Penetrationstest

Für viele Unternehmen stellen zielgerichtete Angriffe auf IT-Systeme eine reale Bedrohung dar. Innerhalb eines Penetrationstests werden solche gezielten Angriffe durch spezialisierte Auditoren simuliert. Basis des Audits bilden die für den Auftraggeber relevanten Risikoszenarien. Von diesen Szenarien leiten sich dann Angriffsvektoren ab, welche in den Penetrationstest einzubeziehen sind.

Abhängig von Perspektive (extern oder intern), Szenario und Zielsetzung werden Netzwerkkomponenten, Server, Anwendungen, PC-Clients etc. in die Angriffsversuche einbezogen. Diese reichen vom Exploiting zentraler Systeme, über die Infizierung von PC-Clients mit Trojanischen Pferden bis hin zu Social Engineering. Dabei wird sogenanntes Multistaging praktiziert, bei welchem die Kombination verschiedenster, erfolgreich ausgenutzter Schwachstellen letztendlich zur Erreichung des gesetzten Ziels führen soll (z.B. Eindringen in das interne Netzwerk via Internet oder Erlangung des Zugriffs auf eine zentrale Datenbank).

Übersicht

Penetrationstest

Risikobasierte Prüfung von IT-Systemen
Gezielte Angriffe / Simulation komplexer Angriffsszenarien
Risikobewertung der Befunde und Definition von strategie-, konzept- und prozessbezogenen Maßnahmen und Optimierungsvorschlägen

Im Gegensatz zum umfassenden Ansatz des Schwachstellenaudits liegt der Schwerpunkt des Penetrationstests auf der risikobasierten Prüfung.
Dabei werden einzelne, für Angriffe besonders relevante IT-Systeme,
sowohl detailliert auf Schwachstellen analysiert als auch direkten
Angriffen ausgesetzt. Die Durchführung erfolgt bei komplexeren
IT-Umgebungen grundsätzlich durch zwei Auditoren.

Als Ergebnis des Audits erhalten Sie eine fundierte Risikobewertung unter
Zugrundelegung der definierten Szenarien. Wesentlicher Bestandteil des
Abschlussberichts ist außerdem eine Beschreibung von strategie-,
konzept- und prozessbezogenen Maßnahmen und Optimierungsvorschlägen.