Kontakt | Impressum

Penetrationstest


Was ist ein Penetrationstest?

Ein Penetrationtest soll dazu dienen, IT Schwachstellen und Sicherheitslücken des Unternehmens aufzudecken und bei der Behebung derselben beizutragen. Im technischen Sprachgebrauch versteht man unter einem Penetrationstest den kontrollierten Versuch, von verschiednen Netzwerken (z.B. Internet) in ein bestimmtes Computersystem bzw. -netzwerk einzudringen, um Schwachstellen zu identifizieren. Dazu werden die gleichen bzw. ähnlichen Techniken eingesetzt, die auch bei einem realen Angriff verwendet werden. Die hierbei identifizierten Schwachstellen können dann durch entsprechende Maßnahmen behoben werden, bevor diese von unauthorisierten Dritten genutzt werden können.

Bevor ein Penetrationstest durchgeführt wird, erfolgt ein so genanntes "Footprinting" in dem Informationen über das Zielsystem gesammelt und analysiert werden. Der Aufwand des Footprintings wird von der Art des Tests beeinflusst.

Arten

White-Box-Test (eng. auch "Full Disclosure") bezeichnet einen Penetrationstest, der mit internen Kenntnissen durchgeführt wird. Hierzu werden dem Tester nicht nur die verwendeten Applikationen und Plattformen mitgeteilt, sondern auch tiefgreifendere Informationen wie Quelltexte, Konfigurationsdateien und Prozesse. Dies hat den Vorteil dass Angriffe zielgerichtet auf bestimmte Teile der Infrastruktur vorgenommen werden können und das sogenannte "Footprinting" entfällt. Ein Nachteil der genannten Methode ist, dass sich nur auf die gelieferten Informationen konzentriert wird, und mögliche andere Schwachstellen übersehen werden.

Grey-Box-Test (eng. auch "Partital Disclosure") ist eine Mischform des White-Box und des Black-Box Tests und wird am meisten in der Praxis verwendet. Informationen über die Zielsysteme sind meistens auf eine IP-Range oder eine URL begrenzt. Dies vereinfacht das Footprinting und ermöglicht einen übergreifenden Test der bekannten Zielsysteme.

Black-Box-Test (eng. auch "Blind") ist die aufwendigste und seltenste Art des Penetrationstest. Ein Tester erhält keine Informationen über die verwendeten Systeme oder IP Adressen. Da hier ein ernomer Footprinting-Aufwand betrieben werden muss (z.B. Mitarbeiter des Kunden müssen über Phishing E-Mails auf Webseiten gelockt werden um die IP Adresse des Kunden herauszufinden), wird diese Art meist in der Penetrationsstest-Praxis nicht verwendet. Zusätzlich dazu ist es rechtlich in Deutschland nicht möglich, solche Tests legal durchzuführen, da meist verschiedene, auch nicht dem Kunden gehörende Systeme mitüberprüft werden müssen.

Risiken

Natürlich gibt es bei allen Tests gewisse Risiken die, wenn auch selten, zu Ausfällen oder Fehlreaktionen der Zielsysteme führen können. Bestimmte Tests, wie z.B. Denial-of-Service Tests führen meist zu totalen Ausfällen der Anbindung, da die Zielsysteme mit Anfragen "überschwemmt" werden. Wir klären deshalb die möglichen Risiken einzeln mit unseren Kunden ab, um Ausfälle zu vermeiden sowie die Tests zu Uhrzeiten (Ausserhalb der Geschäftszeiten) durchzuführen die die tägliche Arbeit des Kunden nicht beeinflussen.

Dienstleistung

Wir bieten unter anderem, verschiedene Arten von Tests sowie Teilbereiche deren an:

Da sich Penetrationstests nach den Systemen der Kunden richten, werden unsere Diensleistungen an die Anforderungen unserer Kunden angepasst und durchgeführt.

Reporting

Nach dem Test erstellen wir Ihnen einen übersichtlichen Bericht, der Ihnen alle gefundenen Schwachstellen, sowie die nöigen Schritte zur Behebung auflistet.

Was ist nach dem Test?

Nach dem Test sind Sie natürlich nicht auf sich allein gestellt. Durch langjährige und tiefgehende Zusammenarbeit mit Herstellern und Systemhäusern helfen wir Ihnen gefundene Schwachstellen wenn möglich umgehend zu beseitigen, oder erarbeiten mit Ihnen einen Projektplan wie die Infrastruktur oder Anwendung optimiert werden kann.


Fragen Sie uns noch heute nach einem kostenfreien, persönlichen Angebot!

© 2015 Schwachstellenforschung.de | Design "Ruby" by www.mitchinson.net
Attributed to Schwachstellenforschung.de. This work is licensed under a Creative Commons Attribution 3.0 License