Penetration Testing

Wir attakieren Ihre Systeme. Organisiert, professionell, manuell.
Damit Sie wissen, wo Ihre Schwachstellen sind.

Warum brauchen Sie einen Penetrationstest?

Während die meisten Unternehmen Sicherheitsverfahren, Audits und Schwachstellenbewertungen einführen, gibt es nur einen Weg, um zu überprüfen, ob die Maßnahmen tatsächlich funktionieren - Penetrationstests oder Pen-Tests. Nur sie können Ihnen eine ehrliche Antwort auf diese Fragen geben: "Sind meine digitalen Assets wirklich cybersicher?" und "Was sollte ich noch dringend zum Schutz vor Hackern einführen?"

Eine Demo anfordern

Warum brauchen Sie einen Penetrationstest?

Request a demo

Zertifizierung

und Organisation

Zertifizierung

und Organisation

Welche Art von Penetrationstest
brauchen Sie?

Es gibt drei Hauptarten von Penetrationstests: Black Box, White Box und Grey Box.
Alle haben ihre eigenen Vor- und Nachteile.

Welche Art von Penetrationstest
brauchen Sie?

Es gibt drei Hauptarten von Penetrationstests: Black Box, White Box und Grey Box.
Alle haben ihre eigenen Vor- und Nachteile.

Black Box

Bei einem Black Box Pen-Test hat der Tester keine Informationen über die IT-Infrastruktur des Zielunternehmens. Stattdessen imitiert er das Verhalten eines Cyberkriminellen und versucht, Ihre Verteidigungsmaßnahmen zu durchbrechen. In den meisten Fällen werden Ihre IT- und Sicherheitsabteilungen nicht über den Test informiert, um die Plötzlichkeit eines Angriffs in der realen Welt zu simulieren. Black Box Network Pen Testing ist daher die detaillierteste und realitätsnaheste Bewertung Ihrer Sicherheitssysteme. Sie sind aber auch die teuersten und zeitaufwändigsten.

Grey Box

Bei einem Grey Box-Test verfügt der lizenzierte Penetrationstester über die Kenntnisse und Zugriffsrechte eines internen Systembenutzers. Er kann die Architektur- und Designdokumentation studieren und ein internes Konto verwenden, um den Test durchzuführen. Grey-Box-Pen-Tests bieten eine gezieltere Sicherheitsbewertung, da die Tester ihr internes Wissen nutzen, um zu Beginn die Systeme mit dem größten Risiko und dem größten Wert zu prüfen, anstatt Zeit darauf zu verwenden, diese Informationen selbst zu ermitteln. Ein internes Systemkonto ermöglicht auch Netzwerk-Penetrationstests innerhalb des gehärteten Perimeters, da der Tester einen Angreifer mit längerfristigem Netzwerkzugang simulieren kann.

White Box

Bei einem White-Box-Pen-Test arbeitet der Tester eng mit Ihren IT- und Sicherheitsteams zusammen, um Ihre Cybersicherheit umfassend zu analysieren. Im Gegensatz zu Black-Box- und Grey-Box-Methoden umfassen White-Box-Pen-Tests statische Code- und Netzwerkanalysen, um Konfigurationsfehler und Softwareschwachstellen zu identifizieren. Es können jedoch auch dynamische Analysetools und -techniken einbezogen werden. Viele Unternehmen bevorzugen White-Box-Pen-Tests, weil sie effizienter sind und sowohl Zeit als auch Geld sparen.

Black Box

Grey Box

White Box

Möchten Sie mehr über

Pentests erfahren?

Laden Sie unser Pentest Whitepaper herunter

Sie möchten mehr erfahren über den Ablauf eines Pentests sowie über die möglichen Wege zur Durchführung? Zu diesem Zweck haben wir unser Pentest Whitepaper verfasst. Geben Sie einfach Ihre Daten in das untenstehende Formular ein. Wir stellen Ihnen das Whitepaper anschließend kostenlos zur Verfügung.

Möchten Sie mehr über

Pentests erfahren?

