtigen Stelle anzusetzen, um die Sicherheit dauerhaft zu verbessern.

Die eingesetzten Spezialisten verfügen über fundierte Kenntnisse von Sicherheitsmechanismen und Angriffstechniken. Dabei decken wir nicht nur die „klassische“ Office-IT umfassend ab, sondern können auch Steuerungs- und Leitsysteme, Anlagen und eingebettete Systeme prüfen, z. B. in der Medizintechnik, der Fertigung oder Versorgungsnetzen.

Unsere Spezialisten bringen aber auch praktische Erfahrungen aus dem Systembetrieb oder der Anwendungsentwicklung mit und richten ihre Empfehlungen zur Erreichung eines State-of-the-Art-Sicherheitsniveaus daher auf praktikable Lösungen aus.

Durch unsere umfassende Tätigkeit in der Cyber-Response können wir die Relevanz von erkannten Schwachstellen realistisch einschätzen und sinnvolle Prioritäten für die Maßnahmenumsetzung vorschlagen. Unsere Expertise und unsere Prüfmethoden, die unsere eigenen Erfahrungen mit internationalen Standards wie den Empfehlungen des OWASP-Projektes oder den Durchführungsempfehlungen des BSI für Penetrationstests verbinden, haben wir mit unserer Zertifizierung als Anbieter von Penetrationstests durch das BSI unter Beweis gestellt.

Mit regelmäßigen Pentests von HiSolutions sind Sie Hackern einen Schritt voraus

Pentests sind genehmigte Angriffe durch unsere Spezialisten auf Ihre IT-Systeme, welche sich an realistischen Szenarien und in der Praxis beobachteten Angriffen orientieren. Unsere Penetrationstester überprüfen beispielsweise Ihre Computer, Server, Netzwerke und Webanwendungen auf Sicherheitslücken. Sie nutzen dabei Methoden, die auch bei Hackern und erfahrenen Angreifern Verwendung finden und decken so gezielt Schwachstellen auf. Pentests bilden die Grundlage für eine rechtzeitige Erkennung und Beseitigung der Schwachstellen.

Vor Beginn eines Projekts ermitteln wir gemeinsam mit Ihnen Ihr Gefährdungspotenzial und stimmen darauf basierend den Umfang unserer Prüfungen ab. Besonders gefährdete Systeme, zum Beispiel extern erreichbare Webanwendungen, prüfen wir entsprechend vertieft. Unsere erfahrenen Pentester unterstützen Sie bei der Planung geeigneter Tests, damit sichergestellt ist, dass unsere in einem umfangreichen Prüfbericht dokumentierten Ergebnisse es Ihnen ermöglichen, Ihre IT-Sicherheit bestmöglich zu verbessern. Das Penetration Testing wird zu einem großen Teil manuell durchgeführt, um das Vorgehen eines echten Angreifers möglichst gut abzubilden.

Der Penetration Test prüft Ihre IT-Sicherheit

Das Ziel eines Penetration Tests besteht in der Feststellung von Schwachstellen in Ihrer IT-Infrastruktur, um die IT-Sicherheit in Ihrer Organisation zu erhöhen. Wo geeignet, werden Pentests noch durch technische Audits oder Interviews mit Ansprechpartnern ergänzt, um einen umfangreicheren Überblick über das Sicherheitsniveau zu erhalten. Sowohl die technische als auch menschliche und organisatorische Verwundbarkeit wird im Rahmen von IT-Sicherheitschecks auf den Prüfstand gestellt. Mit einem ausführlichen Prüfbericht dokumentieren wir Ihren Status quo und geben Ihnen alle Informationen an die Hand, welche Sie zur Behebung der identifizierten Schwachstellen benötigen.

Rechtliche Voraussetzungen für Pentesting

Vor der Durchführung eines Penetrationstests ist die Zustimmung des zu testenden Unternehmens unabdingbar. Ohne die Einwilligung sind die Pentests rechtswidrig und stellen eine Straftat dar. Der Test darf sich nur auf Objekte beziehen, die eindeutig zum zu testenden Unternehmen gehören oder für die durch zusätzliche Absprachen eine Erlaubnis vorliegt. Die IT-Systeme Dritter, wie beispielsweise Cloud-Services, dürfen nicht ohne deren zusätzliche Zustimmung getestet werden. Es bietet sich daher an, die Möglichkeit zur Durchführung von Pentests und Sicherheitsprüfungen bereits im Vorfeld vertraglich mit Drittanbietern und Dienstleistern zu regeln oder zumindest die Vorgehensweise zu klären. Gerne unterstützen wir Sie bei der Abstimmung, beispielsweise mit detaillierten Erklärungen zur technischen Vorgehensweise bei eventuellen Rückfragen.

