Penetrationtest

Find out, what hackers will do
to your systems before they are actually going to do it!

Nutzen des Penetrationtests

Auch bei gewissenhafter Arbeit können technische oder prozessuale Sicherheitslücken entstehen, die von Kriminellen ausgenutzt werden können. Die regelmäßige Prüfung Ihrer Infrastruktur und Betriebsabläufe durch professionelle und unabhängige Pentester kann Lücken aufspüren, noch bevor es zu einem Vorfall kommt. Wir orientieren uns hierbei an gängigen Industriestandards, Best Practise Vorgaben und staatlichen Vorschlägen (z.B. BSI, NIST).

Unsere Penetrationtester haben Erfahrung im Testen von Websiten, komplexen Web-Apps, mobilen Apps, Netzwerkinfrastruktur, W-Lan Netzwerken, Client-Netzwerken und IOT- bzw. Embedded-Geräten. Bei unseren Tests betrachten wir stets das gesamte Bild der zu testenden Lösung, um sowohl Designfehler als auch technische Fehler zu finden.

Unsere Penetrationstest-Services

  1. Penetrationtest von Websites, Infrastruktur oder mobilen Apps (iOS/Android)
  2. Black-Box, Grey-Box oder White-Box Tests
  3. Verwendung neuester Techniken mit auf Ihr Unternehmen zugeschnittenen Angriffsvektoren
  4. Open-Source Intelligence zur Informationsbeschaffung
  5. Abschlussbericht über die gefundenen Schwachstellen
  6. Unterstützung bei der Behebung der Vulnerabilities
  7. Re-Check der Schwachstellen nach Behebung

There are many entry points for an attacker...

...let us find them together!

Ablauf des Penetration-Test

  1. Erstgespräch zur Erhebung des Umfangs: Zu Beginn werden essentielle Fragen geklärt. Dieses Gespräch dient auch dazu grundlegende Fragen zu einem Penetrationtest zu klären: Ablauf, Umfang, technische Details. außerdem ist zu klären: Um welche Testobjekte handelt es sich? Soll der Test von intern oder von extern erfolgen? Soll der Test Vorort oder Remote statfinden? Sind diese Fragen geklärt und Sie entscheiden sich fü r einen Penetrationstest mit uns, legen wir ein Angebot. Dann geht es zur Detailplanung.
  2. Detaillierte Planung des Pentests mit Ihnen zusammen: In einem gemeinsamen Gespräch mit dem Ihnen wird der gewünschte Testmodus und Umfang abgklärt. Die Analysten der Sec-Research erklären hier auch, welche Bedrohungszenarien durch diesen Test abgedeckt werden.
  3. Durchführung des Tests: Wir führen den Test zum vereinbarten Termin durch. Während der Durchführung sollte immer beidseitig die Möglichkeit zum Kontakt bestehen, also telefonische Erreichbarkeit garantiert sein um schnell Rückfragen klären zu können.
  4. Präsentation der Ergebnisse und Übermittelung des Berichts: Wir präsentieren die Ergebnisse inkl. Praxisbeispiele wie diese ausgenutzt werden. Natürlich übergeben wir auch einen Report im PDF Format.
  5. Behebung der gefundenen Schwachstellen: Nun sind Sie an der Reihe, die gefundenen Schwachstellen zu beheben. Auch in dieser Phase stehen wir Ihnen mit unserer technischen Expertise jederzeit unkompliziert zur Seite.
  6. Re-Check, ob die getroffenen Maßnahmen wirksam sind: Sind die Schwachstellen behoben, überprüfen wir, ob die getroffenen Maßnahmen auich tatsächlich alle Schwachstellen beheben. Dies tragen wir im Report ein, den wir Ihnen dann zukommen lassen. Diesen Report können Sie auch als Nachweis gegenüber Kunden oder anderen Geschäftspartnern verwenden, um zu zeigen, dass das Scope einem Test unterzogen wurde.

Holen Sie sich gleich Ihr Angebot!

FAQ zu Penetrationstests

Die Kosten für einen Penetrationstest variieren stark je nach Umfang (Scope), Art des Tests und zu testenden Objekten. Der Penetrationtest wird im Gegensatz zum Red Team Assessment nach Zeit bzw. Aufwand abgerechnet.

Für kleinere Webseiten, die Remote (Off-Site) getestet werden können, liegt der Aufwand im Bereich von 2 Personentagen, grössere, komplexere Tests können durchaus 10-15PT an Aufwand benötigen.

Hier ein paar exemplarische Größenordnungen:

  • Webseiten (Unternehmensseiten, Blogs): 2 PT
  • Einfache Web-Applikation: 3-4 PT
  • Komplexere Web-Applikation: 7-10 PT
  • Netzwerk mit ca. 25 Komponenten: 3 PT
  • Einfache Android oder iOS App (Greybox): 3-4 PT
  • WLAN-Netzwerk: 2 PT

Für eine unverbindliche Schätzung kontaktieren Sie uns einfach!

Bei Penetratonstests wird zwischen Blackbox-, Greybox- und Whitebox-Tests unterschieden. Diese unterscheiden sich im Ansatz (welche Informationen erhält der Tester?) und im zu testenden Bedrohungsszenario. Bei einem Blackbox-Test erhält der Tester keinerlei Informationen über die Testobjekte, bei einem Greybox-Test erhält er Architekturinformationen und weitere Details jedoch keinen Quellcode. Bei einem Whitebox bzw. Glassbox-Test erhält der Tester Sourcecode und sämtliche Informationen, die zu den Testobjekten bekann/relevant sind.
Ein Penetrationtest ist ein technischer Test. Das oder die Testobjekt(e) können zum Beispiel sein:
  • Webseiten (Unternehmensseiten, Blogs, Microsites, etc...)
  • Web-Applikationen
  • Netze oder Netzwerkkomponenten (Router, Switches, Firewalls, Proxy-Server)
  • iOS Apps
  • Android Apps
  • WLAN-Netzwerke
  • VoIP oder Videotelefonieanlagen
  • Hardware
  • uvm...
Eine gute Definition des Scopes (Umfangs) ist für aussagekräftige Ergebnisse unabdingbar. Unsere Experten helfen selbstverständlich bei der Definition und Erstellung des Scopes gerne mit.
Grundsätzlich kann das passieren, je erfahrener der ausführende Tester ist, desto unwahrscheinlicher ist dies jedoch (Wobei mit "Schäden" grundätzlich jede unvorteilhafte Nebenwirkung gemeint ist, also z.B. auch der vorübergehende Ausfall eines Services). Man sollte sich jedoch im klaren darüber sein, dass derartige Angriffe auch unerwartet aus dem Internet kommen können, daher ist es besser ein derartiges Verhalten wird im Rahmen eines kontrollierten Tests gefunden und es können so Maßnahmen getroffen werden. Ein Penetrationstest ist per Definition ein Test ausserhalb der gedachten Betriebszustände und kann daher immer zu Fehlfunktionen führen.

Copyright © Sec-Research GmbH 2018