Penetrationstests

Sicherheitslücken rechtzeitig finden

Penetrationstests als simulierte Angriffe mit Mitteln und Techniken, die auch Angreifer verwenden würden, liefern eine wertvolle Grundlage zur Einschätzung und Verbesserung der Sicherheit von IT-Systemen und Netzwerken. So werden z.B. aus Sicht eines Außentäters Server mit allen darauf laufenden und von extern erreichbaren Webanwendungen Untersuchungen und Angriffen unterzogen, um mögliche Schwachstellen zu finden, eventuell auszunutzen und letztlich zu melden. Aus Sicht eines möglichen Innentäters kann ein Penetrationstester z.B. überprüfen, wie weit der Zugriff ausgehend von einem regulären Büroanschluss reicht und ob möglicherweise Schwachstellen in Systemen unberechtigten Zugriff auf geschützte Datenbereiche erlauben.

Ziele und Phasen

Ziele sind:

  • Finden von technischen Schwachstellen wie Fehlkonfigurationen, veraltete Software, Information Disclosure-Probleme, serverseitige Web-Probleme wie XSS oder Buffer-Overflow-Schwächen
  • Finden von Problemen in der Vertraulichkeit, etwa ungewollter Zugriff auf Kundendaten
  • Sicherheitsnachweis durch Gewissheit, besonders gründlich und konkret nach Sicherheitsproblemen gesucht zu haben.

Unsere Pentests folgen dem Rahmenmodell des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (für weitere Informationen siehe die Studie - Durchführungskonzept für Penetrationstests) und gliedern sich grob in fünf Phasen.

Die Phasen 1 (Vorbereitung), 3 (Bewertung der Informationen / Risikoanalyse) und 5 (Abschlussanalyse) laufen in intensiver Zusammenarbeit zwischen Auftraggeber und Penetrationstester ab. In Phase 2 (Informationsbeschaffung und -auswertung) beginnt DigiTrace mit dem konkreten Pentest und führt in Phase 4 (Aktive Eindringversuche) aktive Tests durch. In Phase 3 kommen dann beide Seiten wieder zusammen und gleichen die Ergebnisse ab. Der Auftraggeber ergänzt bei Bedarf die vorliegenden Erkenntnisse und im gemeinsamen Dialog wird definiert, welche Systeme in welchem Aggressivitätslevel auf das Vorhandensein von Schwachstellen und deren Ausnutzbarkeit zu testen sind.

Maßnahmen und Reports

Maßnahmen der Informationsbeschaffung sind u.a.:

  • Auswertung der Anwendungsfunktionalität
  • Passive Auswertung der übertragenen Datenströme
  • Passive Auswertung evtl. angebotener API-Funktionalitäten

Maßnahmen der aktiven Eindringversuche sind u.a.:

  • Verdeckte / Offensichtliche Verifikation tatsächlicher Schwachstellen in der / den Anwendungen
  • Test auf schwache Passwörter (nur stichprobenartig sowie konzeptuell, oder wenn sinnvoll und gewünscht mit mehr Aufwand)
  • Versuch, auf Daten anderer (Test)-Kunden zuzugreifen
  • Test von Vertrauensbeziehungen zwischen Systemen

Gefundene kritische Schwachstellen und sonstige kritische Probleme teilen wir unseren Auftraggebern sofort nach Erkennen per Mail und / oder Telefon mit. Darüber hinaus gehört zu jedem Penetrationstest die Erstellung einer Dokumentation, in der die Befunde der durchgeführten Arbeitsschritte für den Auftraggeber nachvollziehbar gemacht werden. Es handelt sich dabei um eine Auflistung der Ergebnisse der Informationsbeschaffung einschließlich Findings-Report, in dem jede erkannte Schwachstelle einer Klassifikation (unkritisch bis kritisch) zugewiesen ist und Empfehlungen zur Behebung ausgesprochen werden.

Erfahrenes Pentesting-Team

Unser Team führt seit knapp 10 Jahren regelmäßig Penetrationstests für Unternehmen jeder Größe (KMU bis Großkonzern) durch. Ein Schwerpunkt liegt dabei auf der Untersuchung von Webanwendungen, wir testen jedoch auch IT-Netzwerke, Appliances / Embedded Systems und "klassische" Anwendungen. Für die regelmäßige Überprüfung von Webanwendungen verwenden wir ein umfangreiches, selbst entwickeltes System, das individuell für die jeweilige Anwendung erstellte Testpfade automatisiert durchläuft und so manuelle Tests effizient ergänzt.

Kontaktieren Sie uns für eine unverbindliche Erstberatung!

Ihr Ansprechpartner

wundram

Martin Wundram
Tel.: 0221-6 77 86 95-2
E-Mail: wundram@digitrace.de