Der Testaufbau

Wir orientieren uns bei Penetrationstests an den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wie dem BSI-Modell für Pentests oder Studien zu IS-Penetrationstests und IS-Webchecks. Gleichzeitig verwenden wir Elemente aus Richtlinien wie OSSTMM (Open Source Security Testing Methodology Manual), OWASP WSTG oder beispielsweise NIST SP800-115 und passen diese an Ihre spezifischen Anforderungen und Branchenstandards an. Generell bilden die folgenden Kriterien die Grundlage unserer Arbeit:

Je nach den individuellen Anforderungen, die Ihr IT-System und Ihre Infrastruktur voraussetzt, stellen wir den Pentest in Abstimmung mit Ihnen zusammen. Hierbei unterscheiden wir in einzelnen Testschritten, ob es sich um die reine Informationsbeschaffung oder aktive Eindringversuche handelt. Unsere erfahrenen Pentester und Prüfer stellen gemeinsam mit Ihnen so einen bestmöglichen Prüfplan zusammen, welcher die besonders risikobehafteten Systeme und Schnittstellen in den Fokus stellt.

Welche verschiedenen Typen von Pentests gibt es?

Wie wird getestet?

Bei einem Black-Box-Test kennt der Penetrationstester lediglich die Zieladresse. Hiermit wird ein typischer Angreifer simuliert, der nur wenig Kenntnisse über das Zielsystem hat. Hingegen verfügt der Prüfer bei einem White-Box-Test über umfangreiche Informationen wie interne IP-Adressen und benutzte Soft- und Hardware der zu testenden IT-Systeme. Der Grey-Box-Test ist, wie der Name erwarten lässt, eine Kombination der beiden zuvor genannten Tests. Der Penetrationstester erhält bereits einige Informationen, wie beispielsweise Anmeldedaten, und analysiert die weiteren Informationen selbständig. Dies ist die am häufigsten angewendete Testart und bildet einen guten Kompromiss zwischen Kosten, Geschwindigkeit, Aufwand und zuverlässigen Ergebnissen.

Was wird getestet?

Der IT-Infrastruktur-Penetrationstest beinhaltet die Prüfung von Servern, Firewalls, WLAN-Netzen und VPN-Zugängen auf Sicherheitslücken. Infrastruktur-Pentests können sowohl für extern erreichbare Systeme über das Internet als auch interne Unternehmens- und Büro-Netzwerke durchgeführt werden. Interne Penetrationstests, welche einen Angreifer simulieren, der Zugriff auf ein Endgerät oder Mitarbeiterkonto erhalten hat, liefern dabei oft besonders wichtige Erkenntnisse für eine Defense-in-Depth-Sicherheitsstrategie. Sie erlauben auch eine tiefgehende Analyse der Active-Directory-Strukturen in Windows-Umgebungen und der Vernetzung von Standorten, Systemen und Konten.

Mit Webanwendungs-Penetrationstest testen wir beispielsweise Homepages, Webshops und Portale für die Kundenverwaltung. Für Penetrationstests von Webanwendungen hält das Open Web Application Security Project (OWASP) hilfreiche Dokumente und Pentest Tools bereit. Insbesondere die besonders häufigen Schwachstellen der sogenannten OWASP Top-10 finden daher bei Web-Pentests Beachtung, die Prüfungen werden aber keinesfalls darauf limitiert.

In Applikations- oder API-Tests prüfen wir Anwendungen und Programmierschnittstellen. Zusätzlich zu den Prüfungen an den Live-Systemen können auch der Quellcode (Code-Review) und die Konfiguration der Komponenten untersucht werden. Mit diesen Offline-Untersuchungen finden wir Schwachstellen in der Architektur, im Design und in der Implementierung der Anwendungen. Web-API-Pentests und Quellcode-Reviews werden besonders häufig bei der Untersuchung von mobilen Android- und iOS-Apps in Kombination angewendet. In Architektur-, Dokumentations- und Organisationsaudits werden auch übergreifende Aspekte der IT- und IT-Sicherheits-Organisation und Struktur betrachtet.

