Penetrationstests

Penetrationstests sind der Grundpfeiler in der IT-Sicherheit und sollten kontinuierlich - beispielsweise bei Änderungen im Code - wiederholt werden. Regelmäßige Penetrationstests relevanter Assets, wie Webanwendungen, API, mobiler Apps oder allgemein Services schaffen Vertrauen in Ihre IT-Sicherheit.

Penetrationstests

Was ist ein Penetrationstest?

Ein "Pentest", kurz für "Penetrationstest", ist eine Art von Sicherheitstest, der darauf abzielt, Schwachstellen in einem Computersystem, Netzwerk oder einer Anwendung zu identifizieren, indem ein Angriff durch einen bösartigen Akteur simuliert wird.

Während eines Pentests wird ein erfahrener Sicherheitsfachmann (auch "Penetrationstester" oder "ethischer Hacker" genannt) verschiedene Techniken und Werkzeuge verwenden, um zu versuchen, Schwachstellen im System oder in der Anwendung auszunutzen, um unbefugten Zugang zu erhalten, Daten zu stehlen oder die Sicherheit des Systems anderweitig zu kompromittieren. Der Tester könnte auch versuchen, seine Berechtigungen zu eskalieren oder sich lateral im Netzwerk zu bewegen, um Zugang zu zusätzlichen Systemen zu erlangen.
Das Ziel eines Pentests ist es, Sicherheitslücken zu identifizieren, bevor sie von echten Angreifern ausgenutzt werden können und Empfehlungen zur Verbesserung der Systemsicherheit zu geben. Pentests können Organisationen helfen, Schwächen in ihrer IT-Sicherheit zu erkennen und Ressourcen zu priorisieren, um die kritischsten Probleme zuerst zu lösen.

Wie viel kostet ein Penetrationstest?

Unser aktueller Durchschnittswert (Netto) über die letzten 15 Penetrationtests liegt bei etwa 7.200 Euro. Der Großteil unserer Kunden lässt eine mittelkomplexe Webapplikation (SaaS) auf Basis eines bekannten Frameworks (Django, Laravel, Java Spring, .Net, ...) testen. Auf Vor-Ort-Termine wird verzichtet. Der Test wird in der Regel in 1-2 Wochen durchgeführt. Ein finaler technischer Bericht ist der Abschluss des Projekts. Die Kommunikation findet in der Regel per E-Mail, Slack oder Telefon statt.

ABER: Im Allgemeinen ist es schwer zu sagen, welche Kosten auf Sie zukommen ohne zu wissen, wie das Ziel aussieht und welches Vorgehen wir als Auftragnehmer wählen müssen/dürfen (siehe hierzu die verschiedenen Arten von Penetrationstests). Applikationen, Software, Netzwerke und Infrastrukturen sind sehr unterschiedlich und können von "sehr klein" bis "sehr groß" ausfallen. Gleiches kann man über die Kosten sagen - insofern lohnt es sich einfach ein kostenloses Gespräch zu vereinbaren, um über den Punkt "Kosten" zu sprechen. Die absolute Mehrheit unserer Kunden kommt mit einem festen Budget. Das ist dann der Rahmen in dem wir arbeiten.

Bei kleinem Budget finden wir in Regel eine zufriedenstellende Lösung - beispielsweise fokussierte man die Arbeit auf die kritischen Assets (VPN, Portale mit Kundendaten, ...) bzw. Teile der Software (Uploadfunktionalitäten, Dateiverarbeitung, ...). Ebenfalls kann die Anzahl an Mitarbeitern minimiert werden, die an einem Pentest arbeiten. Gleiches gilt für den Umfang des finalen Berichts und der Präsentation.

Trotzdem - Sie wollen mit Sicherheit einige Anhaltspunkte, insofern: Ein typischer Penetrationstest kostet zwischen 5.000 und 25.000 Euro. Kleine Applikationen, bei denen nur ein gewisser Teil analysiert werden soll, können aber auch für unter 5.000 Euro getestet werden. Speziell bei Applikationen, die auf "Standard Komponenten" basieren (bspw. WordPress), sollte eher darüber nachgedacht werden, ob es sich nicht lohnt nur die Eigenentwicklungen und Plugins zu testen. Hier ist es durchaus üblich, dass die Rechnung im Bereich 1.500 und 3.000 Euro liegt. Größere Projekte, die mehrere komplexe zusammenhängende Applikationen, Systemvarianten oder Netzwerke umfassen, können auch mehr als 50.000 Euro kosten.

