Interner Netzwerk-Pentest

In der komplexen und ständig verändernden Landschaft der Cybersicherheit ist der Schutz Ihrer internen Netzwerke und Systeme vor Bedrohungen, die von innen kommen können, ebenso wichtig wie der Schutz vor externen Angriffen. Unsere internen Penetrationstests, kurz Pentests, bieten eine umfassende Analyse und Identifizierung potenzieller Sicherheitslücken innerhalb Ihres Netzwerks, die von böswilligen Akteuren ausgenutzt werden könnten, um sensiblen Datenverkehr zu kompromittieren oder die Integrität Ihres Netzwerks zu untergraben.

Warum sind interne Netzwerk-Pentests wichtig?

Die Sicherheit des internen Netzwerks wird oft vernachlässigt, da das Angriffsrisiko häufig nur von außen betrachtet wird. Dabei besteht gerade für interne Dienste ein höherer Schutzbedarf aufgrund der hochsensiblen Daten und Informationen, die diese Dienste verarbeiten. Die Gefahr geht dabei sowohl von Innentätern aus, als auch von Hackern, die den externen Permimeter überwinden und in das interne Netzwerk vordringen konnten. Die internen Angreifer können Schwachstellen ausnutzen, um kritische Informationen zu stehlen, Schadsoftware zu installieren oder den Geschäftsbetrieb zu sabotieren, was zu erheblichen finanziellen und reputativen Schäden führen kann.

So gehen wir bei einem Pentest vor

Unsere Pentests gliedern sich in der Regel in die folgenden fünf Phasen, die wir jedoch auch an Ihren individuellen Bedarf anpassen können. Eine Abschlusspräsentation erstellen wir auf Wunsch gerne für Sie, ebenso nehmen wir optional Nachtests vor. In jedem Fall erhalten Sie einen detaillierten und allgemein verständlichen Bericht mit einer Management-Summary sowie Empfehlungen zur Beseitigung der gefundenen Schwachstellen. 

Eine Eins mit einem Icon für Gespräch (Schritt 1 bei einem Pentest).

Kick-off

Eine Zwei mit einem Icon aus Laptop und Lupe für Analyse (Schritt 2 bei einem Pentest).

Durchführung

Eine Drei mit einem Icon für Liste/Auswertung bzw. Bericht (Schritt 3 bei einem Pentest).

Dokumentation

Eine Vier mit einem Icon für Präsentation (Schritt 4 bei einem Pentest).

Abschluss-
präsentation

Eine Fünf mit einem Icon für Analyse und Auswertung (Schritt 5 bei einem Pentest).

Nachtests

Mehr über die einzelnen Schritte lesen Sie hier. Haben Sie bereits Fragen zum Thema Pentest, die Sie mit uns besprechen möchten? Unser Pentest-Team ist für Sie da, nehmen Sie Kontakt mit uns auf.

Durchführung eines internen Netzwerk-Pentests

Durch die Simulation von Angriffen, die von innen kommen könnten, decken wir kritische Schwachstellen auf, bevor sie zum Problem werden. Dies ist entscheidend, da intern initiierte Bedrohungen oft übersehen werden, aber genauso verheerend sein können wie externe Angriffe. Das „Zero-Trust“-Modell geht sogar soweit, dass einem internen System genauso wenig Vertrauen wie dem Internet geschenkt werden sollte.

Unsere internen Penetrationstests beginnen mit einem gründlichen Port- und Schwachstellenscan mittels führender Tools wie Nmap und Nessus, um Netzwerkdienste und Netzkoppelelemente auf Sicherheitslücken zu überprüfen. Anschließend führen unsere Experten, gestützt auf aktuelle Standards und langjährige Erfahrung, manuelle Tests und Auswertungen durch, um auch jene Schwachstellen zu identifizieren, die automatisierte Scans möglicherweise übersehen und um die sichere Konfiguration Ihres Netzwerks hinsichtlich der Netzwerksegmentierung in VLANs und Subnetze zu validieren. 

