Penetrationstests

Im Rahmen der von uns angebotenen Penetrationstests wird der Angriff eines technisch versierten Angreifers simuliert. Mögliche Ziele eines solchen Penetrationstests sind bspw. die Kompromittierung eines zuvor festgelegten Zielobjekts, die Umgehung von Sicherheitsmechanismen oder der simulierte Diebstahl sensitiver Unternehmensdaten. Im Gegensatz zu unseren IT-Sicherheitsprüfungen besteht das Ziel eines Penetrationstests nicht im Aufdecken möglichst vieler sicherheitsrelevanter Schwachstellen, sondern vielmehr im Erreichen der zuvor festgelegten Zielsetzung. Üblicherweise werden unsere Penetrationstests in einem reinen Black-Box-Verfahren durchgeführt, d.h. es werden vorab nur die notwendigsten Informationen über das Zielobjekt bereitgestellt.

Exemplarische Prüfobjekte

  • Webapplikationen
  • Mobile Apps
  • Server- und Desktop-Systeme
  • Netzwerkumgebungen
  • IT-Sicherheitslösungen

Exemplarische Techniken

  • Informationsgewinnung (Scanning)
  • Manuelle und halbautomatisierte Angriffe in direkter
    Interaktion mit dem Prüfobjekt (Fault Injection).
  • Binary-Analyse (Reverse Engineering)
  • Ausnutzung von Konfigurationsproblemen und
    Software-Schwachstellen (Einsatz von Exploits).
  • Spear Phishing

Exemplarische Fragestellungen für die Durchführung eines Penetrationstests

  • Kann sich ein Angreifer Zugriff auf unser internes Unternehmensnetz verschaffen?
  • Kann ein Angreifer die Kundendaten aus unserer Webapplikation stehlen?
  • Kann sich ein Angreifer Administratorrechte auf einem unserer Desktop-Systeme verschaffen?
  • Kann sich ein Angreifer Windows-Domänenrechte in unserem internen Unternehmensnetz verschaffen?
  • Kann ein Angreifer unseren Terminalserver kompromittieren?
  • Werden gezielte Angriffe gegen unsere Systeme erfolgreich erkannt?
  • Lässt sich unsere IT-Sicherheitslösung umgehen? Welcher Aufwand ist dafür notwendig? Wie können wir unsere Lösung verbessern? Wie stehen wir im Vergleich zu anderen Anbietern entsprechender Sicherheitslösungen da?

Dokumentation der Ergebnisse

Unsere Abschlussberichte enthalten stets ein Management Summary sowie eine detaillierte technische Beschreibung der erzielten Ergebnisse und des jeweiligen Vorgehens. Darüber hinaus werden Handlungsempfehlungen zur Behebung der identifizierten Schwachpunkte gegeben.

Kontakt

Sie haben Interesse an weiteren Informationen oder an einem individuellen Angebot?

Treten Sie mit uns in Kontakt. Wir freuen uns auf Ihre Anfrage!
Kontakt