Penetrationstests

Die Bedrohungsszenarien für eine Webseite reichen von der Lahmlegung einer simplen WordPress-Seite, über die dauerhafte Veränderung von Webseiten und Einschleusen von Schadcode bis hin zum Zugriff auf sensible Kundendaten und sollten daher keinesfalls unterschätzt werden.

Mit unseren Penetrationtest-Packages stellen wir die Widerstandsfähigkeit deiner Webpräsenz auf die Probe und helfen dir, Sicherheitslücken und Schwachstellen frühzeitig zu identifizieren und nachhaltig zu beheben.
 
Um was geht es?
Unser Angebot
Kunden-FAQ
Passende Seminare

Um was geht es?

Ein Penetrationstest, kurz „Pentest“ genannt, ist ein im Rahmen der getroffenen vertraglichen Regelungen simulierter Angriff auf Computersysteme, Netzwerke oder Anwendungen, der durchgeführt wird, um mögliche Angriffsvektoren und Schwachstellen frühzeitig zu erkennen, bevor echte Angreifer*innen sie ausnutzen können. Dabei werden die gleichen Angriffsmethoden und Werkzeuge wie bei einem realen Cyber-Angriff eingesetzt, um die Robustheit deiner Systeme sowie die Fähigkeit, Cyberangriffe zu erkennen und darauf zu reagieren, möglichst realitätsnah zu beurteilen. Auf Basis der Ergebnisse können dann geeignete Maßnahmen implementiert oder bereits bestehende verbessert werden und das Sicherheitsniveau deiner Webseite verbessert werden.

Unser Angebot

Unser Angebot

1 | Quick-Check

Mit unserem Quick-Check möchten wir dir einen ersten Überblick über das Sicherheitsniveau deiner Webseite und gleichzeitig eine Kostprobe unserer Services anbieten. Wir führen eine oberflächliche Überprüfung durch, um offensichtliche Sicherheitsrisiken zu identifizieren.

Dabei liegt unser Fokus auf folgenden Bereichen:

  • Patchmanagement
  • Prüfung auf bekannte Sicherheitslücken (CVEs)
  • TLS/SSL-Anordnung
  • Phishing- und Spam-Schutz
2 | Basic-Check

Gemäß des Durführungskonzeptes des Bundesamts für Sicherheit in der Informationstechnik (BSI) und den Richtlinien des Open Web Application Security Project (OWASP) untersuchen wir deine Webpräsenz mit automatisierten und manuellen Techniken auf die sogenannten OWASP-Top 10 Sicherheitslücken. Diese stellen ein Ranking der bedeutendsten Bedrohungen, Risiken, Angriffsvektoren und Schwachstellen dar, welche in der (Weiter-) Entwicklung und Absicherung von Webseiten berücksichtigt werden sollten.

Wir stellen dabei u.a. sicher, dass folgende Punkte dem aktuellen Stand der Technik und den empfohlenen Absicherungsmaßnahmen entsprechen:

  • Zugriffsmanagement
  • Behandlung sensibler Daten
  • Verschlüsselungsmechanismen
  • Eingabe Validierung / Ausgabe-Maskierung
  • Fehlerbehandlung
  • Registrierungs- und Login/Passwort-Richtlinien
  • Phishing und Spam-Schutz
  • Sicherheitskonfiguration
  • Patchmanagement
  • Identifizierung und Authentifizierung
  • Softwareintegrität
  • Systemüberwachung
3 | Advanced-Check

Mit unserem Advanced-Check gehen wir über die grundlegende Sicherheitsanalyse im Rahmen des Basic-Checks hinaus und bieten unseren Kund*innen erweiterte Leistungen und maßgeschneiderte Optionen, um ihre spezifischen Sicherheitsanforderungen zu erfüllen:

  • Umfangreicher Support bei der Behebung von Schwachstellen: Wir stehen dir bei technischen Fragen zur Behebung der identifizierten Schwachstellen und Umsetzung von Abhilfemaßnahmen zur Seite.
  • Bestätigung der Schwachstellenbehebung: Nachdem du die Schwachstellen behoben hast, führen wir ein Retest (Nachtest) durch, um sicherzustellen, dass die Abhilfemaßnahmen erfolgreich umgesetzt und Schwachstellen wirksam geschlossen wurden.
  • Empfehlungen zu Security Best-Practices: Wir unterstützen dich mit bewährten Methoden zur kontinuierlichen Verbesserung deines Sicherheitsniveaus deiner Webseite.