Arten des Penetrationstests

Die groben Arten von Penetrationstests lassen sich in die Kategorien Blackbox, Greybox und Whitebox unterteilen. Darüber hinaus sieht man immer häufiger bezeichnungen, wie "Mobile Penetrationstest" oder "API Pentest" - dahinter verstecken sich in der Regel nur Aussagen über das Zielsystem, nicht aber, wie konkret vorgegangen wird.

Blackbox-Pentest

Bei einem Blackbox Penetrationstests handelt es sich meist um die realistische Art, wie ein Unternehmen heutzutage angegriffen wird. Der Angreifer startet ohne Informationen und muss sich diese erarbeiten. Hierzu werden diverse Phasen durchlaufen, die den Angreifer am Ende befähigen einen erfolgreichen Cyber-Angriff auf das Ziel durchzuführen. Dieses Vorgehen lehnt sich stark an Vorgehensweisen aus dem Militär an, bei denen vor dem eigentlichen Angriff viel Zeit in Aufklärung und Informationsbeschaffung investiert wird. Hierbei können diverse Quellen verwendet werden. In der Regel hat der Angreifer hier keine internen Informationen.

Je nach Art des Auftrags ist oft eine Phase der Informationsbeschaffung nicht wirklich notwendig, weil beispielsweise der so genannte Scope eine bestimmte Applikation ist und die Aufgabe des Testers es ist von außen nach Sicherheitslücken zu suchen.

Greybox-Pentest

Penetrationstests, die den Greybox-Ansatz verfolgen, sind oft ähnlich gestrickt, wie der klassische Blackbox-Pentest. Hier hat der Tester allerdings die Möglichkeit an bestimmte Informationen zu kommen. So werden ihm beispielsweise Teil von Quellcodes, Dokumentationen, API Schema, Zugangsdaten zu Accounts mit wenig Rechten gewährt. Oft findet hier eine enge Zusammenarbeit mit dem Kunden statt, dieser gewährt je nach Situation weitere Informationen.

Auch hier ist das Ziel sich auf das eigentlich wichtige zu konzentrieren: relevante Sicherheitslücken im zu testenden System zu finden und das ohne Zeit bei der Reconnaissance-Phase zu verlieren. In der Regel hat dieser Ansatz den besten Kosten-Nutzen-Faktor.

Whitebox-Pentest

Bei einem Whitebox-Pentest werden den Testern alle Informationen zur Verfügung gestellt. So kann sich der Tester ein umfassendes Bild vom zu testenden System machen, es ist klar, wie es ggf. mit anderen Systemen kommuniziert und dank meist vorhandenem Quellcode lassen sich auch komplexe Sicherheitslücken finden. Es ist zu erwarten, dass die Ergebnisse hier besonders gut sind. Nachteilig ist aber, dass der Whitebox-Test oft sehr langwierig und damit teuer werden kann.

Pentest: Blackbox vs Greybox vs Whitebox

Blackbox Greybox Whitebox
Ziele Simulation eines realistischen externen Angriffs sowie Identifikation externer Schwachstellen Simulation eines teilweise informierten Angriffs sowie Identifikation von Schwachstellen mit begrenztem Wissen Umfassende Analyse des Systems sowie Identifikation interner und externer Schwachstellen
Ausgangslage Kein Vorwissen und kein Zugang zu internen Ressourcen Begrenztes Vorwissen und begrenzter Zugang zu internen Ressourcen Vollständiger Zugang zu allen Ressourcen und Quellcodes
Vorteile Realistische Simulation eines Cyberangriffs Keine interne Beeinflussung Kombiniert Elemente von Black- und Whitebox-Tests
Effizientere Identifikation von Schwachstellen
Tiefgreifende Analyse möglich Identifikation von Schwachstellen in Quellcodes und Konfigurationen
Nachteile Potenzielle Übersehen von internen & komplexeren Schwachstellen Möglicherweise nicht so tiefgreifend wie ein Whitebox-Test Benötigt viel Zeit und simuliert nur bedingt realistische Angriffsszenarien
Zeitaufwand Wenig Mittel Hoch

Unsere Pentest-Richtlinien

Bundesamt für Informationssicherheit

Link

OWASP Web Security Testing Guide

Link

Warum sind Penetrationstests so wichtig und nicht wegzudenken?

Penetrationstests sind notwendig, um Sicherheitslücken in einem System, Netzwerk oder einer Anwendung zu identifizieren und Organisationen dabei zu helfen, ihre allgemeine Sicherheitslage zu verbessern. Durch das Identifizieren von Schwachstellen und das Anbieten von Empfehlungen zur Behebung können Organisationen das Risiko eines erfolgreichen Cyber-Angriffs reduzieren und ihre sensiblen Daten, Systeme und ihren Ruf schützen.
Obwohl immer mehr Anbieter mit "automatisierten Penetrationstests" versuchen den Markt zu revolutionieren, ist es nahezu unmöglich die Kreativität eines Menschen zu ersetzen.

Die Ergebnisse eines Penetrationstests können je nach Umfang des Tests und den spezifischen Zielen der Organisation variieren. Hier sind jedoch einige häufige Ergebnisse, die von einem Penetrationstest erwartet werden können:

  1. Identifizierung von Schwachstellen: Ein Penetrationstest kann Schwachstellen in einem System identifizieren, die von einem Angreifer ausgenutzt werden könnten. Dies umfasst Softwarefehler, Konfigurationsschwächen und andere Sicherheitslücken.
  2. Risikobewertung: Ein Penetrationstest kann Organisationen dabei helfen, das mit verschiedenen Schwachstellen verbundene Risiko zu bewerten und zu priorisieren, welche zuerst angegangen werden sollten.
  3. Empfehlungen zur Behebung: Ein Penetrationstest kann Empfehlungen zur Behebung identifizierter Schwachstellen geben und die Sicherheitslage des Systems verbessern.

Pentest - Aktivitäten

Luftfahrt

Luftfahrt

Als externes Red Team durften wir eines der größten Luftfahrtunternehmen angreifen.

Universitäten

Universitäten

In einem britischen Forschungsinstitut haben wir externe und interne Bedrohungen gefunden.

Autohersteller

Autohersteller

Für einen deutschen Hersteller haben wir Dutzende Sicherheitslücken gefunden.

IT-Unternehmen

IT-Unternehmen

Wir konnten einen großen PII Leak in einem brasilianischen Unternehmen aufspüren.

Versicherungsunternehmen

Versicherungsunternehmen

Regelmäßig bewerten wir die externe IT-Sicherheit von potentiellen Versicherungsnehmern.

Robotik

Robotik

In regelmäßigen Abständen führen wir Penetrationstests gegen eine bekannte Applikation aus der Robotik durch.

Bahnunternehmen

Bahnunternehmen

Wir durften die gesamte Infrastruktur eines ausländischen Bahnunternehmens analysieren.

SaaS Anbieter

SaaS Anbieter

Anbieter von SaaS sind klassische Kunden - die Komplexität dieser Applikationen machen regelmäßige Pentests nötig.

Gaming

Gaming

Gaming-Portale gehören ebenfalls in unser Kunden-Portfolio.

Ablauf eines Penetrationstests

Kickoff

In einem Kickoff-Meeting werden wichtige Dinger mit verantwortlichen Personen besprochen. Es wird geklärt, was und wie getestet wird. Alle ggf. bereits vorher besprochenen Dinge werden bestätigt und kritisch hinterfragt (Funktionen der Applikationen, Rollen/Rechte, Testumgebungen, No-Gos, Technologie, ...). Zusammen mit dem Kunden legen wir eine Grundlage, die es uns erlaubt, den Penetrationstest erfolgreich durchzuführen. Hierbei wird auch auf die individuellen Wünsche des Kunden eingegangen (Kommunikation während des Tests, Testzeiten, VPN, ...).

