background-image

Pentest: Risiko minimieren & IT-Sicherheit gewährleisten dank Web-Security-Check

Stellen Sie die Sicherheit Ihrer Systeme, Netzwerke und IT-Umgebungen sicher mit professionellen Penetrationstests. Entdecken Sie Schwachstellen in Ihren Webapplikationen – mit simulierten Cyberangriffen durchgeführt von einem erfahrenen IT-Security-Team. Füllen Sie unser Beratungsformular aus und setzen Sie sich mit unseren Expertinnen und Experten in Verbindung.

Was ist ein Penetrationstest?

Bei Penetrationstests bzw. Pentests führen Expertinnen und Experten realistische Angriffsszenarien auf Ihre IT-Systeme durch, um die tatsächliche Bedrohungslage Ihrer Systeme zu evaluieren. Sie identifizieren und beheben Sicherheitslücken und Schwachstellen, bevor echte Angreifer diese ausnutzen können.

Webentwicklung ist ein dynamisches Feld – neue Sicherheitslücken werden stetig entdeckt. Umso wichtiger ist es, dass Sie die eigenen Webanwendungen nicht nur reaktiv schützen, etwa durch Sicherheitsaudits und Schwachstellenanalyse. Mithilfe umfangreicher Web-Security-Checks agieren Sie proaktiv und gewährleisten frühzeitig die Sicherheit Ihrer Systeme.

Ein Pentest geht über eine Schwachstellenalayse hinaus: Während diese vor allem darauf angelegt ist, automatisierte Scans durchzuführen und bekannte Sicherheitsprobleme zu erkennen, gehen Pentests stärker in die Tiefe. Sie überprüfen, ob und wie diese Schwachstellen von Angreifern ausgenutzt werden können.

Daher sind Penetrationstests echte Handarbeit. Sie sind durch automatisierte Sicherheitstestverfahren nicht vollumfänglich ersetzbar, sondern sollten indivudell an Ihr System angepasst werden.

Penetrationstests: Ihre Vorteile von individuell angepassten Web-Security-Checks

Risikomanagement: Profitieren Sie von aufgedeckten Schwachstellen

Schwachstellen im System frühzeitig aufdecken

Pentests bringen Transparenz und zeigen die reale Bedrohungslage für Ihre Webanwendungen auf. Wo liegen die Schwachstellen Ihres Systems? Wie könnten diese von Außenstehenden ausgenutzt werden? Bringen Sie Klarheit in Ihre IT-Sicherheit.

Die Durchführung von Penetrationstests schützt Sie vor echten Angreifern und bewahrt Sie vor wirtschaftlichen Schäden

Wirtschaftliche Schäden vermeiden

Opfer eines Hacking-Angriffs zu werden ist extrem rufschädigend. Im schlimmsten Fall leaken Hacker vertrauliche Daten, was Ihr Unternehmensimage, die Beziehung zu Ihrer Kundschaft und damit Ihre Wirtschaftlichkeit enorm belastet. Pentests wirken vorbeugend und schützen Ihr Unternehmen davor.

Compliance & Datensicherheit dank Pentest

Compliance-Anforderungen einhalten & Datensicherheit gewährleisten

Pentensts helfen Ihnen nicht nur dabei, böse Überraschungen zu vermeiden. Sie ermöglichen Ihnen auch, die Einhaltung der vielfältigen Anforderungen zu Datenschutz und Datensicherheit zu überprüfen und sich so DSGVO-konform aufzustellen.

Arten von Penetrationstests: Was ist der Unterschied zwischen Black-, Grey- und White-Box-Testing?

Die drei Verfahren unterscheiden sich hinsichtlich der Informationsmenge, die unseren Pentestern im Vorhinein zur Verfügung steht:

Black-Box-Test

Innerhalb des Black-Box-Test gibt es keine Informationen über Ihre IT-Umgebung. Es wird versucht das Vorgehen eines externen Angreifers ohne Insiderwissen zu simulieren.

White-Box-Test

Für einen White-Box-Test benötigt das Test-Team so viele interne Informationen wie möglich. Diese Form wird vom Bundesministerium für Sicherheit in der Informationstechnik (BSI) empfohlen, um möglichst keine Sicherheitslücken zu übersehen.

Grey-Box-Test:

Der Grey-Box-Test stellt eine Mischung aus White- und Black-Box-Test dar: Unser Teast-Team erhält nur bestimmte Informationen vor dem Pentest.

Darum brauchen Sie einen Web-Security-Check

Website Security Check

Mithilfe eines Web-Security-Checks finden Sie unter anderem heraus, ob sich Schadsoftware auf Ihrer Website befindet und ob Sie Sicherheitsprotokolle verwenden, um sich vor Cyberangriffen zu schützen. Ist Ihr SSL-Zertifikat (Secure-Socket-Layer) zur Verschlüsselung Ihrer Daten sicher und zeitlich gültig?

Stehen Ihre Domain oder Ihre IP-Adresse auf einer Blacklist – beispielsweise aufgrund mangelnder Sicherheitssoftware oder verdächtigen E-Mail-Verhaltens? Welche weiteren Sicherheitslücken könnten vorliegen? Profitieren Sie von der Expertise unserer Pentester und gewährleisten Sie die Sicherheit Ihrer Website.

Penetration-Testing: Professionelles Vorgehen für Ihren Projekterfolg

Pentestart bestimmen z. B. Black-Box-Pentest

1. Testart bestimmen, Ziele definieren und Umfang festlegen

Anhand Ihrer Bedürfnisse und Anforderungen klären wir vorab gemeinsam, welche Art von Penetrationstest durchgeführt werden soll (Black-Box, White-Box oder Grey-Box) und was die Ziele des Tests sind. Dabei definieren wir mit Ihnen den genauen Testgegenstand und erklären detailliert das Vorgehen. Daneben werden rechtliche Rahmenbedingungen geklärt sowie eine Timeline, Ansprechpartner und Eskalationswege festgelegt.

Informationen als Basis des Testing

2. Informationen sammeln

Auf Basis Ihrer Anforderungen und des gewählten Vorgehens entwickeln unsere Security-Expertinnen und -Experten maßgeschneiderte Analysestrategien, die mögliche Angriffsvektoren aufzeigen. Dafür sammeln sie möglichst detaillierte Informationen, unter anderem über Firewalls, Netzwerkdienste und IP-Adressen.

Test-Durchführung und Datenanalyse

3. Analyse und Threat Modelling

Die zuvor identifizierten Angriffsvektoren werden dann mit umfangreichen Tests auf Schwachstellen hin untersucht. Unser Team analysiert potenzielle Sicherheitslücken eingehend, um sog. »False Positives« auszuschließen. Zudem bestimmen sie die relevantesten Angriffsvektoren und erstellen darauf aufbauend passende Angriffsszenarien.

Exploitation-Phase

4. Exploitation

Anhand der Ergebnisse des Threat Modelling versucht unser Team, die identifizierten Schwachstellen auszunutzen und Zugriff auf Ihre Zielsysteme zu erhalten. Dabei werden sowohl bereits bekannte Schwachstellen als auch bisher nicht bekannte Sicherheitslücken für sog. Zero-Day-Exploits genutzt. Bei erfolgreicher Ausnutzung einer Schwachstelle reevaluieren wir diese im Rahmen eines erneuten Threat Modelling (Schritt 4) und dokumentieren unsere Ergebnisse.

Reporting

5. Reporting

Nach erfolgter Durchführung des Pentests bereiten wir die Ergebnisse für Sie auf und stellen diese in einem Bericht zur Verfügung. Dieser beinhaltet eine detaillierte Aufschlüsselung unserer Aktivitäten, welche Schwachstellen wir entdecken und erfolgreich ausnutzen konnten, eine Einschätzung zu deren Schweregrad und benennt mögliche Lösungsansätze.

