Penetrationstests
Mit Hilfe von Pentests können wir Sicherheitslücken und Probleme in Ihrer IT-Infrastruktur und Ihren Apps und Websites aufdecken.
Penetrationstests sind der Grundpfeiler in der IT-Sicherheit und sollten kontinuierlich - beispielsweise bei Änderungen im Code - wiederholt werden. Regelmäßige Penetrationstests relevanter Assets, wie Webanwendungen, API, mobiler Apps oder allgemein Services schaffen Vertrauen in Ihre IT-Sicherheit.
Darum sollte DSecured Ihren Penetrationstest durchführen
DSecured besteht aus einem kleinen Team hochqualifizierter IT-Sicherheitsexperten, die seit Jahren Penetrationstests durchführen. In unserer Freizeit melden wir Sicherheitslücken an hochgradig geschützte Konzerne, wie PayPal, Tesla und Goldman Sachs. Wir beherrschen nicht nur unser Handwerk, sondern sind dabei auch noch kreativ - so konnten wir in der Vergangenheit noch kritische Schwachstellen finden, wo zuvor niemand mehr etwas gefunden hat. Aufgrund unserer Arbeit in oft schwer geschützten Netzwerken - sei es intern oder extern - wissen wir, wie man Sicherheitsmaßnahmen umgeht und doch noch Wege findet, um Systeme zu hacken. Wir haben Erfahrung mit komplexer Infrastruktur und wissen auf Basis hunderter Beispiele, wo sich Sicherheitslücken für gewöhnlich verstecken und was oft von anderen Firmen übersehen wird.
Mehr Informationen gibt es im Artikel Vorteile von Penetrationstests
Was ist ein Penetrationstest?
Penetrationstests (kurz Pentest) sind manuelle Sicherheitstests gegen digitale, physische sowie humane Systeme, um Schwachstellen zu identifizieren, die von Angreifern zum Nachteil des Opfers ausgenutzt werden könnten. Klassischerweise sind Websites, Android- und iOS-Apps, Router, ganze Netzwerke oder einzelne PCs bzw. die Nutzer selbst das Ziel von Cyberangriffen und entsprechend auch von professionellen Penetrationstests.
Jeder Pentest sollte individuell auf den Kunden und das Ziel zugeschnitten sein. Wichtige Aspekte, die vorab geklärt werden müssen, umfassen den Schutzbedarf und die Prüftiefe. Größere Unternehmen verfügen oft über eine Asset-Liste und ein Information Security Management System (ISMS), die als Grundlage für den Test dienen. Der Umfang, Scope, Do’s und Don’ts eines Penetrationstests sollten ebenfalls im Voraus festgelegt werden, damit bei einem Pentest nichts zum Nachteil der Kunden-Systeme passiert. Ein Pentest durchläuft verschiedene Phasen, die von der Planung bis zur Berichterstellung reichen.
Penetrationstests beinhalten eine umfassende Prüfung von IT-Systemen oder Netzwerken, um Schwachstellen gegenüber möglichen Angriffen aufzudecken. Das Ziel ist primär die Verbesserung der IT-Sicherheit oder eines bestimmten Prozesses. Dazu gehört auch die Behebung der gefundenen Schwachstellen, in der Regel macht das nicht der Pentest-Anbieter - dieser begleitet lediglich das Entwickler-Team hin zur korrekten Umsetzung der Empfehlungen. Ein Penetrationstest ist somit eine Investition in die Sicherheit und sollte ein bis vier Mal jährlich durchgeführt werden. Der finale Bericht eines Pentests sollte eine Management-Zusammenfassung sowie einen technischen Teil enthalten, der alle Probleme mit Proof of Concept, Kritikalität und Bewertung auflistet.
Regelmäßige Penetrationstests können Schwachstellen in Netzwerken aufdecken und helfen die Sicherheit von IT-Systemen zu bewerten, wodurch Hacker-Angriffe effektiv verhindert werden können. Pentesting ist dabei ein zentraler Bestandteil, um die Effektivität der Sicherheitsmaßnahmen zu überprüfen und kontinuierlich zu verbessern.