Ausführung

Wir machen uns an die Arbeit. Wir suchen im Team nach Sicherheitslücken und Problemen im definierten Scope. Geht es um einen klassischen Blackbox-Pentest gegen beispielsweise eine Webapplikation, verwenden wir Werkzeuge, wie Nmap oder Burp Suite. In der ersten Phase versuchen wir das Ziel und dessen reguläre Funktion zu verstehen. Anschließend gehen wir strukturiert jede Funktion durch und suchen sowohl nach Sicherheitslücken, falschen Konfigurationen als auch nach allgemeinen technischen Problemen. Das genaue Vorgehen, den Automatisierungsgrad, Auswahl von Tools hängt im Detail vom konkreten Auftrag ab. Oft verlangen Kunden nicht nur einen sehr fokussierten technischen Penetrationstest, sondern zusätzlich eine gewissen Red Teaming-Komponente. In so einem Fall nutzen wir OSINT, Threat Intelligence und anderes, um die Zielapplikation ggf. anders zu kompromittieren (beispielsweise Zugang zu Quellcode oder Zugangsdaten durch Leaks im Internet).

Berichterstattung

In der Regel erstellen wir einen ausführlichen Bericht als PDF. Der Bericht beinhaltet eine Zusammenfassung für das Management als auch den technischen Teil. Letzteres beschreibt Scope, Methodik als auch alle Funden. Wir stellen sicher, dass das technische Personal des Kunden unsere Funde reproduzieren kann. Für uns hat sich bewährt innerhalb des Berichts ebenfalls auf aktuelle Probleme allgemeiner Natur hinzuweisen - so können wir schnell erkennen, ob eine Funktion in Zukunft zu einem Problem werden könnte und was seitens der Entwickler gemacht werden müsste, um das zu verhindern. Wir wollen hierbei dem Kunden proaktiv helfen. Die technisch verantwortliche Person bekommt zu einem vereinbarten Termin den Bericht - in der Regel über einen sicheren Kanal.

Finales Meeting

In einem Abschlussgespräch klären wir fragen des Kunden, erläutern unsere Funde und stellen sicher, dass der Kunde wirklich den Impact verstanden hat. Jedes Abschlussgespräch ist sehr individuell und wird entsprechend geplant.

Retesting

Optional bieten wir an die Fixes der Entwickler zu prüfen. Hier führen wir nicht nur unsere initial zur Verfügung gestellten Payloads nochmals aus, sondern überlegen uns potenzielle Bypasses, die die Entwickler ggf. nicht auf dem Schirm hatten. So kann die Applikationen nochmals gestärkt werden.

Viele unserer Kunden möchten leider nicht genannt werden. Das Zeigen konkreter Ergebnisse oder Berichte ist bedauerlicherweise ebenfalls oft unerwünscht oder via NDA nicht erlaubt - was mehr als verständlich ist. Um Ihnen als potentiellen Kunden trotzdem beweisen zu können, dass wir wissen, was wir machen und dabei erfolgreich sind sind nahezu alle unsere Mitarbeiter stark im Bereich Bug Bounty Hunting involviert. Wir suchen, finden und melden komplexe kritische Sicherheitslücken an Konzerne, wie PayPal, Tesla oder Apple. Wir empfehlen die Namen im Internet zu suchen. Sie werden diverse öffentliche Berichte auf Platformen, wie HackerOne oder BugCrowd aber auch auf "Thank you"-Seiten von Apple, SAP oder Microsoft finden.
Persönliche Kontakte zu Kunden vermitteln wir ebenfalls gerne.

Kontaktformular

Einen Pentest ergänzende Dienstleistungen

Kontinuierliche Überwachung

Kontinuierliche Überwachung

Unsere eASM Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.

Red Teaming

Red Teaming

Red Teaming kombiniert alle Disziplinen der IT-Sicherheit, um ein definiertes Ziel zu erreichen. Sind Sie sich sicher, dass ihre Infrastruktur und Applikationen sicher sind, ist Red Teaming ein solides Werkzeug, um sicherzustellen, dass das auch so bleibt.

Darknet Intelligence

Darknet Intelligence

Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!

Was Kunden über uns sagen