Laden Sie unser Pentest Whitepaper herunter

Wie laufen die Penetrationstests ab?

Nachdem Sie uns telefonisch oder per E-Mail kontaktiert haben, erstellen wir Ihnen ein individuelles Angebot mit einem Vorschlag für die Projektierung.

1. Anfrage

Das Angebot ist unterschrieben, der Projektplan kann umgesetzt werden. Das Team wird zusammengestellt und wir klären die letzten technischen Details.

2. Planung

Wir prüfen Ihre Anwendung, Infrastruktur oder Hardware. Wir benachrichtigen Sie sofort, wenn kritische Sicherheitslücken entdeckt werden.

3. Ausführung

Wir erstellen den Abschlussbericht und präsentieren die Ergebnisse bei Bedarf in einem Meeting. Die Planung eines Folgetests kann beginnen.

4. Schließen

Nachdem Sie uns telefonisch oder per E-Mail kontaktiert haben, erstellen wir Ihnen ein individuelles Angebot mit einem Vorschlag für die Projektierung.

1. Anfrage

Das Angebot ist unterschrieben, der Projektplan kann umgesetzt werden. Das Team wird zusammengestellt und wir klären die letzten technischen Details.

2. Planung

Wir prüfen Ihre Anwendung, Infrastruktur oder Hardware. Wir benachrichtigen Sie sofort, wenn kritische Sicherheitslücken entdeckt werden.

3. Ausführung

Wir erstellen den Abschlussbericht und präsentieren die Ergebnisse bei Bedarf in einem Meeting. Die Planung eines Folgetests kann beginnen.

4. Schließen

FAQs zu Pentests

Was sind Penetrationstests und ihre Arten?

Penetrationstests oder Pentests sind eine Praxis des ethischen Hackings, die von Unternehmen eingesetzt wird, die die Leistung ihrer Cybersicherheitsteams und -tools auf den Prüfstand stellen wollen. Pentests können von internen Experten oder von externen ethischen Hackern durchgeführt werden.

Die Arten von Pentests werden nach Ziel und Ansatz unterschieden. Hinsichtlich des Ziels umfassen die Penetrationstests Netzwerkdienste, Webanwendungen, Social Engineering, clientseitige, drahtlose und physische Penetrationstests. Hinsichtlich des Ansatzes umfassen die gängigsten Arten von Penetrationstests Black-Box-, White-Box-, Blue-Team- und Red-Team-Pentests.

Was sind Black-Box- und White-Box-Tests?

Bei Black-Box-Tests wird ein authentischer Hacking-Versuch inszeniert. Das Angreiferteam muss alle üblichen Phasen durchlaufen, einschließlich der Aufklärung, der Infiltration, der Etablierung eines Standbeins und der Suche nach ausnutzbaren Schwachstellen. Die Authentizität von Black-Box-Netzpenetrationstests entspricht einem echten Cyberangriff, was diesen Ansatz ideal für Unternehmen macht, die die volle Leistungsfähigkeit ihrer Systemverteidigung testen wollen. Black-Box-Tests sind das Gegenteil von White-Box-Tests, bei denen die Angreifer genaue Informationen über die Schwachstellen des Systems, die verwendeten Tools und das Personal, das das System bewacht, erhalten.

Was ist ein Blue-Team-Test?

Blue-Team-Tests werden oft als unternehmensinterne Penetrationstests bezeichnet. Das Blue-Team besteht aus Personen, die die Vermögenswerte des Unternehmens schützen. Sie bewerten und verteidigen die Sicherheit eines Unternehmens gegenüber den Red-Teams. Diese Red-Teams spielen die Rolle von Angreifern, indem sie Sicherheitsschwachstellen aufspüren und in einer kontrollierten Umgebung Angriffe starten. Beide Teams arbeiten zusammen, um den wahren Zustand der Sicherheit eines Unternehmens aufzudecken und zu stärken. Der Hauptnachteil von Blue-Team-Tests besteht darin, dass das Team eine Reihe verschiedener Aufgaben ausführen muss, was bedeutet, dass es mehr Raum für Fehler gibt.

