Penetrationstests / Technische Audits

HiSolutions führt Penetrationstests und technische Audits durch

Unser Spezialisten-Team führt seit vielen Jahren technische Sicherheitstests durch. In der Rolle eines fiktiven Angreifers prüfen wir vorhandene IT-Infrastrukturen und Anwendungen von außen und innen. Dabei setzen wir Tools ein, wo sie Arbeitsschritte erleichtern, fokussieren uns aber auf die Kreativität der Prüfer in manuellen Tests. 

BSI Zertifizierung als Anbieter von Penetrationstests

Als Auditoren untersuchen wir die Konfiguration von Sicherheitssystemen und IT-Komponenten oder prüfen den Quellcode kritischer Anwendungen auf die sichere Implementierung kritischer Funktionen (Ein- und Ausgabebehandlung, Kryptographieeinsatz usw.). Im Interview mit den IT-Verantwortlichen beleuchten wir sicherheitskritische Betriebsprozesse. Dabei verfolgen wir stets das Ziel, von den im Test erkannten Symptomen auf die Ursachen zu schließen und mit unseren Empfehlungen an der richtigen Stelle anzusetzen, um die Sicherheit dauerhaft zu verbessern.

Die eingesetzten Spezialisten verfügen über fundierte Kenntnisse von Sicherheitsmechanismen und Angriffstechniken. Dabei decken wir nicht nur die „klassische“ Office-IT umfassend ab, sondern können auch Steuerungs- und Leitsysteme, Anlagen und eingebettete Systeme prüfen, z. B. in der Medizintechnik, der Fertigung oder Versorgungsnetzen.

Unsere Spezialisten bringen aber auch praktische Erfahrungen aus dem Systembetrieb oder der Anwendungsentwicklung mit und richten ihre Empfehlungen zur Erreichung eines State-of-the-Art-Sicherheitsniveaus daher auf praktikable Lösungen aus.

Durch unsere umfassende Tätigkeit in der Cyber-Response können wir die Relevanz von erkannten Schwachstellen realistisch einschätzen und sinnvolle Prioritäten für die Maßnahmenumsetzung vorschlagen. Unsere Expertise und unsere Prüfmethoden, die unsere eigenen Erfahrungen mit internationalen Standards wie den Empfehlungen des OWASP-Projektes oder den Durchführungsempfehlungen des BSI für Penetrationstests verbinden, haben wir mit unserer Zertifizierung als Anbieter von Penetrationstests durch das BSI unter Beweis gestellt.

Success Story Commerzbank Success Story WGV Versicherungen

Mit regelmäßigen Pentests Hackern einen Schritt voraus sein

Pentests sind genehmigte Angriffe durch unsere Spezialisten auf Ihre IT-Systeme, welche sich an realistischen Szenarien und in der Praxis beobachteten Angriffen orientieren. Die sogenannten Penetrationstester überprüfen beispielsweise Ihre Computer, Server, Netzwerke und Webanwendungen auf Sicherheitslücken. Sie nutzen dabei Methoden, die auch bei Hackern und erfahrenen Angreifern Verwendung finden und decken so gezielt Schwachstellen auf. Pentests bilden folglich die Grundlage für eine rechtzeitige Erkennung und Beseitigung der Schwachstellen.

Vor Beginn eines Projekts ermitteln wir gemeinsam mit Ihnen Ihr Gefährdungspotenzial und stimmen darauf basierend den Umfang unserer Prüfungen ab. Von außen öffentlich erreichbare Websites unterziehen wir so oft umfangreicherem Testing, als interne Applikationen ohne große Relevanz. Wir protokollieren unsere Einbruchsversuche in einem Bericht und ergänzen Lösungsvorschläge, die es Ihnen im Anschluss ermöglichen, Ihre IT-Sicherheit zu verbessern. Das Penetration Testing wird zu einem großen Teil manuell durchgeführt und liefert eine Momentaufnahme der Sicherheit Ihrer IT-Landschaft.

Der Penetration Test prüft Ihre IT-Sicherheit

Das Ziel vom Penetration Test besteht per Definition in der Feststellung von Schwachstellen in Ihrer IT-Infrastruktur, um die IT-Sicherheit in Ihrer Organisation zu erhöhen. Wo geeignet, werden Pentests noch durch technische Audits oder Interviews mit Ansprechpartnern ergänzt um einen umfangreicheren Überblick über das Sicherheitsniveau zu erhalten. Sowohl die technische als auch menschliche und organisatorische Verwundbarkeit wird im Rahmen von IT-Sicherheitschecks auf den Prüfstand gestellt. Mit einem ausführlichen Prüfbericht dokumentieren wir Ihren Status quo und geben Ihnen alle Informationen an die Hand, welche Sie zur Behebung der identifizierten Schwachstellen benötigen.

Rechtliche Voraussetzungen für Pentesting

Vor der Durchführung eines Penetrationstests ist die Zustimmung des zu testenden Unternehmens unabdingbar. Ohne die schriftliche Einwilligung sind die Pentests rechtswidrig und stellen eine Straftat dar. Der Test darf sich nur auf Objekte beziehen, die eindeutig zum zu testenden Unternehmen gehören. Die IT-Systeme Dritter, wie beispielsweise Cloud-Services dürfen nicht ohne deren zusätzlicher Zustimmung getestet werden. Die eindeutige Klärung liegt im Vorfeld beim Auftraggeber. Je höher die Anzahl externer IT-Dienstleistungen ist, desto aufwendiger gestaltet sich in der Regel die Klärung. Es bietet sich daher an, die Möglichkeit zur Durchführung von Pentests und Sicherheitsprüfungen bereits im Vorfeld vertraglich mit den Dienstleistern zu regeln.

Der Testaufbau

Wir orientieren uns bei Penetrationstests an den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wie dem BSI-Modell für Pentests oder Studien zu IS-Penetrationstests und IS-Webchecks. Gleichzeitig verwenden wir Elemente aus Richtlinien wie OSSTMM (Open Source Security Testing Methodology Manual), OWASP WSTG oder beispielsweise NIST SP800-115 und passen diese an Ihre spezifischen Anforderungen und Branchenstandards an. Generell bilden die folgenden Kriterien die Grundlage unserer Arbeit:

  • Informationsbasis
  • Aggressivität
  • Umfang
  • Vorgehensweise
  • Technik
  • Ausgangspunkt

Je nach den individuellen Anforderungen, die Ihr IT-System und Ihre Infrastruktur voraussetzt, stellen wir den Pentest in Abstimmung mit Ihnen zusammen. Hierbei unterscheiden wir in einzelnen Testschritten, ob es sich um die reine Informationsbeschaffung oder aktive Eindringversuche handelt. Unsere erfahrenen Pentester und Prüfer stellen gemeinsam mit Ihnen so einen bestmöglichen Prüfplan zusammen, welcher die besonders risikobehafteten Systeme und Schnittstellen in den Fokus stellt.

Übersicht verschiedener Typen von Pentests

Wie wird getestet?

Bei einem Black-Box-Test kennt der Penetrationstester lediglich die Zieladresse. Hiermit wird ein typischer Angreifer simuliert, der nur wenig Kenntnisse über das Zielsystem hat. Hingegen verfügt der Prüfer bei einem White-Box-Test über umfangreiche Informationen wie interne IP-Adressen und benutzte Soft- und Hardware der zu testenden IT-Systeme. Der Gray-Box-Test ist, wie der Name erwarten lässt, eine Kombination der beiden zuvor genannten Tests. Der Penetrationstester erhält bereits einige Informationen, wie beispielsweise Anmeldedaten und analysiert die weiteren Informationen selbstständig. Diese ist die am häufigsten angewendete Testart und bildet einen guten Kompromiss zwischen Kosten, Geschwindigkeit, Aufwand und zuverlässiger Ergebnisse.

Was wird getestet?

Der IT-Infrastruktur-Penetrationstest beinhaltet die Prüfung von Servern, Firewalls, WLAN-Netzen und VPN-Zugängen auf Sicherheitslücken. Infrastruktur-Pentests können sowohl für extern erreichbare Systeme über das Internet als auch interne Unternehmens- und Büro-Netzwerke durchgeführt werden. Interne Penetrationstests, welche einen Angreifer simulieren, der Zugriff auf ein Endgerät oder Mitarbeiterkonto erhalten hat, liefern dabei oft besonders wichtige Erkenntnisse für eine Defense-in-Depth-Sicherheitsstrategie. Sie erlauben auch eine tiefgehende Analyse der Active-Directory-Strukturen in Windows-Umgebungen und der Vernetzung von Standorten, Systemen und Konten.

Mit Webanwendungs-Penetrationstest testen wir beispielsweise Webshops und Portale für die Kundenverwaltung. Es handelt sich also um Systeme, mit denen der Benutzer systemübergreifend interagiert. Für Penetrationstests von Webanwendungen hält das Open Web Application Security Project (OWASP) hilfreiche Dokumente und Pentest Tools bereit. Insbesondere die besonders häufigen Schwachstellen der sogenannten OWASP Top-10 finden daher bei Web-Pentests Beachtung, die Prüfungen werden aber keinesfalls darauf limitiert.