Unsere internen Penetrationstests bieten eine flexible Durchführung: remote per VPN, über ein Remote-Testsystem oder direkt vor Ort, um sich den spezifischen Anforderungen Ihres Unternehmens anzupassen. Die Wahl des Durchführungsorts hängt von Ihren individuellen Sicherheitsbedürfnissen und Präferenzen ab, wobei jede Methode eine minimale Unterbrechung Ihrer Geschäftsabläufe erfordert. Unabhängig von der gewählten Methode garantieren wir eine enge Zusammenarbeit mit Ihrem IT-Team und eine sofortige Rückmeldung zu identifizierten Sicherheitsrisiken. 

Alle Tests werden dabei sorgfältig an den individuellen Prüfgegenstand angepasst und um die notwendigen Prüfungen erweitert.

Prüfpunkte

Insgesamt umfassen die internen Netzwerk-Pentests die folgenden Prüfpunkte:

Network Access Control (NAC)*

Prüfung der eingesetzten Sicherheitsmaßnahmen zum Schutz gegen eine unberechtigte Netzanmeldung *(nur vor Ort)

Veraltete Software

Analyse der identifizierten Dienste und Betriebssysteme in Hinblick auf veraltete Software mit bekannten Sicherheitslücken

Administrative Zugänge

Kontrolle der Erreichbarkeit von administrativen Zugängen bzw. Fernwartungszugängen ausgehend von unautorisierten Systemen

Kennwörter

Brute-Force-Angriffe auf Authentisierungsdienste zur Überprüfung auf Standardzugangsdaten oder triviale Kennwörter

Sensible Informationen

Gezielte Suche nach der Ausgabe von sensiblen Informationen

Verschlüsselung

Überprüfung der Verschlüsselung und die Angemessenheit der eingesetzten Verschlüsselungsverfahren

Zugriffskontrolle

Kontrolle, ob die identifizierten Dienste und Anwendungen eine adäquate Zugriffsbeschränkung aufweisen und eine angemessene Netzwerksegmentierung vorliegt

Systemhärtung

Generelle Analyse der Systeme im Hinblick auf potenzielle Verbesserungspotentiale und Härtungseinstellungen

Das Ergebnis jedes Pentests ist ein detaillierter und verständlicher Ergebnisbericht mit einer Management-Summary, Testdetails und maßgeschneiderten Empfehlungen zur Behebung identifizierter Schwachstellen. Auch nach Abschluss des Projekts stehen wir für Rückfragen zu Schwachstellen und unseren Empfehlungen zur Verfügung und führen auf Wunsch weitere Tests zur Kontrolle durch.

Ihr Ansprechpartner

Sie möchten einen internen Netzwerk-Pentest durchführen lassen und suchen einen qualifizierten Dienstleister? Wir stehen Ihnen mit unserer Erfahrung und Fachexpertise zur Verfügung. Kontaktieren Sie uns gerne telefonisch oder per E-Mail – wir freuen uns auf Ihre Anfrage!

Michael Cyl

Michael Cyl, M.Sc.

Leiter Informationssicherheit | Penetrationstests

E-Mail: mcyl@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-319

Unsere Qualifikation als Pentester:

  • Vorgehen nach anerkannten Standards (BSI IS-Pentest, BSI IS-Webcheck, OWASP uvm.)
  • Qualifizierte Penetrationstester mit langjähriger Erfahrung
  • Individualisierung aller Tests anhand der entsprechenden Prüfsituation
  • Umfassende Projekterfahrung im Smart Meter Gateway-Bereich nach BSI TR-03109-1
  • Unkomplizierte Prozesse und Transparenz zu jeder Zeit
  • Fokus auf Verbesserung der IT-Sicherheit des Auftraggebers

Des Weiteren sind wir ausgezeichnet als

  • Offensive Security Certified Professional (OSCP)
  • Certified Ethical Hacker (CEH)
  • Offensive Security Wireless Professional (OSWP)

FAQ zum Thema Pentest

Auch interessant:

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: