IT Security Check & Pentest+
IT-Security Infrastruktur Check (Pentest+)
Mit unserem IT-Security-Check prüfen wir Ihre Infrastrukturen auf mögliche Angreifer, innerhalb und ausserhalb Ihres Netzwerks, sowie auf technische Sicherheitsmängel und Risiken.
Gemeinsam mit Ihnen definieren wir die möglichen Angriffsszenarien und überprüfen Ihre Infrastruktur genau nach der Beschreibung. Sie erhalten einen Bericht und eine Empfehlung zur Verbesserung Ihrer IT-Sicherheit.
Ihre Vorteile auf einen Blick
- Unsere IT-Experten sind zertifizierte Spezialisten in diesem Bereich
- Schwachstellenanalyse wird genau auf Ihr Unternehmen zugeschnitten
- Ihre IT-Infrastruktur wird genau so durchleuchtet wie ein Angreifer dies durchführen würde
- Standards für Zertifizierungen im IT-Sicherheitsbereich können damit erfüllt werden
- Entscheidungshilfe für die Security Optimierung, auch im Zusammenhang mit unserem CyberSecurity-as-a-Service Angebot.
- Realistische Durchführung des simulierten Angriffs dank unserer langjähriger Erfahrung als Cloud Dienstleister
- Cyberschutzversicherungen berücksichtigen Pentests in Ihren Prämien. Fragen Sie hier bei Ihrer Versicherung nach
IT Security Check in 6 Schritten
Umfassender Cyber Security Check für Ihre IT-Infrastruktur – individuell auf Ihre Bedürfnisse zugeschnitten.
01.
Bedarfsbewertung
- Audit zu einem festen Preis
- Klärung Ihrer Bedürfnisse
- Klar definierte Leistungsbeschreibung und Struktur des unternehmensbezogenen Audits
Im ersten Schritt eines Pentests werden die individuellen Ziele und Anforderungen Ihres Unternehmens, das angestrebte Vorgehen und eingesetzte Techniken festgehalten. Berücksichtigt werden auch relevante gesetzliche und organisatorische Vorgaben sowie mögliche vertragliche Vereinbarungen Ihres Unternehmens, um mögliche Risiken zu vermeiden. Für den gemeinsamen Überblick halten unsere Experten sämtliche Details des Pentests schriftlich fest.
02.
Beschaffung von Informationen
- Automatisierte Ausführung für alle gängigen Sicherheitsbedrohungen
- Manuelle Prüfung und Verifizierung der auf Ihre Infrastruktur zugeschnittenen Scan-Ergebnisse
Im zweiten Schritt eines Pentests werden alle verfügbaren Informationen über das zu testende Ziel gesammelt. Für die externe IT-Infrastruktur werden alle erreichbaren Systemkomponenten untersucht, während für die interne IT-Infrastruktur alle verfügbaren Systeme inventarisiert werden, um Netzwerkbereiche, Geräte und Dienste zu identifizieren.
Diese Informationen werden genutzt, um die IT-Infrastruktur zu überprüfen. Dies geschieht teils passiv aber auch via einer aktiven Prüfung, bei dem Informationen zur Identifizierung von Versionen und Patch-Ständen von Netzwerkdiensten, Betriebssystemen, Softwareanwendungen und Datenbanken korreliert werden. Die Ergebnisse der Prüfung werden verwendet, um Schwachstellen in den Systemen und Anwendungen zu identifizieren. Dazu gibt es in einem Teil einen automatisierten Schwachstellen Scanner zum anderen Teil werden Exploits gesucht und in den Test einbezogen .
Zusammengefasst verschaffen sich die Experten im zweiten Schritt einen möglichst umfassenden Überblick über die zu prüfende Systemumgebung, um mögliche Schwachstellen und Angriffspunkte zu identifizieren.
03.
Risikoanalyse und Definition
- Übersichtlicher Bericht und Absprache des weiteren Vorgehens mit dem technischen Leiter
- Empfehlungen und Unterstützung zur Beseitigung aktueller und zukünftiger Risiken
Im dritten Schritt eines Pentests werden die gesammelten Informationen über die zu testenden Systeme gründlich analysiert und bewertet. Dabei werden auch die Ziele des Pentests, die potenzielle Risiken für die Systeme sowie der geschätzte Aufwand zur Identifizierung von Sicherheitslücken berücksichtigt, die bei den folgenden Eindringversuchen gefunden werden können. Basierend auf dieser Analyse legen unsere Spezialisten die konkreten Angriffsziele für den vierten Schritt fest.
04.
Aktive Angriffssimulation
- Aktive Angriffssimulation von unseren IT-Experten
- Vorbereitung des Abschlussberichts im fünften Schritt
Im vierten Schritt des Pentests werden die zuvor identifizierten Schwachstellen gezielt ausgenutzt, um Zugriff auf die IT-Infrastruktur zu erlangen. Wenn unsere Spezialisten erfolgreich in die Systeme eindringen, sammeln sie Daten, die als Grundlage für den IT-Sicherheitsbericht im fünften Schritt sowie die abschliessende Präsentation dienen. Hochsensible Informationen werden dabei nur in Abstimmung mit Ihrem Unternehmen dokumentiert und streng vertraulich behandelt. Dieser Schritt wird generell nur auf Kundenwunsch durchgeführt, da kritische Systeme unter Umständen beeinträchtigt werden könnten.
05.
Abschlussbericht
- Übersichtlicher Bericht und Abschlussgespräch mit dem technischen Leiter
- Vorbereitung des Massnahmenkatalogs unter Schritt sechs
Während den vorherigen Schritten wurde eine umfassende Zusammenfassung aller identifizierten Systeme, aufgedeckten Sicherheitslücken und möglichen Lösungsansätze erstellt. Die Ergebnisse des Pentests und die damit verbundenen Risiken für Ihr Unternehmen werden in einem schriftlichen Abschlussbericht dargestellt, in dem auch die einzelnen Testschritte erläutert werden. Wenn in Schritt vier Aktivitäten stattgefunden haben, werden wir Ihnen auf Wunsch die gesammelten Daten in einem persönlichen Meeting präsentieren, bei dem auch die verwendeten Exploits erläutert werden.
06.
Massnahmenkatalog
- Übersichtlicher Massnahmenkatalog und Besprechung mit dem technischen Leiter
- Empfehlungen und Unterstützung zur Beseitigung zukünftiger Risiken
Auf Basis des Abschlussberichts werden wir Ihnen einen umfassenden Massnahmenkatalog erstellen, den Sie auch im Zusammenhang mit unserer CyberSecurity-as-a-Service Lösung abdecken können, sofern gewünscht.
Testverfahren
Testverfahren und Arten von Pentests
Ein externer Pentest simuliert eine externe Bedrohung, die auf die IT-Infrastruktur des Unternehmens abzielt. Der Pentester analysiert die IT-Infrastruktur und sammelt Informationen, um Schwachstellen zu identifizieren, die ausgenutzt werden könnten, um unautorisierten Zugang zu erlangen oder Schäden zu verursachen. Dabei werden verschiedene Techniken wie Fingerprinting, Scannen von Netzwerken und Webanwendungen sowie Social Engineering eingesetzt.
Ein interner Pentest hingegen wird im internen Netzwerk innerhalb der IT-Infrastruktur des Unternehmens durchgeführt. Der Test zielt darauf ab, Sicherheitslücken aufzudecken, die von internen Benutzern ausgenutzt werden könnten, um auf vertrauliche Daten zuzugreifen oder die Systeme des Unternehmens zu beeinträchtigen. Hierbei werden ähnliche Techniken wie beim externen Test verwendet, jedoch sind die Methoden und das Vorgehen in der Regel anders, da der Tester bereits über ein gewisses Mass an Zugriff verfügt und daher gezielter vorgehen kann.
Beide Tests, intern und extern, können je nach Bedarf und Zielsetzung entweder als Blackbox-, Greybox- oder Whitebox-Tests durchgeführt werden. Weitere Informationen finden Sie in unseren Infoboxen:
Blackbox Testing
Der Tester hat keine oder sehr begrenzte Kenntnisse über die Systeme oder Anwendungen, die getestet werden.
Simuliert eine Angriffssituation von aussen (Internet).
Ziel ist es, Schwachstellen aus Sicht eines externen Angreifers zu finden.
Der Tester muss Techniken wie Fingerprinting und Scanning anwenden, um das Netzwerk zu visualisieren.
Testet die Standhaftigkeit des Systems, externe Angriffe abzuwehren.
Greybox Testing
Der Tester hat teilweise Kenntnisse über die Systeme oder Anwendungen, die getestet werden.
Simuliert eine Angriffssituation von innen, wobei der Tester über begrenzte Zugriffsrechte verfügt.
Ziel ist es, Schwachstellen aus Sicht eines internen Benutzers zu finden.
Der Tester hat Zugriff auf Informationen wie System- und Netzwerkarchitektur, Quellcode, Protokolldateien usw.
Es wird getestet, ob Anwender mit begrenztem Zugriff auf das System, in der Lage sind, auf vertrauliche Informationen zuzugreifen oder Schaden anzurichten.
Whitebox Testing
Der Tester hat vollständige Kenntnisse über die Systeme oder Anwendungen, die getestet werden.
Simuliert eine Angriffssituation von innen, wobei der Tester über volle Zugriffsrechte verfügt.
Ziel ist es, Schwachstellen aus Sicht eines Angreifers mit vollständigen Zugriffsrechten zu finden.
Der Tester hat Zugriff auf Informationen wie Quellcode, Datenbankstrukturen, Konfigurationsdateien usw.
Es wird getestet, ob das System ausreichend gegen Insider-Angriffe geschützt ist und ob es mögliche Schwachstellen bei erhöhten Zugriffsrechten gibt.