In Applikations- oder API-Tests prüfen wir Anwendungen und Programmierschnittstellen. Zusätzlich zu den Prüfungen an den Live-Systemen, kann auch der Quellcode (Code-Review) und die Konfiguration der Komponenten untersucht werden. Mit diesen Offline-Untersuchungen finden wir Schwachstellen in Architektur, Design und Implementation der Anwendungen. Web-API-Pentests und Quellcode-Reviews werden besonders häufig bei der Untersuchung von mobilen Android- und iOS-Apps in Kombination angewendet. In Architektur-, Dokumentations- und Organisationsaudits lassen werden auch übergreifende Aspekte der IT- und IT-Sicherheits-Organisation und Struktur betrachtet.

Im Rahmen von Red-Teaming-Szenarien oder separaten Projekten, können Penetrationstests durch Social-Engineering-Komponenten erweitert werden. Wir versuchen hier beispielsweise durch Fake-Profile, Fake-Mails und Telefonate Zugriff auf interne Informationen und Log-in-Daten zu erhalten. Die Auswahl der verwendeten Methoden wird dabei immer vorab mit Ihnen und allen relevanten internen Stellen (z.B. Datenschutz) abgestimmt.

Von wo wird getestet?

Beim externen Penetrationstest werden vom Internet aus öffentlich erreichbare Bereiche eines Netzwerks untersucht. Unsere Analysten schauen mit der Brille eines externen Angreifers auf Ihr System und erraten teilweise interne Strukturen, um in Ihr IT-System einzudringen. Dabei bewegen Sie sich selbstverständlich nur innerhalb des abgestimmten Test-Scopes.

Hingegen haben unsere Tester beim internen Penetrationstest bereits Zugang zur inneren Infrastruktur Ihres Netzwerks. HiSolutions empfiehlt in der Praxis ein solches Vorgehen in Anlehnung an den sogenannten „Assume Compromise“ Ansatz. Dieser basiert auf der Annahme, dass irgendwann ein IT-System oder Benutzerkonto kompromittiert wird, und dies somit einen geeigneten Ausgangspunkt oder Zwischenschritt einer Untersuchung bildet. Eine Kompromittierung kann beispielsweise durch 0-Day-Schwachstellen in externen Anwendungen, erfolgreiche Phishing-Angriffe oder schadhafte Software-Updates erfolgen und lässt sich insbesondere in diesen Fällen nicht zuverlässig verhindern. Daher fokussiert sich die Untersuchung in internen Pentests auch auf die späteren Phasen des Angriffs-Lebenszyklus um eine realistische aber auch wirtschaftliche Risikoprüfung in der Tiefe zu ermöglichen.

 

Pentests Best Practices

Wie läuft ein Pentest ab? 

Je nach Testart unterscheiden sich die Vorgehensweisen bei den Penetrationstests teilweise erheblich. Alle haben aber gemeinsam, dass sie in ein stufenweises Vorgehen gegliedert sind, wobei sich einzelne Schritte während des Tests wiederholen können.

Genauere Informationen zu den Testarten besprechen unsere Prüfer mit Ihnen bereits wenn ein Angebot erstellt wird oder spätestens wenn der genaue Testrahmen festgelegt wird. In der Vorbereitungsphase legen wir mit Ihnen die Ziele und den Testaufbau fest und stimmen die zu verwendenden Methoden ab.

In der anschließenden Informationsbeschaffungsphase sind unsere Sicherheitsanalysten damit beschäftigt, innerhalb des gewählten Prüfungsrahmens möglichst viele Informationen über Ihre Systeme, Anwendungen und Geräte zu sammeln. Diese können, je nach Testart, noch um Informationen und Risiken ergänzt werden, welche Sie bereits im Vorfeld ermittelt haben. Im Anschluss erfolgt deren Analyse und Bewertung mit der Ermittlung des individuellen Gefahrenpotenzials, bevor mit den tatsächlichen Eindringversuchen (Penetration) begonnen wird. Dabei werden gezielt Angriffsversuche gegen die Testgegenstände durchgeführt, welche das Ziel haben, durch praktische Tests Schwachstellen aufzudecken.

Je nach Testgegenstand und Abstimmung kommen Phasen der Berechtigungsausweitung (Privilege Escalation), lateraler Bewegung zwischen Systemen (Lateral Movement) und der Entwicklung von Exploits hinzu. Die genauen Bestandteile werden stets risikobasiert und in Abstimmung mit Ihnen gewählt, erweitert und auf das konkrete Szenario angepasst. Im abschließenden Bericht dokumentieren wir alle Ergebnisse, deren Auswirkungen und unsere Vorgehensweise ausführlich und machen Lösungsvorschläge für gefundene Schwachstellen. Ein zusätzliches Management-Summary bietet auf einen Blick einen schnellen aber umfassenden Überblick über die Ergebnisse.