"Die meisten Unternehmen realisieren nicht, wie interessant sie für Hacker sind. Meist lassen sich schwere Sicherheitslücken in kurzer Zeit finden!"
Damian Strobel - Gründer von DSecured
Lassen Sie es nicht darauf ankommen und schützen Sie Ihr Unternehmen vor Cyberangriffen.
Warum sollte DSecured Ihren Penetrationstest durchführen?
Erfahrenes Team
Profitieren Sie von unserem erfahrenen Team aus Bug Bounty Huntern und ethischen Hackern, die bereits zahlreiche erfolgreiche Penetrationstests durchgeführt haben. Für uns sind komplexe Scopes und abgesicherte Systeme kein Problem und eher Standard.
Herausragender Bericht
Erhalten Sie detaillierte und verständliche Berichte, die nicht nur Schwachstellen aufzeigen, sondern auch konkrete und umsetzbare Empfehlungen bieten. Unser Risk Assessment ist realistisch auf Ihren Fall abgestimmt.
Maximale Kreativität
Unser innovatives Team nutzt kreative und unkonventionelle Ansätze, um selbst die verstecktesten Sicherheitslücken zu identifizieren. Wir kombinieren kleine Fehler zu kritischen Sicherheitslücken, die keiner so erwartet hat.
Effektive Risikominimierung
Schützen Sie Ihr Unternehmen durch gezielte Tests, die potentielle Sicherheitsrisiken minimieren und Ihre IT-Infrastruktur absichern. Blackhats und Cyberkriminelle lassen in der Regel nicht lange auf sich warten und nutzen jede Schwäche aus.
Maßgeschneiderte Kommunikation
Wir passen unsere Kommunikation an Ihre Bedürfnisse an, sei es durch regelmäßige Updates, ausführliche Besprechungen oder verständliche Erklärungen. Hierbei ist egal, ob per WhatsApp, Signal oder Slack. Sie entscheiden!
Langfristige Partnerschaft
Setzen Sie auf eine langfristige Zusammenarbeit, die nicht nur einmalige Tests, sondern kontinuierliche Sicherheitsoptimierungen und Unterstützung bietet. Wir können jede Perspektive einnehmen und sind Ihr Partner in Sachen Sicherheit.
Einige Unternehmen, denen wir bisher helfen konnten
Viele unserer Kunden möchten leider nicht genannt werden. Das Zeigen konkreter Ergebnisse oder Berichte ist bedauerlicherweise ebenfalls oft unerwünscht oder via NDA nicht erlaubt - was mehr als verständlich ist. Um Ihnen als potentiellen Kunden trotzdem beweisen zu können, dass wir wissen, was wir machen und dabei erfolgreich sind sind nahezu alle unsere Mitarbeiter stark im Bereich Bug Bounty Hunting involviert. Wir suchen, finden und melden kritische Sicherheitslücken an Konzerne, wie PayPal, Tesla oder Apple. Einträge in Hall of Fames sowie die öffentlichen HackerOne-Profile sind ein guter Nachweis hier. Persönliche Kontakte zu Kunden vermitteln wir ebenfalls gerne.
Was Kunden über uns sagen
„Wir waren sehr von DSecured beeindruckt. Die Ergebnisse, die vorgestellt wurden, übertrafen unsere Erwartungen bei weitem. Es wurde eine Vielzahl von IT-Problemen und schwerwiegenden Schwachstellen gefunden - die klar und deutlich kommuniziert wurden. Die Zusammenarbeit war unkompliziert und reibungslos.“
„Die Sicherheit der Daten unserer Kunden steht für uns an erster Stelle. Dank DSecured waren wir in der Lage die Resilienz unserer Systeme zu verbessern und festzustellen, wie wichtig das Thema "Shadow IT" ist. Das Engagement des Teams und deren Fähigkeiten haben für uns den entscheidenden Unterschied gemacht.“
„DSecured konnte erstaunlich viele bisher unentdeckte Sicherheitslücken in unserer Infrastruktur entdecken. Hierfür wurde die Plattform Argos als auch klassische Penetrationstests verwendet. Wir haben die ehrliche Beratung rund um das Thema IT-Sicherheit sowie Automatisierung sehr geschätzt und danken Herrn Strobel hierfür.“
„Herr Strobel und sein Team führen regelmäßig Penetrationstests gegen unsere Automatisierungsplattform durch - und werden immer wieder fündig. Die Ergebnisse werden klar und reproduzierbar dargestellt. Die Kommunikation erfolgte bisher auf kurzem Wege via z.B. Slack. Wir können DSecured definitiv weiter empfehlen.“
Pentest: Dienstleistungen
Warum muss man Penetrationstests durchführen?
Penetrationstests sind eine Notwendigkeit in moderner Informationstechnik, um Sicherheitslücken in einem System, einem Netzwerk, einer Anwendung zu identifizieren und Firmen dabei zu helfen, ihre IT-Sicherheitslage zu optimieren. Der Prozess der Penetration in Penetrationstests umfasst das gezielte Ausnutzen von Schwachstellen, um die Sicherheit von Webanwendungen, Web-APIs und Cloud-Plattformen zu überprüfen. Durch das Identifizieren von Schwachstellen und IT-Problemen, das Erklären der Funde sowie durch Empfehlungen zur Behebung seitens der Pentester können Organisationen das Risiko eines erfolgreichen Cyber-Angriffs reduzieren und ihre sensiblen Daten, Systeme und ihren Ruf bzw. Marke schützen. Obwohl immer mehr Anbieter mit “automatisierten Penetrationstests” versuchen den Markt zu revolutionieren, ist es nahezu unmöglich die Kreativität eines Menschen zu ersetzen - stattdessen - finden wir - ist das Konzept “Pentest as a service” besser geeignet, um wirklich Schwachstellen zu finden.
Ein einfacher Grund ist: Compliance und Gesetze. Viele Unternehmen sind gesetzlich verpflichtet, regelmäßig einen Penetrationstest durchführen zu lassen. Eine ISO 27001-Zertifizierung macht regelmäßige Pentests zur Pflicht. Auch die DSGVO verlangt von Unternehmen, die personenbezogene Daten verarbeiten, indirekt die Durchführung von Penetrationstests. Fast jede Branche hat spezielle Anforderungen an die IT-Sicherheit - die meisten davon nennen Pentests als Mittel, um IT-Sicherheit sicher zustellen.
Die Ergebnisse eines Penetrationstests können je nach Umfang und Zielsetzung des Auftraggebers
stark variieren. Hier sind allerdings vier häufige Bestandteile, die von einem Penetrationstest
bzw. dem finalen Pentest-Bericht erwartet werden können:
- Identifizierung von Schwachstellen: Die Penetrationstester finden konkrete bekannte Schwachstellen (meist mit CVE versehen), unbekannte Schwachstellen (0 days, Systemspezifisches,…), Fehlkonfigurationen von IT-Systemen, Softwarefehler und kritische Fehler, die ggf. einem Menschen passiert sind, die aber nichts direkt mit dem zu testenden IT System zu tun haben.
- Risikobewertung: Ein wesentlicher Bestandteil eines Penetrationstests sowie einer Schwachstellenanalyse ist es die Funde korrekt zu bewerten, in Risikoklassen einzuordnen (beispielsweise auf Basis von CVSS oder einer simpleren Abstufung) und damit dem Auftraggeber eine Möglichkeit der Priorisierung zu geben.
- Empfehlungen zur Behebung: Ein Penetrationstest kann Empfehlungen zur Behebung identifizierter Schwachstellen geben und die Sicherheitslage des Systems verbessern.
Ein effizienter und zielgerichteter Pentest ist nicht nur auf die Identifizierung von technischen Problemen aller Art beschränkt, sondern erfasst auch verschiedene Angriffsmuster, die auf IT-Systeme angewendet werden könnten. Durch gezielte Pentests werden diese Angriffsmuster simuliert, um die Reaktion und Widerstandsfähigkeit von IT-Systemen, Menschen sowie IT-Prozessen zu bewerten. Dies umfasst sowohl technische Angriffe als auch Social Engineering, um die gesamte Sicherheitsstruktur zu testen.
Pentests helfen Auftraggebern, sich auf realistische Bedrohungen vorzubereiten, indem sie Angriffe auf Systeme simulieren und potentielle Schwachstellen/Sicherheitslücken entdecken. Wichtig ist es, dass der Pentest regelmäßig durchgeführt wird, um der sich rasch ändernden IT-Systemlandschaft, Code und Einstellungen gerecht zu werden und vor den Angreifern zu identifizieren, was ein Problem darstellen wird. Durch regelmäßige Penetrationstests können Firmen sichergehen, dass ihre IT-Systeme stets vor neuesten Cyber-Bedrohungen geschützt sind.
Darüber hinaus ermöglicht ein gut durchgeführter Pentest die Schulung des internen IT-Teams in der Erkennung und Abwehr von Angriffen. Dies fördert nicht nur das Verständnis für potenzielle Angriffsmuster, sondern stärkt auch die allgemeine Sicherheitskultur innerhalb der Firma. Zusammengefasst sind und bleiben Penetrationstests eines der wichtigsten Werkzeuge, um IT-Systeme, Software, Nutzerverhalten sowie physische Systeme gegen verschiedene Angriffe zu schützen und die kontinuierliche Sicherheit der digitalen Infrastruktur zu gewährleisten.
Was sind die rechtlichen Aspekte von Penetrationstests?
Um Penetrationstests durchführen zu können, muss das Unternehmen die Zustimmung zur Durchführung von Tests einholen. Ohne diese Vereinbarung wäre die Durchführung rechtswidrig, und die Handlung könnte als Straftat angesehen werden. Pentests dürfen nur gegen Systeme durchgeführt werden, die zum auftraggebenden Unternehmen gehören und von ihm kontrolliert werden. Systeme Dritter sind vom Testprozess ausgeschlossen - außer es liegt explizite Erlaubnis vor (beispielsweisen, wenn die Supply Chain mit aufgenommen werden soll) Der Kunde muss die Komponenten der Penetrationstests vorab klären, was durch die Vielfalt der IT-Dienstleistungen und Software (Stichpunkte SaaS, Drittanbieter) erschwert werden kann.
Weitere Fragen samt Antworten zum Thema
"Penetrationstest"
Wie lange dauert typischerweise ein Penetrationstest?
Die Dauer eines Penetrationstests hängt stark von der Komplexität des zu testenden Systems sowie dem Umfang der gewünschten Tests ab. Üblicherweise dauert ein umfassender Penetrationstest zwischen 3 Tagen und 3 Wochen. Empfehlungen zur Dauer erhalten Sie von unseren Experten.
Welche Arten von Systemen können mit einem Penetrationstest überprüft werden?
Praktisch jedes System mit digitaler Infrastruktur kann Gegenstand eines Penetrationstests sein. Dazu zählen Netzwerke, Anwendungen, mobile Geräte und Cloud-Services sowie spezialisierte industrielle Kontrollsysteme.
Was passiert nach Abschluss des Penetrationstests?
Das Endprodukt sollte meist ein Bericht sein. Dieser enthält eine Management Summary sowie einen technischen Teil. Letzteres ist für die IT-Abteilung gedacht und enthält detaillierte Informationen zu den gefundenen Schwachstellen sowie Empfehlungen zur Behebung.
Wie wird sichergestellt, dass der Penetrationstest selbst keine Schäden verursacht?
Die einfachste Methode ist es ein spezielles isoliertes Testsystem zu verwenden. Dieses wird ausschließlich für den Test erstellt und enthält keine echten Daten. So wird sichergestellt, dass keine Schäden an Ihrem Produktivsystem entstehen.