Was ist ein Red-Team-Test?

Red-Box-Tests sind mit Netzwerk-Penetrationstests verbunden, die von lizenzierten Penetrationstestern durchgeführt werden, die üblicherweise als "Red-Team" bezeichnet werden. Bei Red-Team-Tests weiß das Blue-Team nichts von der Existenz des Red-Teams. Die Angreifer können frei entscheiden, welche Tools sie verwenden und welche Schwachstellen sie ausnutzen wollen. Das Blue-Team soll die Angreifer bei ihren Bemühungen abfangen und sie daran hindern, in das System einzudringen. Das Testen des roten Teams dient vielen Zwecken, aber das Endziel besteht darin, die Kompetenz des blauen internen Teams zu ermitteln und die Leistung der aktuellen Cybersicherheitsabwehr zu bewerten.

Wozu dient der Pentest?

Worauf wird bei Pentests geachtet?

Bei einem komplexen Penetrationstest würde der Pentest auf Folgendes abzielen:

Ausnutzbare Verbindungsprobleme, wie offene Ports oder ungepatchte Anwendungen
Injektionsschwachstellen durch DoS-Angriffe
Verschlüsselungsmängel mit Ransomware oder Spyware
Die Effizienz des internen Teams durch Spionageprogramme

Ethische Hacker überfluten das System nicht einfach mit allen Viren und Schadprogrammen, die sie finden. Eine Pentesting-Sitzung wird von Fachleuten orchestriert und durchgeführt, die zahlreiche Arten von Cybersicherheitsschutzmaßnahmen testen, bevor sie einen spezifischen Angriff starten.

Was ist ein Beispiel für einen Penetrationstest?

Ein Lehrbuchbeispiel für Penetrationstests besteht darin, dass ein Unternehmen einen ethischen Hacker damit beauftragt, Daten aus seinem System zu sammeln. Der Hacker erhält lediglich den Namen der Website und setzt Spyware ein, um in das System einzudringen. In einem komplexeren Szenario würde der Hacker zunächst scheitern und stattdessen Botnets einsetzen. Unabhängig davon, ob der Hacker Erfolg hat oder nicht, legt er dem Arbeitgeber einen Bericht über die entdeckten Schwachstellen vor.

Wie lange dauern Pentests?

Was kostet ein Pentest?

Die Kosten für ein Pentesting hängen von zahlreichen Faktoren ab, darunter die Größe des Unternehmens, die Erfahrung der Teams und vor allem die gewünschten Effekte.

Das Sondieren der Abwehrmechanismen eines Systems ist in der Regel nicht so teuer wie ein umfassender Angriff, bei dem alle Hindernisse überwunden werden sollen. Die Größe des Unternehmens wirkt sich auf die Größe des Teams aus, das eingesetzt werden muss; auch die Kosten für die Behebung spielen eine Rolle.

Grundlegende Pentests kosten in der Regel genauso viel wie die Schulung eines internen Teams in der Verwendung von SaaS-basierten Pentesting-Tools, was in der Regel mehrere Tausend Dollar beträgt. Groß angelegte Pentests können Zehntausende von Dollar kosten.

Was ist eine PenTest-Zertifizierung?

Die PenTest-Zertifizierung wird an Personen vergeben, die strenge Prüfungen bestehen und ihre Fähigkeit zur effizienten Durchführung fortgeschrittener Ethical-Hacking-Aufgaben nachweisen können. Zu den bekanntesten PenTest-Zertifizierungen gehören die CEH-Zertifizierung (Certified Ethical Hacker), die Licensed Penetration Tester-Zertifizierung (LPT), der Certified Penetration Tester (CPT) und der Certified Expert Penetration Expert (CEPT).

Penetration Testing

Welche Art von Penetrationstest brauchen Sie?

Welche Art von Penetrationstest brauchen Sie?

Welche Art von Penetrationstest
brauchen Sie?

Welche Art von Penetrationstest
brauchen Sie?