Präsentation der Ergebnisse

6. Präsentation und Aufklärung

In diesem Schritt erfahren Sie die Ergebnisse in einer übersichtlich aufbereiteten Präsentation. Unser Team evaluiert dabei die gefunden Sicherheitsprobleme und steht für konkrete Fragen und Aufklärung bereit.

Behebung der aufgedeckten Schwachstellen

7. Remediation & Nachprüfung

Nun folgt der wichtigste Punkt: Die Behebung der identifizierten Sicherheitslücken. Hier profitieren Sie von einem engen Support durch unsere IT-Security-Expertinnen und -Experten. Nach Behebung der Lücken überprüfen wir erneut und testen, ob die Sicherheitslücken vollständig geschlossen wurden.

Webinar »Web Security: Mit Penetrationstests wirtschaftlichen Schaden abwenden«

Erfahren Sie, warum Web-Security-Checks gerade jetzt besonders wichtig sind und lernen Sie mehr über die Methoden, mit denen Sie Sicherheitslücken aufdecken und minimieren können. Wie lassen sich wirtschaftliche Schäden durch potenzielle Angriffe mithilfe von Penetrationstests verhindern? Antworten auf diese und weitere Fragen erhalten Sie in unserem Webinar. Jetzt kostenlos ansehen.

Penetrationstest bei laufendem Geschäftsbetrieb: Minimieren Sie Beeinträchtigungen

Penetrationstests bei laufendem Betrieb

Um Ihren Betriebsablauf nicht zu stören, sind unsere Pentests sehr sorgsam konzipiert und werden nur unter Einhaltung strenger Qualitätsstandards durchgeführt. Dennoch können temporäre Beeinträchtigungen nie vollkommen ausgeschlossen werden. Eine Alternative ist die Durchführung von Pentests in einer Test-Umgebung. Wir beraten Sie gern.

Jetzt Beratungstermin vereinbaren

Schützen Sie Ihre IT mit unseren Pentest-Leistungen:

Bei der Verbesserung Ihrer IT-Security profitieren Sie von unserem ganzheitlichen Angebot zum Pentesting Ihrer Webanwendungen.

Unser Portfolio:

  • Vollständige Überprüfung Ihrer Systemlandschaft auf Sicherheitsprobleme von Frontend bis Backend inklusive Datenbanken, Cacheserver und (REST)-APIs
  • Großes Angebot an verschiedenen Testnormen von OWASP Web Security Testing Guide, OSSTMM, BSI, NIST und PTES unter zusätzlicher Berücksichtigung der OWASP Top Ten
  • Wahl zwischen White-, Grey- oder Black-Box-Tests nach eingehender Beratung
  • Sorgfältiger Check Ihrer Cloud-Infrastruktur (AWS, Google Cloud Platform oder Microsoft Azure) beispielsweise auf häufige Konfigurationsfehler in Kubernetes-Clustern

Ihre Garantie:

  • Ausrichtung der Testverfahren anhand der Praxisleitfäden für Pentests und Webchecks des Bundesamts für Informationssicherheit (BSI) 
  • Einhaltung höchster technischer, organisatorischer sowie ethischer Standards.
  • Zertifiziertes Expertenteam (beispielsweise CompTIA PentTest+)

 

Jetzt Beratungstermin vereinbaren

Diese Pentest-Tools sorgen für Ihre Cybersecurity

Um den Schutz und ausführliche Testings Ihrer Systeme sicherzustellen, nutzen unsere Expertenteams für die Web-Security-Checks eine Auswahl der zuverlässigsten Penetrationstest-Anwendungen.