Wie wird die Sicherheit und Vertraulichkeit meiner Daten während des Tests gewährleistet?
Wir nehmen den Datenschutz ernst und halten uns an strenge Vertraulichkeitsprotokolle. Während der Tests werden alle Informationen mit äußerster Diskretion behandelt. Außerdem arbeiten wir im Rahmen klarer rechtlicher Rahmenbedingungen, die alle beteiligten Parteien schützen. Der Best-Case ist aber: Wir haben gar keinen Zugang zu Ihren Daten - das ist bei fokussierten Penetrationstests eigentlich immer machbar.
Kann ein Sicherheitsaudit das gleiche Ergebnis liefern wie ein Pentest?
Reine IT-Sicherheitsaudits sind kaum mit einem Pentest zu vergleichen. Sie decken zwar Schwachstellen auf, können aber nicht die tatsächliche Ausnutzbarkeit prüfen. Ein Penetrationstest ist daher die bessere Wahl, wenn Sie die Sicherheit Ihrer Systeme realitätsnah testen möchten.
Welche speziellen Tools werden bei einem Penetrationstests verwendet?
Es kommt auf den Penetrationstests an - bei einem Penetrationstest gegen API oder Webanwendungen ist Burp Suite das Tool der Wahl. DSecured hat außerdem eine vielzahl privater Tools für das Finden von Schwachstellen entwickelt, die immer zum Einsatz kommen. Weitere erwähnenswerte Tools sind natürlich nmap, Nessus, Metasploit und viele mehr.
Gibt es unterschiedliche Stufen von Penetrationstests?
Ja, wir können einen Penetrationstest mit unterschiedlicher Intensität durchführen - angefangen von grob und dabei nur das allerwichtigste abdeckend bis zu einem regulären sehr detailierten Penetrationstest.
Wie häufig sollte ein Pentest durchgeführt werden?
Die meisten Unternehmen wiederholen ihren Penetrationstests ein Mal im Jahr. Moderne IT ist aber dynamisch - entsprechend sollten auch die Pentests häufiger durchgeführt werden - oder zumindest dann, wenn es große Änderungen gab. Pentest as a Service schließt hier die Lücke zum klassischen Pentest.
Können auch nicht öffentlich zugängliche Anwendungen getestet werden?
Natürlich. Der einfachste Weg wäre das Bereitstellen eines VPN-Zugangs für unsere Tester. Alternativ können wir auch vor Ort kommen und die Tests durchführen.
Für welche Compliance-Standard und Rahmenwerke sind Penetrationstests notwendig?
Verpflichtend sind Penetrationstests meist nicht, vielmehr müssen entsprechende aktive Maßnahmen seitens der Unternehmen getroffen werden. Allerdings sind Penetrationstests ein wichtiger Bestandteil von ISO 27001, BSI IT-Grundschutz, DSGVO und vielen weiteren Standards und Rahmenwerken. IN der Schweiz ist es z.B. das FINMA-Rundschreiben 2023/01 in dem Penetrationstests explizit als verpflichtend genannt werden. Im Bereich von Softwareprodukten in der Medizintechnik bzw. Digitale Gesundheitsanwendungen (DiGA) sind Penetrationstests ebenfalls verpflichtend. In den USA wird oft SOC 2 oder HIPAA genannt - hier sind Penetrationstests ebenfalls ein wichtiger Bestandteil, aber meist nicht verpflichtend.
Penetrationstest anfragen
Einen Pentest ergänzende Dienstleistungen
Kontinuierliche Überwachung
Unsere eASM Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.
Red Teaming
Red Teaming kombiniert alle Disziplinen der IT-Sicherheit, um ein definiertes Ziel zu erreichen. Sind Sie sich sicher, dass ihre Infrastruktur und Applikationen sicher sind, ist Red Teaming ein solides Werkzeug, um sicherzustellen, dass das auch so bleibt.
Darknet Intelligence
Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!