Penetrationstests (PTT)
Penetrationstests sind wie ein Sicherheitscheck für digitale Systeme. Es ist eine proaktive Methode, um Sicherheitslücken zu finden und zu beheben, bevor Kriminelle sie ausnutzen können. Mit anderen Worten: Penetrationstests sind wie ein simulierter Angriff auf Ihre IT-Infrastruktur, Ihr Netzwerk oder Ihre Anwendungen, der von ethischen Hackern durchgeführt wird, die Experten im Auffinden von Sicherheitslücken sind.
Für wen ist es gedacht?
Regelmäßige Tests der IT-Infrastruktur, des Netzes oder der Anwendungen sind für Unternehmen jeder Größe und unabhängig von ihrem Geschäftsfeld eine Notwendigkeit. Bevor jedoch ein Penetrationstest in Auftrag gegeben wird, ist es ratsam, sich mit der grundlegenden Sicherheit von Systemen und Anwendungen zu befassen – sobald die grundlegende Sicherheit gewährleistet ist, ist der nächste logische und sinnvolle Schritt die Durchführung eines Penetrationstests.
Welche Probleme oder Bedürfnisse werden damit gelöst?
- Identifiziert Schwachstellen in der IT-Infrastruktur, im Netzwerk oder in Anwendungen, die von Angreifern ausgenutzt werden könnten.
- Hilft bei der Erfüllung von Compliance-Anforderungen, die sich aus bekannten Sicherheitsstandards oder Rahmenwerken ergeben.
- Es bietet die Gewissheit, dass die bereits vorhandenen Sicherheitsmaßnahmen wirksam sind und echten Angriffen standhalten können.
- Hilft bei der Verfeinerung und Erprobung von Notfallplänen durch die Simulation verschiedener Angriffsszenarien, die Lücken in der Abwehrbereitschaft und den Reaktionsmöglichkeiten aufzeigen können.
- Unabhängige Penetrationstests tragen auch dazu bei, ein Unternehmen, das Cybersicherheitsdienste anbietet, zu überwachen.
Methodik und Verfahren
Die Methodik des Screenings basiert auf mehreren bekannten und anerkannten Frameworks: OWASP ASVS, OWASP Top 10, OWASP MASVS, OWASP WSTG (v4.2), OSSTMM, NIST, ISACA, etc.
Blackbox-Methode – Bei dieser Methode hat der Angreifer keine Vorkenntnisse über die IT-Infrastruktur oder die Systeme des Kunden.
White-Box-Methode – Bei dieser Methode erhält der Angreifer vorab Informationen und Zugang zu den Systemen.
Grey-Box-Methode – Bei dieser Methode verfügt der Angreifer über Teilinformationen über die IT-Infrastruktur oder -Systeme des Kunden.
Bevor wir mit dem Testen beginnen, vereinbaren wir mit dem Kunden den genauen Umfang und Zweck des Testens sowie die Regeln des Testprozesses.
In dieser Phase nutzt der ethische Hacker alle öffentlich zugänglichen Informationen über das Ziel, die einen erfolgreichen Test erleichtern könnten (z. B. Informationen aus dem Dark Web).
In dieser Phase sammelt der ethische Hacker so viele Informationen wie möglich über die Ziele und ihre Funktionen. Durch diese Tätigkeit können wir Einblicke in die normale Funktionsweise von Zielen gewinnen und Orte finden, an denen wir erfolgreich in Systeme eindringen können.
Der Input für diese Phase sind die Informationen, die durch die Kartierung der Angriffsoberfläche gewonnen wurden. Auf dieser Grundlage ermittelt der ethische Hacker die effektivsten Angriffsmethoden sowie die Informationen, auf die ein echter Hacker höchstwahrscheinlich abzielen würde.
Sobald die Angriffsmethoden identifiziert sind, stellt sich die nächste Frage: Wie kann man sich Zugang zum Ziel verschaffen? Diese Phase baut auf den in den vorangegangenen Schritten gesammelten Informationen auf und identifiziert spezifische Schwachstellen, die in der nächsten Phase ausgenutzt werden sollen.
In der Angriffsphase werden verschiedene Angriffe auf das Zielsystem gestartet, um zu versuchen, sich erfolgreich Zugang zum Ziel zu verschaffen.
Nach der Angriffsphase erstellen wir einen zusammenfassenden Bericht, in dem alle festgestellten Schwachstellen und Vorschläge zu ihrer Behebung aufgeführt sind, sowie eine Zusammenfassung in verständlicher Sprache für das Management des Unternehmens.
Warum OIXIO Cyber?
- Mindestens zwei Sachverständige pro Projekt, um eine bessere Dienstleistungsqualität und bessere Ergebnisse zu gewährleisten. Darüber hinaus verwenden wir ein System zur Gegenkontrolle, um festzustellen, ob bei der Prüfung etwas übersehen wurde. Jede Prüfung wird daher von mindestens 3 Technikern (2 Prüfer und 1 Kontrolleur) durchgeführt.
- Angriffsszenarien, die auf die tatsächlichen Bedürfnisse und geschäftlichen Besonderheiten des jeweiligen Kunden zugeschnitten sind.
- Kostenlose Wiederholungsprüfung für ein Jahr, nachdem die bei der Prüfung festgestellten Schwachstellen behoben worden sind.
- Wir wissen, wie wichtig der Datenschutz und die Vertraulichkeit in unserem Geschäft sind. Um die höchsten Datenschutzstandards einzuhalten, haben wir eine strenge Richtlinie eingeführt, die besagt, dass alle damit zusammenhängenden Inhalte innerhalb von 30 Tagen nach dem Ende eines jeden Spieltests sicher entfernt werden.
- Wir haben ein Team von 8 Experten mit jahrelanger Erfahrung im Bereich der offensiven Sicherheit.
Unsere Erfahrung
Unser Expertenteam hat in mehreren Ländern auf der ganzen Welt Feldversuche durchgeführt, z. B. in: Österreich, Deutschland, Slowakei, Tschechische Republik, USA, Schweiz, Malta und Estland. Unser Ansatz beruht auf fundiertem technischem Know-how.
Wir sind bestrebt, unsere Kunden aufzuklären, die Komplexität der Cybersicherheit zu entmystifizieren und einen klaren Einblick in die tatsächlichen Bedürfnisse unserer Kunden zu geben.
Wie können wir Ihnen helfen? (OIXIO GmbH)
Kontaktieren Sie uns, wenn Sie mit einem Experten sprechen möchten.
„*“ zeigt erforderliche Felder an