diamond_fulldiamonddiamond_halfdiamond_eurosearch-iconmenuchat-iconclose-iconenvelope-iconsmartphone-call-icon

Prüfung

Penetrationstest

Schwachstellen in IT-Systemen können für viele Unternehmen schwerwiegende Konsequenzen haben. Wenn durch einen erfolgreichen Angriff beispielsweise ganze Produktionsanlagen und kritische Infrastrukturen ausfallen, kann in kürzester Zeit ein hoher wirtschaftlicher Schaden entstehen. Die Bedrohungsszenarien und Auswirkungen für ein Unternehmen sind dabei sehr individuell. Dies gilt es auch bei der Sicherheitsprüfung von IT-Umgebungen oder von einzelnen Komponenten zu berücksichtigen.

Mit einem Penetrationstest bieten wir Ihnen hierzu eine gezielte Überprüfung von IT-Umgebungen oder von einzelnen Komponenten, unter Berücksichtigung individueller Bedrohungsszenarien. Zielsetzung eines Penetrationstests ist hierbei insbesondere die Bewertung vorhandener Risiken für die spezifischen Bedrohungsszenarien. Es soll zudem eine Aussage getroffen werden, was ein Angreifer in einem begrenzten Zeitfenster im schlimmsten Falle erreichen kann.

placeholder for background/door-key.jpg

Ziel

Bewertung des Risikos hinsichtlich spezifischer Bedrohungsszenarien durch zielgerichtete Angriffe über die Identifikation und Ausnutzung von Schwachstellen


Fragestellung

Was kann ein Angreifer im Rahmen eines definierten Zeitfensters im schlimmsten Falle erreichen?


Scope

Für Bedrohungsszenario relevante IT-Systeme und Komponenten

Ablauf

Im Rahmen eines Penetrationstests werden dazu, ausgehend von spezifischen Bedrohungsszenarien, gezielte Angriffsvektoren definiert. Diese werden anschließend in den Penetrationstests einbezogen und durch unsere spezialisierten Mitarbeiter simuliert.

Abhängig von Perspektive (extern, intern, privilegierte Benutzer), Szenario und Zielsetzung werden unter anderem Netzwerkkomponenten, Server, Anwendungen oder Clients in die Angriffsversuche einbezogen. Ausgehend von den vorgegebenen Bedrohungsszenarien, werden dabei zunächst einzelne IT-Systeme detailliert auf Schwachstellen analysiert. Anschließend werden über die identifizierten Schwachstellen konkrete Angriffe auf die Systeme durchgeführt, um entweder direkt oder durch die Ausnutzung verketteter Schwachstellen die gesetzten Ziele zu erreichen. Die Durchführung erfolgt bei komplexeren IT-Umgebungen grundsätzlich durch ein Team von zwei Personen.

Bestandteile

Der Penetrationstest umfasst üblicherweise folgende Punkte:

  • Erfassung erreichbarer externer und / oder interner IT-Systeme und Dienste
  • Identifikation von Schwachstellen auf Basis der definierten Bedrohungsszenarien
  • Ausnutzung bzw. manuelle Verifikation identifizierter Sicherheitslücken mittels direkter Angriffe auf Systeme
  • Iteration der vorherigen Schritte bei Vordringen in weitere Bereiche der Systeme bzw. der Infrastruktur (Post Exploitation)
  • Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung

Test- und Angriffsszenarien können innerhalb des Assessments gegenüber den Systemverantwortlichen erläutert und bei Bedarf angepasst werden.

Ergebnis

Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:

  • Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
  • Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
  • Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
  • Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
  • Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
  • Beschreibung von Maßnahmen zur Behebung der Schwachstellen
  • Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.

Abgrenzung zum Red Teaming

Im Gegensatz zu einem Red Team Assessment, das meist über einen längeren Zeitraum erfolgt und als Ziel Ihre Abwehrmechanismen testet, werden im Penetrationstest zielgerichtete Angriffe in kurzer Zeit auf einen meist eingeschränkten Umfang (zum Beispiel ein konkreter IP-Adressbereich oder ein konkretes Bedrohungsszenario) ausgeführt. Bei einem Penetrationstest wird üblicherweise kein Wert darauf gelegt, dass die Angriffe unentdeckt bleiben, da diese für alle Beteiligten möglichst transparent durchgeführt werden. Der Fokus liegt auf einer möglichst effizienten Durchführung der Tests.

Der Fokus beim Red Teaming liegt hingegen auf der Durchführung möglichst realistischer Angriffsszenarien, die insbesondere auf Infrastrukturen mit einem hohen Reifegrad der IT-Sicherheit ausgerichtet sind. Zielsetzung dieser Projekte ist die Verbesserung der Erkennungs- und Reaktionsfähigkeiten für solche Angriffsszenarien.

Abgrenzung zur Schwachstellenanalyse

Im Gegensatz zur zielgerichteten Vorgehensweise eines Penetrationstests , liegt der Schwerpunkt der Schwachstellenanalyse auf einer möglichst breiten und umfassenden Prüfung. Die Basis des Assessments bilden automatisierte Scans, deren Ergebnisse anschließend manuellen Risikoanalysen und -bewertungen unterzogen werden.

Die Ausnutzung nachgelagerter Schwachstellen (Post Exploitation) wie sie bei einem Penetrationstest angewendet wird, um möglichst weit in eine Infrastruktur oder ein IT-System vorzudringen, ist hingegen nicht Bestandteil der Schwachstellenanalyse.

Spezifische Varianten von Penetrationstests

Je nach Untersuchungsobjekt bieten wir Ihnen auch spezifische Varianten eines Penetrationstests an:

Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder finden Sie Ihren Ansprechpartner

Kostenfreies Erstgespräch