Ein Pentest hilft vorhandene Sicherheitslücken zu entdecken und die getroffenen Sicherheitsvorkehrungen zu überprüfen.

Dies ist mit unter eine der Anforderungen von Versicherungen, damit hohe Cyber Risiken versichert werden können. Je höher das Risiko einer Organisation ist, desto mehr fordern Versicherer einen regelmäßigen Penetration Test und eine Vulnerability Assessment.

Was ist ein Pentest?

Der Begriff „Pentest“ ist die Abkürzung des Begriffs „Penetration Test„. Damit ist eine Untersuchung gemeint, mit der auf verschiedenen Wegen versucht wird, Schwächen in Webservern, Firewalls, Servers, DMZ, SIEM, Proxy Server, PBX und verschiedene alternative Systeme (Cloud, virtuelle Server, Thin clients, IoT, M2M) zu identifizieren.

Der Sinn dahinter ist, das Potential zur Verbesserung der IT Sicherheit zu erhöhen und das Risiko eines Sicherheitsvorfalls zu reduzieren.

Pentest Arten

Wenn man das externe Umfeld eines Unternehmens überprüft, verwendet man eine Mischung von Online Pentests als auch labor-basierenden Pentest Systemen. Dabei gibt es sogenannte White Pentest, Grey Pentest und Black Pentest. Die Farbe sagt aus, wie viel Information ein Pentester vom Auftraggeber über die Systeme des Kunden erhalten hat.

Um ein internes Netzwerk zu überprüfen, kann man entweder ein lokal aufgestelltes Analysesystem oder ein per VPN angebundenes Pentest Laborsystem einsetzen.

Pentest erfordern eine strukturierte Vorgehensweise

Bei einer Sicherheitsüberprüfung des Netzwerks muss man planmäßig vorgehen. Ohne Struktur werden kritische Bereiche übersehen und eventuell hohe Risiken außer acht gelassen.

Es reicht aber nicht Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe durchzuführen. Es müssen eine Vielzahl von internen und externen Bereichen geprüft werden.

Damit man das Sicherheitsniveau Ihrer Systeme und Applikationen überprüfen kann, erfolgt der Pentest einem vordefinierten Ablauf. Hierzu werden mit Hilfe von Checklisten sichergestellt, dass in den einzelnen Bereichen alle relevanten Systeme und Plattformen berücksichtigt werden.

Jeder professionelle Pentest Anbieter sollte entsprechend strukturiert vorgehen.

Pentest Deutschland

Auch wenn wir Mitarbeiter in München und Düsseldorf haben, können wir auch Pentests als remote oder innerhalb ihres regionalen Standorts durchführen. 

Da wir unsere eigenen Experten ausbilden, werden wir auch Teams in Berlin, Stuttgart, Frankfurt a.M., Hannover und Hamburg aufbauen. 

Landesübergreifende Zusammenarbeit mit anderen Pentest Anbietern, ermöglicht es uns Konzerne und Holdings mit multinationalen Netzwerken zu unterstützen. Dadurch können wir auf Expertenteams in den europäischen Nachbarländern wie Österreich (Wien & Linz), den Niederlande (Amsterdam & Utrecht), Großbritannien (London, Liverpool, Edinburgh) und Polen (Warschau) zurückgreifen. In Amerika haben wir Kooperationspartner in Canada (Vancouver & Toronto), USA (FL, TX, CA) sowie Kolumbien.

Pentest BSI - Standards

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat eine Vielzahl an Ratgebern und Standards definiert. Zu den Dokumenten gehört der sogenannte IT Grundschutz Katalog

Auch bei Pentests hat das BSI sehr sinnvolle Vorgaben gemacht, die helfen einen solchen Sicherheitstest zu planen und durchzuführen. Dabei kann man sich an dem IS-Penetrationstest und IS-Webcheck entlang hangeln.

Da aber jedes Land andere Richtlinien und Vorgehensweisen empfehlen, sollte man möglichst einen sinnvollen Katalog für die eigenen Sicherheitsprüfungen definieren. Solche vorgaben können nur standardisierte Empfehlungen darstellen. Folglich sollte jeder Pentest möglichst passend zum Unternehmen konfiguriert werden.

Pentest Ablauf

Der Ablauf eines Pentests muss entsprechend der Projektziele erfolgen. Dabei wird zunächst eine allgemeine Liste an möglicherweise gefährdeten Systemarten (z.B., Webserver, Proxy, Exchange Server, Datenbanken, WordPress Seite) erstellt. Anschließend wird zu jeder Systemart eine Liste der Geräte und Systeme weiter vertieft.

Soll ein Black Pentest durchgeführt werden, gehen die Auditoren so vor, dass sie sich in die Rolle von Hackern versetzen. Entsprechend ihren möglichen Motiven gehen sie dann auf auf Erkundungsfahrt. Dabei arbeiten sie sich dann immer tiefer in die Netzwerkstruktur ein und erstellen eigene Netzwerkpläne. Dadurch sammeln sie eine Vielzahl an Informationen, die ihnen mögliche Angriffsziele und Einfallstore aufzeigen.

Sobald sie Schwachstellen erkennen, werden diese zum fortlaufenden Untersuchungsprotokoll hinzugefügt. 

Hat der Auftraggeber den Wunsch auch ein Eindringen in dessen Systemlandschaft zweifelsfrei zu überprüfen, so werden diese Schwächen ausgenutzt. dadurch kann geprüft werden, in wie weit ein Angreifer tatsächlich ins innerste des Unternehmen eindringen kann

Dabei sollen auch üblicherweise erkannt werden, ob die eigenen Abwehrsysteme in der Lage sind ein Eindringen zu erkennen und ob die internen Mitarbeiter – auf eine Warnung hin – den Angriff abwehren können.