Im Rahmen von Red-Teaming-Szenarien oder separaten Projekten können Penetrationstests durch Social-Engineering-Komponenten erweitert werden. Wir versuchen hier beispielsweise durch Fake-Profile, Fake-Mails und Telefonate Zugriff auf interne Informationen und Log-in-Daten zu erhalten. Die Auswahl der verwendeten Methoden wird dabei immer vorab mit Ihnen und allen relevanten internen Stellen (z. B. Datenschutz) abgestimmt.

Von wo wird getestet?

Beim externen Penetrationstest werden vom Internet aus öffentlich erreichbare Bereiche eines Netzwerks untersucht. Unsere Pentester schauen mit der Brille eines externen Angreifers auf Ihr System und erraten teilweise interne Strukturen, um in Ihre IT-Umgebung einzudringen. Dabei bewegen Sie sich selbstverständlich nur innerhalb des abgestimmten Test-Scopes.

Hingegen haben unsere Tester beim internen Penetrationstest bereits Zugang zur inneren Infrastruktur Ihres Netzwerks. Wir empfehlen in der Praxis ein solches Vorgehen in Anlehnung an den sogenannten „Assume-Compromise“-Ansatz. Dieser basiert auf der Annahme, dass irgendwann ein IT-System oder Benutzerkonto kompromittiert wird, und dies somit einen geeigneten Ausgangspunkt oder Zwischenschritt einer Untersuchung bildet. Eine Kompromittierung kann beispielsweise durch 0-Day-Schwachstellen in externen Anwendungen, erfolgreiche Phishing-Angriffe oder schadhafte Software-Updates erfolgen und lässt sich insbesondere in diesen Fällen nicht zuverlässig verhindern. Daher fokussiert sich die Untersuchung in internen Pentests auch auf die späteren Phasen des Angriffs-Lebenszyklus, um eine realistische aber auch wirtschaftliche Risikoprüfung in der Tiefe zu ermöglichen.

Was sind die Best Practices eines Pentests?

Wie läuft ein Pentest ab? 

Je nach Testart unterscheiden sich die Vorgehensweisen bei den Penetrationstests teilweise erheblich. Alle haben aber gemeinsam, dass sie in ein stufenweises Vorgehen gegliedert sind, wobei sich einzelne Schritte während des Tests wiederholen können.

Genauere Informationen zu den Testarten besprechen unsere Prüfer mit Ihnen bereits, wenn ein Angebot erstellt wird, oder spätestens, wenn der genaue Testrahmen festgelegt wird. In der Vorbereitungsphase legen wir mit Ihnen die Ziele und den Testaufbau fest und stimmen die zu verwendenden Methoden ab.

In der anschließenden Informationsbeschaffungsphase sind unsere IT-Sicherheitsspezialisten damit beschäftigt, innerhalb des gewählten Prüfungsrahmens möglichst viele Informationen über Ihre Systeme, Anwendungen und Geräte zu sammeln. Diese können, je nach Testart, noch um Informationen und Risiken ergänzt werden, welche Sie bereits im Vorfeld ermittelt haben. Im Anschluss erfolgt deren Analyse und Bewertung mit der Ermittlung des individuellen Gefahrenpotenzials, bevor mit den tatsächlichen Eindringversuchen (Penetration) begonnen wird. Dabei werden gezielt Angriffsversuche gegen die Testgegenstände durchgeführt, welche das Ziel haben, durch praktische Tests Schwachstellen aufzudecken.

Je nach Testgegenstand und Abstimmung kommen Phasen der Berechtigungsausweitung (Privilege Escalation), lateraler Bewegung zwischen Systemen (Lateral Movement) und der Entwicklung von Exploits hinzu. Die genauen Bestandteile werden stets risikobasiert und in Abstimmung mit Ihnen gewählt, erweitert und auf das konkrete Szenario angepasst. 

Im abschließenden Bericht dokumentieren wir alle Ergebnisse, deren Auswirkungen und unsere Vorgehensweise ausführlich und machen Lösungsvorschläge für gefundene Schwachstellen. Ein zusätzliches Management-Summary bietet auf einen Blick einen schnellen, aber umfassenden Überblick über die Ergebnisse.

Erst die Umsetzung unserer Lösungsvorschläge schafft Sicherheit

Die Dokumentation des Pentests beinhaltet immer Lösungsvorschläge zur Behebung der Schwachstellen. Mit diesen Vorschlägen können Sie und Ihre IT-Dienstleister die identifizierten Lücken schließen und die Systeme gegen echte Angreifer schützen. Zu den Maßnahmen zählen Updates, das Einpflegen von Korrekturen, die Abschaltung von unsicheren Systemen, das Durchführen von Konfigurationsänderungen oder auch Sensibilisierungs- und Schulungsmaßnahmen. Im Rahmen von Nachtests, bei denen gezielt die getroffenen Maßnahmen überprüft werden, können wir Sie zu einem späteren Zeitpunkt unterstützen und so als zusätzliche unabhängige Komponente die effektive Behebung der Schwachstellen verifizieren.

Begriffsklärung Schwachstellenanalyse, Vulnerability- oder Security Scan und Penetrationstest

Die Schwachstellenanalyse ist als Oberbegriff zu verstehen und beinhaltet automatisierte und manuelle Test-Prozesse. Vulnerability- oder Security-Scans stellen den automatisierten Teil mithilfe von Schwachstellenscannern und speziell für den jeweiligen Anwendungsfall erstellten Hacking-Tools dar. Sie eigenen sich, um in kurzer Zeit einen Überblick über die Angriffsoberfläche auch von relativ großen Umgebungen zu erhalten und diese kontinuierlich zu überprüfen.

Was bedeutet Pentest?

Unter einem Penetrationstest verstehen wir die Durchführung von simulierten Angriffen, die sich am Verhalten echter Angreifer orientieren, mit dem Ziel, Schwachstellen und Möglichkeiten zum Umgehen von Sicherheitsmechanismen zu identifizieren. Im Gegensatz zu einem reinen Schwachstellen-Scan funktioniert der Penetrationstest mit einem großen Anteil manueller Informationsbeschaffung und gezielten manuellen Tests und basiert auf den Erfahrungen der Prüfer. Diese gründliche Vorgehensweise deckt so beispielsweise auch bisher unbekannte Sicherheitslücken, komplexe Kombinationen von Schwachstellen und Probleme, die sich aus der Verknüpfung von Systemen ergeben, auf.

Was kostet ein Pentest?

Wir als Pentest-Anbieter kalkulieren die Kosten anhand der Größe und Komplexität der Prüfgegenstände und Netzwerke, der Lizenzgebühren für eingesetzte Scan-Tools, der gewünschten Ausprägung der Tests und gegebenenfalls dem Aufwand für einen Nachtest. Gern beraten wir Sie in einem persönlichen Gespräch, besprechen alle Faktoren und erstellen Ihnen ein passendes Angebot.

Warum sind regelmäßige Pentests außerdem notwendig?

Die Angriffsmethoden sowie die getestete IT-Infrastruktur und Anwendungen werden stets weiterentwickelt. Aus dem Grund ist regelmäßiges Pentesting wichtig, um IT-Sicherheit in Ihrer Organisation zu gewährleisten.

Für HiSolutions steht die Kundenzufriedenheit im Vordergrund.

Seit mehr als 25 Jahren unterstützen wir Kunden nahezu aller Branchen sowie der öffentlichen Verwaltung dabei, die Chancen der Digitalisierung optimal zu nutzen und die damit verbundenen Risiken zu beherrschen. Eine klare Ausrichtung auf Qualitäts- und Innovationsführerschaft kombiniert mit einem breiten aber in sich homogenen Beratungsportfolio führen zu einem einmaligen Leistungsangebot mit konkretem Mehrwert für unsere Klienten.

 Success Story Commerzbank Success Story WGV Versicherungen 
Success Story Evangelisch-Lutherischen Kirche in Bayern

Ihr Ansprechpartner

Denis Werner

Managing Consultant

Fon +49 30 533 289-0

Nachricht hinterlassen