Diese Website verwendet Cookies. Betätigen Sie den Button "Zustimmen", um den Einsatz von Cookies zu akzeptieren. Mehr über unsere Datenschutzrichtlinien erfahren Sie hier.
Zustimmen

Penetrationstest: Sind Ihre Netzwerke und IT-Systeme gegen einen Angreifer abgesichert?

Dienstag, 30.07.2019

Wissen Sie, welche Schwachstellen ein Angreifer in Ihrem Netzwerk findet?

Sind Sie sicher, dass Ihr Unternehmen gegen Cyber Angriffe geschützt ist?

Haben Sie Ihr Netzwerk schon einmal aus der Sicht eines Hackers betrachtet?

So wie Einbrecher in ein Unternehmensgebäude eindringen, können Hacker einen Angriff auf das Unternehmensnetzwerk starten.

Erfahren Sie mehr, wie Sie Angriffen aus dem Netz wirkungsvoll begegnen.

In diesem Blogbeitrag erhalten Sie Antworten auf die folgenden Fragen:

  • Was ist ein Penetrationstest?
  • Was ist das Ziel eines Penetrationstests?
  • Was erhalte ich, wenn ich einen Penetrationstest gemacht habe?
  • Wie geht es nach dem Penetrationstest weiter?
  • Wie läuft ein Penetrationstest ab?
  • Welchen Aufwand hat ein Penetrationstest?
  • Was muss ich für einen Penetrationstest zur Verfügung stellen?
  • Ich habe ein spezielles Netzwerk, kann ich trotzdem einen Penetrationstest machen lassen?

Was ist ein Penetrationstest?

Nachdem in der Offline-Welt ein Angreifer sein Ziel identifiziert hat, sucht er diese Adresse auf und beginnt vor Ort das Gebäude zu untersuchen. Er findet z.B. heraus, welche Türen und Schlossmechanismen verbaut sind oder ob  Hintertüren existieren. Er beobachtet die Menschen, die das Gebäude betreten bzw. verlassen und kann manchmal sogar die Gespräche des vorhandenen Sicherheitspersonals mithören. Auf diese Weise sammelt er viele Informationen über das Unternehmen, die Abläufe und die Gewohnheiten der Beschäftigten und kann seinen Angriff entsprechend vorbereiten.

Es gelingt ihm beispielsweise

  • sich als Mitarbeiter zu tarnen, indem er die gleiche Kleidung trägt
  • die Sicherheitsmaßnahmen zu umgehen, weil er die Inhalte kennt
  • verschlossene Türen zu öffnen, weil er die Schlossmechanismen ausreichend inspiziert hat.

Möglichkeiten gibt es viele, hier sind nur einige Beispiele genannt.

Mit der Digitalisierung sind neue Techniken und Werkzeuge hinzugekommen, die Vorgehensweise ist jedoch unverändert.

Übertragen Sie das beschriebene Angriffsszenario auf die Online-Welt, erhalten Sie einen typischen Angriff auf Ihr Netzwerk.

Ein Angreifer setzt sich Ihr Unternehmen als Angriffsziel. Ihm sind lediglich die öffentlich zugänglichen IP Adressen Ihres Unternehmens bekannt. Diese prüft er auf Schwachstellen, indem er unter anderem die Server-Informationen abfragt, oder mit verschiedenen Anfragen testet, welche Dienste bzw. Anwendungen auf den (offenen) Ports vom Server beantwortet werden. Basierend auf den Informationen, die der Angreifer daraus extrahieren kann, entwickelt er einen Angriff auf Ihr Unternehmen. Dies kann beispielsweise das Ausnutzen einer Sicherheitslücke einer veralteten Softwareversion sein oder eine schlecht programmierte Webseite mit der Möglichkeit, schadhaften Code auszuführen.

Wird dieser Angriff dann unter abgesprochenen (simulierten) und definierten Bedingungen ausgeführt, sprechen wir von einem Penetrationstest.

Ziel eines Penetrationstest

Ein Penetrationstest beantwortet Ihnen die Frage: Welche Informationen und Schwachstellen in meiner IT-Infrastruktur kann ein Angreifer finden und ausnutzen? Mit diesem Wissen können Sie die Lücken schließen.

Ablauf eines Penetrationstest

Für einen erfolgreichen Penetrationstest orientiert sich die Adiccon an dem Leitfaden für Penetrationstests und der Vorgehensweise des BSI. Bisherige Erfahrungen und das Fachwissen unserer Netzwerk- & IT-Security-Experten ergänzen individuell Ihren Penetrationstest.
Dabei gliedert sich der Ablauf in fünf Schritte:

  1. 1. Vor dem eigentlichen Penetrationstest werden Ihre Fragen und bestehende Unklarheiten beantwortet sowie Ihr zu testender Bereich abgestimmt.
  2. 2. Sie wählen einen Zeitraum, in dem der Penetrationstest durchgeführt werden kann. Von beiden Parteien sollte in dieser Zeit ein Ansprechpartner zur Verfügung stehen. Fallen externe Anbieter mit in den Untersuchungsbereich, bitten wir Sie, diese ebenfalls zu informieren (z.B. das Rechenzentrum, in dem der Server steht).
  3. 3. Danach findet der konkrete Penetrationstest statt. Hier ist Ihrerseits kein Einsatz erforderlich. Wenn Sie möchten, können Sie gerne einen Blick auf Ihre Security Gateways und Logs werfen – einige Kunden fanden das sehr spannend und aufschlussreich.
  4. 4. Wir informieren Sie, sobald der Penetrationstest abgeschlossen ist. Sollten wir Schwachstellen gefunden haben, die ad-hoc Maßnahmen erfordern, lassen wir Sie das unverzüglich wissen.
  5. 5. Sie erhalten einen Report, den wir Ihnen in einem Telefonat oder persönlichen Gespräch erläutern und auch hier gerne Ihre Fragen beantworten.

Sie erhalten…

… einen Report über die kompletten Ergebnisse des Penetrationstests. Darin sind die Vorgehensweise und der getestete Bereich erläutert. Zusätzlich dokumentieren wir die gefundenen Schwachstellen, klassifiziert in drei Gruppen (Schwerwiegend: Sofortmaßnahme ratsam, Kritisch: Maßnahme zeitnah erforderlich, Niedrig: Maßnahmen sind empfohlen).

Zu den jeweiligen Schwachstellen empfehlen wir Schutzmaßnahmen, so dass Sie die Lücken gezielt schließen können.

Der Penetrationstest ist abgeschlossen, wie geht es weiter?

Nach Abschluss des Penetrationstests kennen Sie den aktuellen Sicherheitszustand der getesteten Infrastruktur. Wir empfehlen unseren Kunden, die priorisierten Maßnahmen zügig umzusetzen. Das Wissen um die entdeckten Schwachstellen ist nur ein Teil. Nur das Umsetzen der  empfohlenen Maßnahmen sichert Ihr System ab. Wenn Sie es wünschen, unterstützen wir Sie gerne dabei. Zusätzlich empfehlen wir die regelmäßige Durchführung von Penetrationstests, zum Beispiel ein oder zweimal im Jahr. So behalten Sie stets einen Überblick über Ihre IT Infrastruktur und sehen Ihr Netzwerk regelmäßig aus den Augen eines Angreifers.

Was benötigen wir von Ihnen für die Durchführung eines Penetrationstests?

Um einen effektiven Penetrationstest durchzuführen, benötigen wir die öffentlichen IP Adressen Ihres Firmennetzwerkes, einen jederzeit erreichbaren Ansprechpartner und einen abgestimmten Zeitraum zur Durchführung.

Welchen Aufwand hat ein Penetrationstest?

Der Aufwand variiert in erster Linie mit der Anzahl der IP Adressen. Bei 50 IP-Adressen rechnen Sie bitte mit einem Aufwand von ca. 5 Tagen.

Für spezielle und individuelle Netzwerke…

… bieten wir Ihnen ebenfalls die Möglichkeit für einen Penetrationstest an. Hierzu erstellen wir Ihnen gerne ein individuelles Angebot, das auf Ihre Anforderungen und Ihr spezielles Netzwerkprofil angepasst ist.

Angriff ist die beste Verteidigung – Seien Sie deshalb Ihrem Angreifer einen Schritt voraus!

Bringen Sie Ihr Unternehmen auf ein höheres Sicherheitsniveau – wir freuen uns, Sie dabei unterstützen zu können!

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit

Ähnliche Artikel:

5 Tipps zur erfolgreichen ISO 27001 (Re)Zertifizierung

Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?

26 Vorteile durch die Einführung eines ISMS: Risikominimierung, Kostensenkung, Transparenz der Geschäftsprozesse

 

Autor
Yasmin Krahofer
IT-Security
7 wichtige Fakten für den ISB
Was ist ein Information Security Management System?
IT-Sicherheitsmethoden und -Systeme – Reine Theorie oder reale Vorteile?
Patientensicherheit: Wie kamen medizinische Daten ins Netz?
Wie Sie sich gegen aktuelle Cyber-Angriffe schützen
IT-Sicherheitsgesetz 2.0 – Weitere drastische Auflagen in der KRITIS-Verordnung geplant
Brauchen KRITIS relevante Krankenhäuser georedundante Rechenzentren?
5 Tipps zur erfolgreichen ISO 27001 (Re)Zertifizierung
Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?
26 Vorteile durch die Einführung eines ISMS: Risikominimierung, Kostensenkung, Transparenz der Geschäftsprozesse
Die EU-DSGVO ist in Kraft getreten - was sind die nächsten wichtigen Schritte?
Der Countdown läuft – in einem Monat gilt die EU-DSGVO
IT-Sicherheit in Kliniken: Ganzheitliches IT-Risikomanagement als Grundlage für einen umfassenden Schutz
IT Security Risikoanalyse vermeidet Kosten
Sichere Mails für unterwegs