Interner Netzwerk-Pentest
In der komplexen und ständig verändernden Landschaft der Cybersicherheit ist der Schutz Ihrer internen Netzwerke und Systeme vor Bedrohungen, die von innen kommen können, ebenso wichtig wie der Schutz vor externen Angriffen. Unsere internen Penetrationstests, kurz Pentests, bieten eine umfassende Analyse und Identifizierung potenzieller Sicherheitslücken innerhalb Ihres Netzwerks, die von böswilligen Akteuren ausgenutzt werden könnten, um sensiblen Datenverkehr zu kompromittieren oder die Integrität Ihres Netzwerks zu untergraben.
Warum sind interne Netzwerk-Pentests wichtig?
Die Sicherheit des internen Netzwerks wird oft vernachlässigt, da das Angriffsrisiko häufig nur von außen betrachtet wird. Dabei besteht gerade für interne Dienste ein höherer Schutzbedarf aufgrund der hochsensiblen Daten und Informationen, die diese Dienste verarbeiten. Die Gefahr geht dabei sowohl von Innentätern aus, als auch von Hackern, die den externen Permimeter überwinden und in das interne Netzwerk vordringen konnten. Die internen Angreifer können Schwachstellen ausnutzen, um kritische Informationen zu stehlen, Schadsoftware zu installieren oder den Geschäftsbetrieb zu sabotieren, was zu erheblichen finanziellen und reputativen Schäden führen kann.
So gehen wir bei einem Pentest vor
Unsere Pentests gliedern sich in der Regel in die folgenden fünf Phasen, die wir jedoch auch an Ihren individuellen Bedarf anpassen können. Eine Abschlusspräsentation erstellen wir auf Wunsch gerne für Sie, ebenso nehmen wir optional Nachtests vor. In jedem Fall erhalten Sie einen detaillierten und allgemein verständlichen Bericht mit einer Management-Summary sowie Empfehlungen zur Beseitigung der gefundenen Schwachstellen.
Kick-off
Durchführung
Dokumentation
Abschluss-
präsentation
Nachtests
Mehr über die einzelnen Schritte lesen Sie hier. Haben Sie bereits Fragen zum Thema Pentest, die Sie mit uns besprechen möchten? Unser Pentest-Team ist für Sie da, nehmen Sie Kontakt mit uns auf.
Durchführung eines internen Netzwerk-Pentests
Durch die Simulation von Angriffen, die von innen kommen könnten, decken wir kritische Schwachstellen auf, bevor sie zum Problem werden. Dies ist entscheidend, da intern initiierte Bedrohungen oft übersehen werden, aber genauso verheerend sein können wie externe Angriffe. Das „Zero-Trust“-Modell geht sogar soweit, dass einem internen System genauso wenig Vertrauen wie dem Internet geschenkt werden sollte.
Unsere internen Penetrationstests beginnen mit einem gründlichen Port- und Schwachstellenscan mittels führender Tools wie Nmap und Nessus, um Netzwerkdienste und Netzkoppelelemente auf Sicherheitslücken zu überprüfen. Anschließend führen unsere Experten, gestützt auf aktuelle Standards und langjährige Erfahrung, manuelle Tests und Auswertungen durch, um auch jene Schwachstellen zu identifizieren, die automatisierte Scans möglicherweise übersehen und um die sichere Konfiguration Ihres Netzwerks hinsichtlich der Netzwerksegmentierung in VLANs und Subnetze zu validieren.
Unsere internen Penetrationstests bieten eine flexible Durchführung: remote per VPN, über ein Remote-Testsystem oder direkt vor Ort, um sich den spezifischen Anforderungen Ihres Unternehmens anzupassen. Die Wahl des Durchführungsorts hängt von Ihren individuellen Sicherheitsbedürfnissen und Präferenzen ab, wobei jede Methode eine minimale Unterbrechung Ihrer Geschäftsabläufe erfordert. Unabhängig von der gewählten Methode garantieren wir eine enge Zusammenarbeit mit Ihrem IT-Team und eine sofortige Rückmeldung zu identifizierten Sicherheitsrisiken.
Alle Tests werden dabei sorgfältig an den individuellen Prüfgegenstand angepasst und um die notwendigen Prüfungen erweitert.
Prüfpunkte
Insgesamt umfassen die internen Netzwerk-Pentests die folgenden Prüfpunkte:
Network Access Control (NAC)*
Prüfung der eingesetzten Sicherheitsmaßnahmen zum Schutz gegen eine unberechtigte Netzanmeldung *(nur vor Ort)
Veraltete Software
Analyse der identifizierten Dienste und Betriebssysteme in Hinblick auf veraltete Software mit bekannten Sicherheitslücken
Administrative Zugänge
Kontrolle der Erreichbarkeit von administrativen Zugängen bzw. Fernwartungszugängen ausgehend von unautorisierten Systemen
Kennwörter
Brute-Force-Angriffe auf Authentisierungsdienste zur Überprüfung auf Standardzugangsdaten oder triviale Kennwörter
Sensible Informationen
Gezielte Suche nach der Ausgabe von sensiblen Informationen
Verschlüsselung
Überprüfung der Verschlüsselung und die Angemessenheit der eingesetzten Verschlüsselungsverfahren
Zugriffskontrolle
Kontrolle, ob die identifizierten Dienste und Anwendungen eine adäquate Zugriffsbeschränkung aufweisen und eine angemessene Netzwerksegmentierung vorliegt
Systemhärtung
Generelle Analyse der Systeme im Hinblick auf potenzielle Verbesserungspotentiale und Härtungseinstellungen
Das Ergebnis jedes Pentests ist ein detaillierter und verständlicher Ergebnisbericht mit einer Management-Summary, Testdetails und maßgeschneiderten Empfehlungen zur Behebung identifizierter Schwachstellen. Auch nach Abschluss des Projekts stehen wir für Rückfragen zu Schwachstellen und unseren Empfehlungen zur Verfügung und führen auf Wunsch weitere Tests zur Kontrolle durch.
Ihr Ansprechpartner
Sie möchten einen internen Netzwerk-Pentest durchführen lassen und suchen einen qualifizierten Dienstleister? Wir stehen Ihnen mit unserer Erfahrung und Fachexpertise zur Verfügung. Kontaktieren Sie uns gerne telefonisch oder per E-Mail – wir freuen uns auf Ihre Anfrage!
Michael Cyl, M.Sc.
Leiter Informationssicherheit | Penetrationstests
E-Mail: mcyl@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-319
Unsere Qualifikation als Pentester:
- Vorgehen nach anerkannten Standards (BSI IS-Pentest, BSI IS-Webcheck, OWASP uvm.)
- Qualifizierte Penetrationstester mit langjähriger Erfahrung
- Individualisierung aller Tests anhand der entsprechenden Prüfsituation
- Umfassende Projekterfahrung im Smart Meter Gateway-Bereich nach BSI TR-03109-1
- Unkomplizierte Prozesse und Transparenz zu jeder Zeit
- Fokus auf Verbesserung der IT-Sicherheit des Auftraggebers
Des Weiteren sind wir ausgezeichnet als
- Offensive Security Certified Professional (OSCP)
- Certified Ethical Hacker (CEH)
- Offensive Security Wireless Professional (OSWP)
FAQ zum Thema Pentest
Auch interessant:
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: