Pentest

Angriffe auf IT-Systeme sind heutzutage allgegenwärtig. Die Gefahr geht dabei nicht nur von organisierten Hackergruppen aus. Das Internet wird ununterbrochen von automatisierten Programmen – sog. Bots – nach leichter Beute durchsucht. Diese melden potentielle Ziele dann an ihre „Auftraggeber“ oder nehmen weiterführende Angriffe gleich selbst vor.

Ein Penetrationstest, kurz Pentest genannt, schützt Sie vor Cyber-Angriffen und den damit verbundenen Schäden: Während ein Angreifer versucht, Sicherheitslücken zu finden, um Ihre Systeme zu verschlüsseln, nutzt ein Pentest das gleiche Vorgehen, um Ihnen die möglichen Angriffsvektoren im Vorfeld aufzuzeigen. So haben Sie frühzeitig die Chance, wirksame Gegenmaßnahmen einzuleiten.

Im Folgenden erfahren Sie mehr über die verschiedenen Arten von Pentests, die Untersuchungsgegenstände und die Arbeitsweise unserer Pentester.

Black-Box-, Grey-Box- oder White-Box-Pentest: Wo liegen die Unterschiede?

Pentests unterscheiden sich nicht nur durch den Untersuchungsgegenstand (z. B. Netzwerk, App, API etc.), sondern auch durch das Ausgangsszenario. Wir erläutern den Unterschied zwischen Black-Box-, Grey-Box- und White-Box-Pentests. 

Ein Black-Box-Pentest startet mit möglichst wenig Informationen und kommt daher einem realen Angriffsszenario am nächsten. Für diese Art von Pentest reicht oft eine IP-Adresse, eine URL oder auch nur ein Domain-Name.

Demgegenüber steht der White-Box-Pentest, welcher umfangreiche Informationen über den Prüfgegenstand offenlegt. Dabei kann es sich um Netzwerkdiagramme, Sicherheitskonzepte, Konfigurationen und auch Code-Ausschnitte handeln. Der White-Box-Test ermöglicht eine konkretere Planung der Prüfungen und Fokussierung auf sensible Systeme und Funktionen. Es besteht aber auch die Gefahr, dass die Objektivität des Testers eingeschränkt wird.

Um die Vorteile von Black-Box und White-Box zu vereinen, kann im Rahmen eines Grey-Box-Pentests zunächst mit einer Black-Box gestartet werden, um danach ggf. benötigte Informationen für einen effektiven Testverlauf auszutauschen. Auch wenn im Vorfeld Anmeldedaten für einen Dienst o. Ä. zur Verfügung gestellt werden, spricht man von einem Grey-Box-Szenario.
 

Untersuchungsgegenstände bei einem Pentest

Das Aufspüren und Schließen von Sicherheitslücken in Netzwerken, Apps oder APIs leistet einen essenziellen Beitrag für Ihre Informationssicherheit. Wir bieten Pentests, also simulierte Angriffe, für folgende Untersuchungsgegenstände an:

Pentests bei externen Netzwerken

Ihre extern aus dem Internet erreichbaren Systeme sind dem größten Risiko ausgesetzt. Im Rahmen von externen Tests, die am ehesten mit einem klassischem „Hacker-Angriff“ in einem sog. Black-Box-Szenario zu vergleichen sind, werden alle nach außen exponierten Netzwerkdienste nach potentiellen Sicherheitslücken durchsucht. Dabei werden sowohl Ihre Firewall-Regeln als auch die Härtungseinstellungen Ihrer Systeme auf Herz und Nieren überprüft.

Die Basis unserer Prüfungen bilden öffentliche Empfehlungen und Richtlinien zur Durchführung von Pentests, z. B. der „Praxis-Leitfaden für IS-Penetrationstests“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI), sowie über 15 Jahren Erfahrung auf diesem Gebiet. Darüber hinaus wird jeder Test sorgfältig an den individuellen Prüfgegenstand angepasst und um die notwendigen Prüfungen erweitert.

Pentests bei internen Netzwerken

Während das Internet als potentielle Gefahrenquelle gilt, wird das Netzwerk innerhalb eines Unternehmens meist als weniger bedroht betrachtet. Fälschlicherweise, denn das Risiko durch einen Innentäter, bspw. durch die Überwindung des äußeren Perimeters, durch böswillige Mitarbeitende oder durch das unabsichtliche Einbringen von Schadsoftware, sollte ebenfalls nicht unterschätzt werden. Das momentan aufstrebende „Zero-Trust“-Modell geht sogar soweit, dass einem internen System genauso wenig Vertrauen wie dem Internet geschenkt werden sollte. Informationen zum Zero-Trust-Modell finden Sie z. B. hier auf der Website des National Institutes of Standards and Technology (NIST).

Durch einen internen Pentest werden daher mit Zugang zum Unternehmensnetz – vor Ort oder per VPN – analog zum externen Netzwerk-Pentest alle Netzwerkdienste des Intranets im Hinblick auf Sicherheitslücken und Konfigurationsfehler durchsucht. Weiterhin werden ggf. vorhandene Netzzugangskontrollen (NAC – Network Access Control) sowie Detektions- und Präventionsmaßnahmen gegen lokale Angriffe evaluiert und auf Effektivität überprüft. Das Vorgehen entspricht dabei eher einem Grey-Box-Szenario, kann aber durch die Bereitstellung von detaillierten Netzplänen und weiteren Informationen über die IT-Infrastruktur auch zu einem konkret definierten White-Box-Test erweitert werden.

Pentests bei Web-Apps und APIs

Neben einfachen Websites erfreuen sich browserbasierte Applikationen, kurz Web-Apps, bei Entwicklern und Anwendern zunehmender Beliebtheit. Der Funktionsumfang ist groß, angefangen von Onlineshops über Mail- und Kalenderanwendungen bis hin zu Videosprechstunden.

Ebenso groß ist allerdings das Potential für Fehler bei der Programmierung und damit ggf. für schwerwiegende Sicherheitslücken, welche nicht nur Websites und Web-Apps an sich, sondern auch den darunterliegenden Server und dessen Infrastruktur gefährden. Ein Pentest prüft daher die Webanwendung im Hinblick auf bekannte Sicherheitslücken (u. a. „OWASP Top 10“) und logische Fehler – insbesondere in der Rechteverwaltung.

Häufig mit modernen Web-Apps verbunden, aber ggf. auch alleinstehend, werden die zugrundeliegenden Programmierschnittstellen (APIs) bzw. Web-Services gemäß den architektur- und protokollspezifischen Besonderheiten ebenfalls auf Sicherheitslücken überprüft (z. B. gemäß „OWASP API Security“).

Pentests bei iOS- und Android-Apps

Sowohl unter iOS als auch auf dem Android-Betriebssystem besteht die Gefahr, dass die Sicherheitsfunktionen der Plattform falsch konfiguriert oder sensible Daten nicht ausreichend geschützt werden. Somit kann ein potentieller Angreifer ggf. auf dem Gerät selbst oder auf dem zugrundeliegenden Backend-System unautorisiert auf sensible Informationen zugreifen oder schadhafte Aktionen ausführen.

Im Rahmen eines Pentests werden iOS- oder Android-Apps daher sowohl auf Berechtigungs- und Konfigurationsebene als auch im Hinblick auf programmierbedingte Sicherheitslücken überprüft, wobei auch deren Anbindung an das entsprechende Backend-System eine zentrale Rolle einnimmt. Unsere Prüfungen basieren dabei u. a. auf dem „OWASP Mobile Security Testing Guide“.