Erst die Umsetzung unserer Lösungsvorschläge schafft Sicherheit

Die Dokumentation des Pentests beinhaltet immer Lösungsvorschläge zur Behebung der Schwachstellen. Sie sind als Auftraggeber oder Betreiber der IT-Systeme dafür verantwortlich, die Sicherheitslücken anschließend nachzuverfolgen und zu schließen. Zu den Maßnahmen zählen Updates, Einpflegen von Korrekturen, Abschaltung von unsicheren Systemen, Schulungen und ggf. Aufstockung des Personals. Im Rahmen von Nachtests, bei denen gezielt die getroffenen Maßnahmen überprüft werden, können wir Sie zu einem späteren Zeitpunkt unterstützen und so als zusätzliche unabhängige Komponente die effektive Behebung der Schwachstellen verifizieren.

Begriffsklärung Schwachstellenanalyse, Vulnerability- oder Security Scan und Penetrationstest

Die Schwachstellenanalyse ist als Oberbegriff zu verstehen und beinhaltet automatisierte und manuelle Test-Prozesse. Vulnerability- oder Security-Scans stellen den automatisierten Teil mithilfe von Schwachstellenscannern und speziell für den jeweiligen Anwendungsfall erstellen Hacking-Tools dar. Sie eigenen sich um in kurzer Zeit einen Überblick über die Angriffsoberfläche auch von relativ großen Umgebungen zu erhalten und diese kontinuierlich zu überprüfen.

Was bedeutet Pentest?

Unter einem Penetrationstest verstehen wir die Durchführung von simulierten Angriffen, die sich am Verhalten echter Angreifer orientieren, mit dem Ziel, Schwachstellen und Möglichkeiten zum Umgehen von Sicherheitsmechanismen zu identifizieren. Im Gegensatz zu einem reinen Schwachstellen-Scan funktioniert der Penetrationstest mit einem großen Anteil manueller Informationsbeschaffung und gezielten manuellen Tests und basiert auf den Erfahrungen der Prüfer. Dieser viel aufwendigere Weg deckt so beispielsweise auch bisher unbekannte Sicherheitslücken, komplexe Kombinationen von Schwachstellen und Problemen, die sich aus dem Verhalten von Mitarbeitern oder der Verknüpfung von Systemen ergeben, auf.

Was kostet ein Pentest?

Wir als Pentest Anbieter kalkulieren die Kosten anhand der Größe und Komplexität Ihrer Organisation und Netzwerke, der Lizenzgebühren für eingesetzte Scan-Tools, dem tatsächlichen Umfang an Tests und gegebenenfalls dem Aufwand für einen Nachtest. Gern beraten wir Sie in einem persönlichen Gespräch, besprechen alle Faktoren und erstellen Ihnen ein passendes Angebot.

Was wird bei einem Penetrationstest geprüft?

Pentester überprüfen Computer, Server, Netzwerke und Webanwendungen auf Sicherheitslücken und nutzen dabei Methoden, die auch bei Hackern und erfahrenen Angreifern Verwendung finden und decken so Schwachstellen auf.

Warum sind regelmäßige Pentests notwendig?

Die Angriffsmethoden sowie die getestete IT-Infrastruktur und Anwendungen werden stets weiterentwickelt. Aus dem Grund ist regelmäßiges Pentesting wichtig, um IT-Sicherheit in Ihrer Organisation zu gewährleisten.

Unsere Expertise für Ihre Cybersecurity

Wir sind eines der renommiertesten Beratungshäuser Deutschlands im Bereich IT-Governance, Risk & Legal Compliance. Durch unsere Prüfungen von IT-Infrastrukturen nahezu jeglicher Art besitzt unser Team ein hoch spezialisiertes Know-how über IT-basierte Angriffe, der präventiven Erkennung und erfolgreichen Abwehr. Von Berlin aus unterstützen wir mehr als 800 Kunden - darunter öffentliche Verwaltungen, über 50 % der DAX30-Unternehmen und Dreiviertel der deutschen TOP20-Finanzdienstleister.

Die IT-Sicherheitszertifizierung bescheinigt uns Kompetenz

Wir sind vom Bundesamt für Sicherheit in der Informationstechnik als IT-Sicherheitsdienstleister zertifiziert. Gemäß DIN EN ISO / IEC 17025:2005 ist unser Managementsystem wirksam und wir besitzen die notwendigen Kompetenzen sowohl im Bereich IS-Revision und IS-Beratung als auch der Durchführung von Penetrationstests. Zudem haben wir im Jahr 2016 das Zertifikat für Qualitätsmanagement nach ISO 9001:2015 erhalten. Im Bereich Projektmanagement bescheinigt uns das "BSI-Zertifikat gemäß ISO 27001 auf der Basis von IT-Grundschutz" den sicheren IT-Betrieb für Mitarbeiter und Kunden.

Ihr Ansprechpartner

Denis Werner

Managing Consultant

Fon +49 30 533 289-0

Nachricht hinterlassen