Schützen Sie Webshop, Internet Banking Plattform, Mobile App, ICS (SCADA/DCS), IoT Device oder IT Infrastruktur mittels Penetration Test / Ethical Hacking, Code Review, Reverse Engineering oder APT Test durch unsere zertifizierten Penetration Tester und Security Researcher.

Was ist ein Penetrationstest

Penetrationstests (kurz: Pentests) sind die Prüfung möglichst aller Systembestandteile und Anwendungen eines Netzwerk- und Softwaresystems auf Sicherheit. Erfahrene IT-Security Consultants versuchen dabei mit der Methodik eines Angreifers (ugs. Hacker) in kritische Systembereiche vorzudringen.

Die Penetrationstests erfordern Absprachen, Vorbereitung, Planung von Testverfahren und Zielen, sowie die Auswahl der möglichen Werkzeuge. Dies unterscheidet Penetrationstests von simplen Schwachstellen-Scans.

Ihre IT-Infrastruktur ist dauerhaft Sicherheitsangriffen ausgesetzt. Dies macht Sie verwundbar für Gefahren, die vielleicht noch gar nicht zu erkennen sind. Industrie- und Wirtschaftsspionage sind dabei so allgegenwärtig wie noch nie. Dennoch sind Sie als Unternehmen darauf angewiesen, dass Ihre Systeme funktionieren und keiner Gefahr ausgesetzt sind. Die Komplexität Ihrer Strukturen lässt allerdings das eigene Risiko nicht hinreichend erkennen.

Damit Sie sich hinreichend schützen können und Ihre Schwachstellen kritisch Einschätzen können, werden Penetrationstests durchgeführt. Wir bewerten in einem transparenten Prozess die Sicherheitslage Ihrer IT-Infrastruktur und geben Ihnen konkrete Handlungsempfehlungen.

Die Kompetenz und Erfahrung unserer IT-Security Consultants hilft Ihnen, ihr Risiko einzuschätzen und zu minimieren.

Ablauf unserer Penetrationstests

Was verbirgt sich dahinter?

Unsere Pentests gehen weit über automatisierte Security Scans hinaus. Hier übernimmt der durchführende Sicherheitsexperte die Rolle eines Hackers – aber legal. Zur Informationsbeschaffung nutzt er professionelle Werkzeuge und versucht gezielt, individuell und erfinderisch, in die Systeme des Unternehmens einzudringen. Diese Simulation eines realen Angriffs liefert qualitativ hochwertige Ergebnisse, die wir gemeinsam mit konkreten Verbesserungsvorschlägen für Sie in Berichtsform übergeben.

Sämtliche Projekte starten mit einem Kick-Off-Meeting, um Ihre spezifischen Anforderungen zu verstehen, Testbedingungen zu definieren und offene Punkte zu klären.

Nach dem Kick-Off-Meeting werden beispielsweise die Penetration Tests gemäss den folgenden Projektphasen durchgeführt:

  • Testvorbereitung
  • Informationsbeschaffung
  • Analyse und Verifikation von Sicherheitslücken
  • Optional: Entwicklung und Anwendung von Exploits (als Proof of Concept)
  • Verfassen des Schlussberichts
  • Optional: Projektpräsentation oder nur Diskussion des Schlussberichts


Akkurates Reporting


Unsere Reports sind strukturiert, exakt und aussagekräftig. Sie sind keine gewöhnlichen Scanergebnisse, sondern werden von Experten manuell verfasst, kontrolliert und enthalten keine False Positives. Beispielberichte (anonymisiert) sind auf Anfrage erhältlich.