So gehen wir bei einem Pentest vor

Bereits vor der eigentlichen Angebotserstellung haben Sie die Möglichkeit, sich umfassend zum Thema Pentest beraten zu lassen und die für Sie wichtigen Prüfpunkte zusammen mit uns zu erarbeiten. Sollten Sie bereits wissen, was der Test beinhalten soll, kann die Beratung vorab entfallen. Unsere Pentests gliedern sich in die folgenden Schritte, die wir jedoch auch an Ihren individuellen Bedarf anpassen können.

  1. Vorgespräch / Kick-off
    Vor Beginn der Tests wird das Vorgehen kurz gemeinsam abgestimmt. Je nach Komplexität des Untersuchungsgegenstandes kann es sich dabei um eine einfache Abstimmung per Mail bis hin zu einem mehrstündigen Kick-off-Meeting handeln, bei dem alle offenen Fragen geklärt werden.

  2. Durchführung
    Basierend auf den besprochenen Rahmenbedingungen und Prüfszenarien werden die entsprechenden Tests durch unsere Experten durchgeführt. Wir stehen Ihnen während der gesamten Durchführungsphase für eventuelle Rückfragen zur Seite.

  3. Dokumentation
    Nach Abschluss der Tests erfolgt die Aufbereitung und Strukturierung der Prüfergebnisse, um einen für alle involvierten Personen hilfreichen und verständlichen Abschlussbericht zu erstellen. Dies beinhaltetet sowohl die Zusammenfassung der Ergebnisse in einer übergreifenden Management Summary als auch die detaillierte Darstellung der einzelnen Feststellungen mit dazugehörigen Empfehlungen zur Beseitigung der Schwachstellen.

  4. Abschlusspräsentation (optional)
    Auf Wunsch können die Ergebnisse der Prüfungen zusätzlich in einer (Online-)Präsentation vorgestellt, erläutert und diskutiert werden.

  5. Überprüfung der Gegenmaßnahmen / Nachtests (optional)
    Sofern Sie im Anschluss des Pentests die von uns empfohlenen Maßnahmen zur Beseitigung der identifizierten Sicherheitslücken getroffen haben, kann deren Effektivität durch einen erneuten Test validiert werden – je nach Umfang der Maßnahmen in einer kurzen Nachkontrolle oder einem umfassenden Nachtest.

Sie haben noch Fragen zum Thema Pentest? Dann ist unser FAQ-Bereich vielleicht hilfreich oder Sie kontaktieren uns direkt

Unsere Qualifikation als Pentester:

  • Vorgehen nach anerkannten Standards (BSI IS-Pentest, BSI IS-Webcheck, OWASP uvm.)
  • Qualifizierte Penetrationstester mit langjähriger Erfahrung
  • Individualisierung aller Tests anhand der entsprechenden Prüfsituation
  • Umfassende Projekterfahrung im Smart Meter Gateway-Bereich nach BSI TR-03109-1
  • Unkomplizierte Prozesse und Transparenz zu jeder Zeit
  • Fokus auf Verbesserung der IT-Sicherheit des Auftraggebers

Ihr Ansprechpartner

Sie möchten einen Pentest durchführen lassen und suchen einen qualifizierten Dienstleister? Wir stehen Ihnen mit unserer Erfahrung und Fachexpertise zur Verfügung. Kontaktieren Sie uns gerne telefonisch oder per E-Mail – wir freuen uns auf Ihre Anfrage!

Michael Cyl

Michael Cyl, M.Sc.

Leiter Informationssicherheit | Penetrationstests

E-Mail: mcyl@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-319

Gerne können Sie Ihre Anfrage jederzeit auch über das Kontaktformular an uns richten. 

FAQ – Häufig gestellte Fragen zum Pentest

Auch interessant:

Die Unternehmen der DSN GROUP sind Ihre Partner für Datenschutz, Informationssicherheit und Compliance. Weitere ausgewählte Leistungen aus dem Bereich Informationssicherheit finden Sie über diese Buttons. Bei Fragen stehen wir Ihnen jederzeit zur Verfügung.