Pentests

Entdecken Sie digitale Schwachstellen, bevor es andere tun.
Auch ohne eigenes Knowhow und Millionenbudget.

Pentests - Wie sicher ist Ihr System?

Was ist ein Penetration Test?

Bei einem Penetration Test werden unter kontrollierten Bedingungen Cyberangriffe gegen Ihre IT-Landschaft durchgeführt. Dabei wird simuliert, wie ein Hacker versuchen würde, in Ihr System einzudringen und Schwachstellen auszunutzen. Der Test wird von unseren Sicherheitsexperten durchgeführt. Unsere Spezialisten versuchen, die Sicherheitsmaßnahmen Ihres Systems zu überwinden. Dadurch wollen wir feststellen, wo es anfällig für Angriffe ist.

Pentests sind ein Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen. Bei einem Pentest überprüfen und belegen unsere Experten die Erfolgsaussichten eines vorsätzlichen Angriffs ein. Anhand unserer Ergebnisse können wir die Wirksamkeit Ihrer vorhandenen Sicherheitsmaßnahmen überprüfen. Außerdem können wir Ihnen weitere Sicherheitsmaßnahmen empfehlen, um in Zukunft Angriffen gewappnet zu sein.

Insgesamt trägt unser Penetrationstest dazu bei, das Sicherheitsniveau Ihrer Systeme zu erhöhen und verlässlicher zu gestalten. Pentests sind teilweise durch gesetzliche oder vertragliche Anforderungen verpflichtend (TISAX®*, KRITIS, ISO 27001 etc.). 

Wozu brauche ich einen Pentest?

  • Aufgedeckte Schwachstellen im System ermöglichen Schutz
  • Verbesserung der Sicherheit- Sie können nach Aufdeckung Lücken schließen
  • Folgeschäden können durch präventive Sicherheitsüberprüfung abgewendet werden (Netzwerkausfall, Sanierungskosten, Reputationsverlust)
  • Erfüllung von Compliance-Anforderungen (TISAX©*, KRITIS, ISO 27001 etc.)
  • Auch kleinere und mittlere Unternehmen stehen im Fokus von Cyberangriffen
  • Schutz vor finanziellen Verlusten: Ein erfolgreicher Cyberangriff kann zu erheblichen finanziellen Verlusten führen, darunter Verlust von sensiblen Daten, Ausfall von Geschäftsprozessen und Schadensersatzforderungen von Kunden. Ein Penetrationstest kann dazu beitragen, diese Risiken zu minimieren

Webapplication Pentests

Webanwendungen sind oft für viele verschiedene Personen zugänglich. In vielen Fällen ist sogar eine Registrierung durch jede beliebige Person möglich. Das setzt eine Webanwendung einem besonderen Risiko aus. Selbst wenn du einen erfolgreichen Angriff nur Benutzernamen der Anwendung extrahiert werden können, stellt dies einen ernstzunehmenden Vorfall dar. Im schlimmsten Fall erhält ein Angreifer nicht nur Zugriff auf sensible Daten, sondern kann aus der Webanwendung heraus die Kontrolle über den Server übernehmen.

Es gibt 2 mögliche Ansätze für einen Pentest. Entweder erfolgt der Test ohne bekannte Zugangsdaten oder mit bekannten Zugangsdaten. Bei bekannten Zugangsdaten kann auch geprüft werden, inwieweit sich ein angemeldeter Benutzer unbefugt weitere Rechte verschaffen kann. Bei der Suche nach Schwachstellen orientieren wir uns u.a. an den OWASP Top Ten.

Infrastruktur und Netzwerk Penetration Testing

Bei diesem Pentest werden die dem Internet zugewandten Systeme als auch die internen Schutzmaßnahmen untersucht. Es existieren zwei verschiedene Ansätze:

-Externer Penetrationstest

-Interner Penetrationstest

Beim Externen Penetrationstest werden die aus dem Internet erreichbaren Systeme untersucht. Das sind in der Regel die Firewall und in der DMZ (Demilitarisierte Zone) abgestellte Server, z.B. Mailserver.  Werden Schwachstellen gefunden, können diese nach Absprache für einen Zugriff auf die Systeme in der DMZ oder auch für interne Systeme verwendet werden. Dieser Penetrationstest simuliert einen Angreifer der noch keine Zugangsdaten für das Netzwerk besitzt.

Bei einem internen Penetrationstest startet die Untersuchung im internen Netzwerk. Es wird angenommen, dass der Angreifer bereits Zugangsdaten erbeutet hat und mit dessen Hilfe einen Remote-Zugriff auf ein internes System besitzt. Das Ziel darin besteht interne Schwachstellen zu identifizieren, welche eine Erweiterung des Zugangs zu der höchsten Rechtestufe ermöglichen. Solche Schwachstellen können fehlende Patches, schwache Passwörter oder fehlende Fragmentierung des internen Netzwerkes sein.

Karriere Meeting BWS Consulting Group

Ablauf des
Penetration Tests

Ein Penetration Test bei uns beginnt stets mit einem Workshop, in welchem wir die Ziele und die Vorgehensweise des Pentests anhand Ihrer Bedürfnisse und Wünsche festlegen. Zudem klären wir mit Ihnen letzte offene Fragen, bevor unsere Mitarbeiter mit der Durchführung des Penetration Tests beginnen.

Information Gathering

Im ersten Schritt beschafft sich unser Team Informationen über das Zielsystem.

Exploitation

Im zweiten Schritt wird sich unter kontrollierten Bedingungen Zugriff auf das Zielsystem verschafft. So werden Schwachstellen aufgedeckt, die Ihr System angreifbar machen.

Privileg Escalation

Nachdem unsere Experten sich Zugriff auf Ihr System verschafft haben, weiten sie im nächsten Schritt ihre Rechte auf dem kompromittierten System aus.

Reporting

Abschließend erhalten Sie die Ergebnisse über den Test sowie eine gewichtete Roadmap zur Behebung der Sicherheitslücken.

Darum sollten Sie sich für uns entscheiden

Wir helfen Ihnen, Ihre Sicherheitslücken aufzufinden und zu schließen. Dafür erstellen wir Ihnen individuelles Angebot mit Dienstleistungen nach Ihren Anforderungen.  

Bei der Durchführung der Pentests berücksichtigen wir folgende internationalen Standards und Best Practices: Open Source Security Testing Methodology Manual (OSSTMM), Technical Guide to Information Security Testing and Assessment (NIST SP800-115), Handlungsempfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Open Web Application Security Project (OWASP). Darüber hinaus richten wir unser Vorgehen nach den Anforderungen Ihres Unternehmens aus. Wir wahren Ihre regulatorischen Bestimmungen. Nach der erfolgreichen Durchführung erhalten Sie klare Handlungsempfehlungen und einen Plan, wie es weitergehen könnte.

Ihre Vorteile auf einen Blick:

  • Sie profitieren von unseren erfahrenen Pentestern
  • Ihre Systeme werden durch unsere Mitarbeiter sicherer
  • Sie erhalten einen klaren Überblick über mögliche Schwachstellen
  • Sie bekommen eine gewichtete Roadmap zur Behebung der Schwachstellen
  • Sie sehen auf einen Blick, welche Kosten anfallen und wie lange Sie zum Schließen der Lücken brauchen werden

Unser Team für Sie

Michael Schulz CISO BWS Consulting Group

Michael Schulz

CISO | eJPT | Informationssicherheitsberater
TryHackMe Top 1%

Julian Smieja

eJPT | Informationssicherheitsberater

Unser Team und seine Zertifikate

Unsere Berater aus dem Bereich Informationssicherheit bilden sich kontinuierlich weiter. Damit wollen wir für Sie die beste Qualität zu aktuellen Normen und Standards abliefern. Unsere ISMS-Berater und Pentester haben folgenden Schulungen absolviert und folgende Zertifikaten erreicht.

Zertifikate und Schulungen:

  • Ethical Hacking Foundation
  • eJPT – Junior Penetration Tester 
  • ISO/IEC 27001 Lead Auditor 
  • ISO/IEC 27001 Lead Implementer
  • ITSiBe/ CISO nach ISO/IEC 27001 und BSI IT-Grundschutz 
  • EXIN Information Security Foundation based on ISO/IEC 27001
  • IT-Risk Manager gemäß ISO 31000, ISO 27005 und BSI IT-Grundschutz
  • Business Continuity Manager gemäß ISO 22301, ISO 27031 und BSI IT-Grundschutz
  • Kritische Infrastrukturen gem. ISO/IEC 27001 und 27019
  • BSI BCM-Praktiker
  • KRITIS-Beauftragter – Beauftragter für den Schutz Kritischer Infrastrukturen in Unternehmen und Verwaltungen
  • Foundation Examination TISAX®* Assessment
  • NIS-2 Experte (NIS-2-Umsetzung: die Anforderungen der EU-Richtlinie in der Praxis erfüllen)
oncap Reception digitales BesuchermanagementJan-Philip Faltin BWS Consulting Group

Sie haben noch Fragen?

Nähere Informationen zum Penetration Testing und anderen Informationssicherheitsthemen  erklärt Ihnen gerne unser Vertriebsexperte Jan Philip Faltin.

Unter folgenden Link finden Sie unsere Datenschutzerklärung und die dazugehörige Information nach Art. 13 DSGVO: https://bws-group.de/datenschutzerklaerung/

* TISAX® ist eine eingetragene Marke der ENX Association. Durch die Erwähnung der Marke TISAX® wird keine Aussage des Markeninhabers über die hier beworbenen Leistungen getroffen.