Berichte mit nachvollziehbaren Bewertungen und Korrekturmaßnahmen



Unsere manuell erstellten Berichte beschreiben akkurat die gefundenen Schwachstellen und deren relative Risiken. Der Schweregrad (Konsequenz eines erfolgreichen Angriffs) und die Ausnutzbarkeit einer Schwachstelle werden konservativ anhand nachvollziehbarer Kriterien eingestuft. Korrekturmaßnahmen werden genau beschrieben, damit Entwickler die getestete Anwendung mit Hilfe des Berichtes selbstständig absichern können. Unsere Berichte besitzen einen erprobten Aufbau. Dennoch erstellen wir auf Wunsch selbstverständlich auch Berichte mit Bezug auf OWASP, CWE oder andere Standards. Unsere Penetrationstests sind somit gleichzeitig Grundlage für eine vollständige Risikobewertung, als auch für die Absicherung des untersuchten Systems.

Der Penetration Test Schlussbericht enthält:

  • Management Summary
  • Projektumfang und -ziele
  • Risikokategorisierung
  • Detaillierter Massnahmenkatalog
  • Risk Assessment Value (Benchmark): Sicherheitsniveau als Zahlenwert

Strukturierte Tests mit einer klaren Methodologie


Wir testen immer nach einer klaren Methodologie. Unser Pentests sind strukturiert und erfolgen nach einem mit Ihnen abgestimmten Plan. Je nach Systemart verwenden wir eine passende Methodologie, zum Beispiel

  • OWASP (passend für Websysteme, Webservices usw.)
  • OSSTMM (passend für Netzwerke, VoIP, WLAN usw.)
  • BSI (passend für Rechenzentren, Anlagen, Erfüllung von BSI Grundschutz-Normen usw.)


Falls erwünscht senden wir Ihnen den toolgenerierten Output, die Action Logs und Dump Files der Penetration Tests.



Schützen Sie proaktiv Ihre IT Assets mittels Penetration Test

Es gibt keinen «typischen» Penetration Test. Deshalb bieten wir verschiedene Typen von Penetrationstests / Ethical Hacking (inkl. APT Tests) an, optimal ausgerichtet auf die spezifischen Anforderungen von Web Applikationen, Mobile Apps, SAP Lösungen, ICS (SCADA/DCS), IoT Devices, diverse Angriffsvektoren und Rahmenbedingungen oder Ihre individuellen Wünsche (z.B. hält Ihr SOC, Cloud oder Service Provider, was er verspricht?).

Unsere Penetration Tests helfen Ihnen dabei, Schwachstellen zu identifizieren, deren Risiken zu klassifizieren und passende Gegenmassnahmen zu planen und umzusetzen. Wir erstellen als Teil des verständlichen Schlussberichts detaillierte, priorisierte Massnahmenempfehlungen um Ihre IT Assets vor unerwünschten Aktivitäten zu schützen.

IT Infrastruktur Penetration Test

Der Penetration Test ist ein simulierter, realitätsnaher Hackerangriff. Während der zur Verfügung stehenden Testzeit wird systematisch nach allen Sicherheitslücken gesucht. Im Gegensatz zu voll-automatisierten Scans wird beim Penetration Test ein wesentlich grösserer Teil der anstehenden Arbeiten manuell erbracht und die Tester versetzen sich in die Rolle eines Hackers. Im Vergleich zum Application Security Audit werden beim Penetration Test primär unprivilegierte

Tests durchgeführt (d.h. ohne Kenntnisse von gültigen Zugangsinformationen wie User ID/Passwort etc.), aber privilegierte Tests können ausgeführt werden, falls während des Penetration Tests Zugangsinformationen erhältlich sind. Die Hauptunterschiede zwischen einem Penetration Test und dem Ethical Hacking liegen darin, dass beim Penetration Test in der zur Verfügung stehenden Zeit möglichst alle Sicherheitslücken aufgespürt werden und möglicherweise in das Untersuchungsobjekt eingedrungen, es aber nicht dauerhaft modifiziert wird.

Application Penetration Test

Der Application Penetration Test ist ein Security Test einer Applikation und ihrer zugehörigen Systeme im Front- und Backend. Dabei können sowohl Web-Applikationen, Mobile Apps, Appliances als auch klassische Client-/Server Applikationen als ausführbare Programme oder als Source Code untersucht werden. Während der zur Verfügung stehenden Testzeit wird systematisch nach allen Sicherheitslücken im Betriebssystem, den Basisdiensten und der darauf aufbauenden Applikation gesucht.