Optionale Services

  • Optional | Bewertung der physischen Sicherheitsaspekte: Unsere Überprüfung umfasst die Sicherstellung, dass der Schutz deiner physischen Ressourcen den geltenden Sicherheitsstandards entspricht, einschließlich Aspekten wie Zutrittskontrolle, Büroanordnung und sicherer Entsorgung vertraulicher Unterlagen.
  • Optional | Bewertung des Sicherheitsbewusstseins: Durch gezielte Social-Engineering-Simulationen analysieren wir den Reifegrad des Sicherheitsbewusstseins deiner Mitarbeiter und stellen dir auch hier gezielte Abhilfemaßnahmen, durch unsere Awareness Trainings zur Verfügung – alles aus einer Hand!
 
 

Berichterstattung

Für alle Packages werden nach der Durchführung die Ergebnisse in einem detaillierten Bericht festgehalten. Dieser ist so gestaltet, dass er eine umfassende Analyse der gefundenen Schwachstellen bietet, inklusiv ihrer Ausnutzbarkeit und Schwergrad des damit verbundenen Risikos. Zudem werden detaillierte Handlungsgrundlagen zu Behebung der identifizierten Schwachstellen geliefert.

Jetzt Angebot anfordern

Kunden-FAQ

Kunden-FAQ

Warum Pentest?

Durch Penetrationstests können potenzielle Sicherheitslücken rechtzeitig aufgedeckt und behoben werden, bevor echte Angreifer*innen sie ausnutzen können, was die Gewährleistung der Schutzziele der Informationssicherheit stärkt. Darüber hinaus verpflichten Compliance-Anforderungen, z.B. im Kontext des Art.32 Abs.1d) DS-GVO, „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen [TOM] zur Gewährleistung der Sicherheit der Verarbeitung“ zu implementieren. Zusätzlich fordern auch verschiedene ISMS-Standards eine regelmäßige Prüfung der getroffenen Sicherheitsmaßnahmen auf deren Eignung und Wirksamkeit, beispielsweise durch Pentests.

Wie läuft ein Pentest ab?

Der Penetrationstest beginnt mit der Aufnahme der individuellen Kundenanforderungen und der Definition des Testumfangs. Anschließend werden Informationen gesammelt, um potenzielle Schwachstellen zu identifizieren bzw. auszunutzen. Nach der aktiven Untersuchung werden die Ergebnisse analysiert und dem Auftragsgeber in einem detaillierten Bericht mit Handlungsplan und Abhilfemaßnahmen zur Verfügung gestellt.

Welche Arten von Penetrationstests gibt es?

Die Kategorisierung von Penetrationstests erfolgt anhand verschiedener Faktoren. Unter anderem wird hierbei das Testobjekt betrachtet, also was genau getestet werden soll. Aber auch die Vorkenntnisse über das Testobjekt vor der Durchführung, also welche Informationen dem Tester zur Verfügung gestellt wurden, sowie der Ort der Durchführung sind relevant. Mehr Informationen hierzu findest du auch in unserem WHITEPAPER.

Sind Penetrationstests auch für kleine Unternehmen relevant?

Unabhängig von der Größe des Unternehmens können Sicherheitsvorfälle langfristige Schäden verursachen, die nur durch vorbeugende Maßnahmen verhindert werden können. Einem Cyberkriminellen ist es egal, wie groß oder klein deine Organisation ist: Ein leichtes Ziel ist ein leichtes Ziel. Zusätzlich laufen viele Angriffe mittlerweile automatisiert ab, sodass potenziell jede Webseite irgendwann im Visier solcher Angriffe stehen wird. Sorge also in jedem Fall für die Sicherheit deines Webauftritts!

Wie sieht ein Pentest Report aus?

Ein Penetrationstestsbericht ist so gestaltet, dass zu jeder Schwachstelle eine technische Beschreibung, eine Risikoabschätzung, Abhilfemaßnahmen zur Behebung sowie gängige Referenzen angegeben werden. Zusätzlich beinhaltet der Bericht eine Management Summary, welches der Geschäftsleitung einen Überblick über die gesamte Sicherheitslage verschafft. Organisatorische Aspekte, wie eine Vertraulichkeitserklärung, Angaben zum Pentester und allgemeine Informationen zum Testablauf, sind ebenfalls Bestandteil jedes Berichts. PROBEBERICHT