  • Kali Linux: Die Linux-Distribution zählt zum Pentest-Standard und enthält eine große Anzahl an Tools für Sicherheitstest, Netzwerk-Scanning, Schwachstellenanalyse sowie Exploit-Entwicklung, Forensik und mehr. Kali Linux bietet eine sehr nutzerfreundliche Oberfläche, eine umfassende Dokumentation und unterstützt verschiedene Arbeitsumgebungen. Bekannte Tools sind unter anderem Nmap, Metsploit, Wireshark oder Aircrack-ng. 
  • Burp Suite: Die Java-basierte Anwendung bietet eine Fülle an verschiedenen Sicherheitsfunktionen wie Fuzzing, automatisierte Scanner, Schwachstellenanalyse und mehr. Die Burp Suite ist durch Add-ons beliebig erweiterbar und erlaubt vielfältige Testungen von beispielsweise Webanwendungen oder Authentifizierungsmechanismen.
  • Nessus: Der leistungsfähige Schwachstellen-Scanner testet eine Vielzahl von Umgebungen wie Betriebssysteme, Anwendungen, Datenbanken und Netzwerke auf Sicherheitslücken. Das weit verbreitete Tool liefert dabei detaillierte Berichte und Empfehlungen zur Behebung der erkannten Sicherheitsdefizite. Zudem ist Nessus mit anderen Sicherheitstools integrierbar und bietet einen frühzeitige Erkennung, um Gegenmanßnahmen zu ergreifen.
  • OpenVAS: Das weit verbreitete Open-Source-Software-Framework bietet effektive Funktionen zur Identifikation von Sicherheitslücken sowie zum Scannen von Netzwerken und Systemen. Dank einer äußerst benutzerfreundlichen Oberfläche ist eine übersichtliche Verwaltung von Scans und Berichten möglich. Damit fördert ObenVas die Identifikation von Sicherheitsllücken sowie ein umfassendes Schwachstellenmanagement.
  • Metasploit: Die Ruby-basierte Open-Source-Platform Metasploit umfasst zahlreiche Funktionen zur Durchführung von Testangriffen auf Ihre Systeme und Netzwerke. Metasploit deckt Schwachstellen mit manuellen sowie automatisierten Tests auf. Dabei profitieren Nutzende von einer aktuellen, umfangreichen und Angriffsszenarien-umfassenden Datenbank.
  • Steampipe: Das innovative Pentest-Tool ermöglicht die Testung von Cloud-Infrastrukturen auf Konfigurations- und Code-Ebene. Die Identifikation von Schwachstellen erfolgt beispielsweise durch die Abfrage auf Cloud-Ressourcen. Steampipe kann somit Infrastrukturen testen, bevor Systeme und Anwendungen bereitgestellt werden. Durch das proaktive Vorgehen minimiert die Open-Source-Lösung Risiken und steigert die Effizienz von Sicherheitsüberprüfungen. 

FAQ – Penetrationstest

01

Was sind die häufigsten Schwachstellen, die Pentests aufdecken?

Hacker nutzen die Schwachstellen in Ihren IT-Systemen aus. Diese Schwachstellen resultieren meist aus nicht sicher konfigurierten Diensten oder veralteten Softwarebibliotheken. Dadurch führen Hacker unbefugte Datenbankabfragen aus (SQL-Injection) oder schleusen Schadcode (Cross-Site Scripting oder Cross-Site-Request Forgery) ein.

aiming target icon white
02

Wie oft sollten Sie Pentests durchführen?

Cybersecurity ist ein Katz- und Mausspiel. Da Angreifer und Angreiferinnen ständig neue Methoden entwickeln, um Schwachstellen zu erkennen, sollten Sie Penetrationstests regelmäßig wiederholen. Um Ihre IT-Sicherheit stets zu gewährleisten, empfiehlt unser Expertenteam jährlich ein bis zwei dieser Web-Security-Checks.

Machine Learning White
03

Was kostet ein Pentest?

Im Gegensatz zu weitestgehend automatisierten Sicherheitstest wie beispielsweise Schwachstellenscans, umfassen Pentests ein hohes Maß an manueller Arbeit. Automation kann dies noch nicht adäquat ersetzen. Daher gibt es keine pauschalen Preisangebote. Die entstehenden Kosten sind von Faktoren abhängig wie der gewünschten Prüftiefe, dem Prüfumfang und der Komplexität der zu testenden Webanwendung.

Money Bag Icon white

Sie möchten mehr erfahren? Ich freue mich auf Ihre Anfrage!

Nadine Kannengießer

Nadine Kannengießer

Account Executive

Digital Business

+49 711 252769 52

[email protected]