Bei diesem Typ Penetration Test werden privilegierte und unprivilegierte Tests durchgeführt – somit kombiniert ein Application Penetration Test Angriffe aus der Outsider (z.B. Hacker) und der Insider-Perspektive. Es ist der umfassendste Testtyp, welcher sich insbesondere für kritische Infrastrukturen wie beispielsweise ICS (SCADA Systeme / DCS), Internet Banking Portale, Online Shops, Mobile Apps oder interaktive Business Websites eignet.

Beim Application Penetration Test können folgende Methoden und Techniken zum Einsatz kommen:

  • OWASP Top 10 / OWASP Mobile Top 10
  • OSSTMM
  • Code Review
  • Reverse Engineering
  • API Monitoring
  • Network Sniffing & Packet Analysis
  • Injection Tests

Reverse Engineering

In manchen Fällen soll eine Applikation oder ein System einer Sicherheitsüberprüfung unterzogen werden, aber der Kunde hat keinen Zugriff auf den Source Code respektive die Baupläne des Gerätes oder will diese nicht preisgeben. Beim Reverse Engineering werden das sicherheitsrelevante Verhalten und die Funktionalitäten eines Geräts oder einer lauffähigen Applikation basierend auf dem Blackbox-Ansatz analysiert.

Neben den üblichen Techniken kommen bei Reverse Engineering Projekten bei Bedarf auch folgende Testarten zum Einsatz:

  • Protokoll Reverse Engineering (Network Sniffing & Packet Analysis)
  • Code Review des generierten Source Codes
  • API Monitoring

    • Sie erhalten den optimalen Penetrationstest für Ihre Anforderungen


    Um sicherzustellen, dass Ihre Anforderungen erfüllt werden, bieten wir eine breite Palette an Tests an. Diese schließen Folgendes ein:
    Web / Mobile


    • Webanwendungen
    • Webservices (REST/SOAP)
    • Applicationserver
    • iOS Apps
    • Android Apps

    Infrastruktur


    • Netzwerke
    • Unix-Server
    • Windows-Server
    • VoIP
    • WLAN

    Industrie


    • Automotive (CAN, Flex, Kontrolsysteme)
    • Embedded
    • SCADA
    • Internet of Things (IoT)

    Enterprise


    • IBM (Server, Mainframe)
    • SAP (Modules, Netweaver, Fiori, HANA, usw.)
    • Oracle (Datenbanken, Appserver, ESB)

    Testing Modelle im Ãœberblick

    BlackBox

    Das „BlackBox“ testing Modell entspricht einem simulierten Angriff von außen. Es bestehen meist keinerlei vorab Informationen über die zu testendenden Ziele, der Penetrationstester geht daher vor wie ein Angreifer und beschafft sich diese Informationen selbst.

    WhiteBox

    Beim „WhiteBox“ testing Modell wird mit vorab zur Verfügung gestellten Informationen gearbeitet. Diese können IP-Adressen, WLAN Passwörter, Informationen zu Backends bis hin zur Offenlegung von Source-Code sein (statischer Audit).

    GreyBox

    Kombiniert die Eigenschaften des „BlackBox“ und des „WhiteBox“ Modelles. GreyBox Tests bringen meist die besten Ergebnisse, allerdings gehen GreyBox-Tests auch oft mit höherem Aufwand einher, da die durchzuführenden Tests dadurch insgesamt skalieren.

    Newsletter

    Sie haben noch ungeklärte Fragen?



    Schildern Sie Ihre Fragen gerne in unserem Kontaktformular oder rufen Sie uns an!
    Kontaktformular

    Kontakt

    Office
    +49 (0) 2932 465 265 - 0
    info@rootsektor.de
    Notfall Hotline
    +49 (0) 2932 465 265 - 0
    incident@rootsektor.de