Pentest: Infos & Anbieter

Q: Ist ein Penetrationstest legal?

Das unerlaubte Hacken von Unternehmen stellt eine Straftat dar. Daher ist es wichtig, einen Pentest Vertrag aufzusetzen, der die Pentester rechtlich absichert. Auch Auftraggeber erhalten dadurch Rechtssicherheit - beispielsweise in Bezug auf potentielle Probleme, die durch den Pentest verursacht werden.

Q: Wie lange dauert ein Pentest?

Wie lange der Penetrationstest dauert, hängt vor allem von der Zielsetzung, aber auch von der gewählten Methodik ab. Ausgefeilte Social-Engineering-Attacken beanspruchen naturgemäß mehr Zeit als ein schneller Website-Pentest. Die Zeitspanne reicht also von wenigen Stunden bis zu mehreren Wochen oder gar Monaten.

Penetration Testing für Deutschland

internal / external IT-Penetrationstest
Black- / Grey- / White-Box-Pentest
Dienstleistung nach BSI-Standards
zertifizierte Dienstleister
deutschlandweites Netzwerk
individuelle Tools

Was ist ein Penetrationstest?

Der Begriff "Penetrationstest" beschreibt eine IT-Sicherheitsüberprüfung - in der Regel von Unternehmen und Behörden. IT-Sicherheitsexperten, sogenannte Ethical Hacker, versuchen dabei ein System zu penetrieren - also in dieses einzudringen - und die zuvor definierte Zielsetzung (Datenschutzverletzung, Ausfall von Infrastrukturen etc.) kontrolliert hervorzurufen. Dabei werden gängige Hackermethoden und Tools verwendet. Auch manuelle Methoden der persönlichen Beeinflussung können genutzt werden (Social-Engineering). Hintergrund des Penetration Testings ist es, Sicherheitslücken aufzuspüren, um IT-Umgebungen nachhaltig und sicher zu gestalten.

Pentest-Arten

Beratung anfordern

Unsere Kunden:

KMU
Großkonzerne
App-Entwickler
Kommunikationsanbieter
Behörden
kritische Infrastruktur (KRITIS)
IOT-Geräte-Hersteller
Pharmaindustrie
Automotive

Black-Box-Test

Der Black-Box-Penetrationstest zeichnet sich dadurch aus, dass die Angreifer / Ethical Hacker kaum bis gar kein Wissen über das Zielobjekt besitzen. Hierdurch lassen sich Schwachstellen an Außenpunkten von Systemen ausmachen. Häufig überschneidet sich die Begrifflichkeit mit dem "externen Penetrationstest".

Grey-Box-Test

Beim Grey-Box-Pentest sind den Pentestern bereits einige (aber noch nicht alle) Daten bekannt - beispielsweise Passwörter oder andere Zugangsdaten. Mit diesem Wissen ändert sich die Methodik - auch neue Angriffsziele werden ins Visier genommen, um weitere Kontrolle über ein System zu erlangen.

White-Box-Test

Im Rahmen des White-Box-Pentests haben die Prüfer nicht nur Zugriff auf ein System, sondern auch auf sämtliche Quellcodes des Ziels. Auch das Infrastruktur-Design sowie Dienstauskünfte sind den Ethical Hackern in diesem Szenario bekannt. Der White-Box-Pentest ist sozusagen die dritte Ausbaustufe.

Ablauf gemäß BSI-Standards /-Richtlinie

Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) empfiehlt einen fünf Stufen Prozess bei der Durchführung von Penetrationstests.

Phasen anzeigen

Bedrohungen

1. Vorbereitungsphase

Ganz am Anfang gilt es, in engster Abstimmung mit dem Auftraggeber Ziele und Umfang des Penetrationstests zu definieren. Soll eine spezielle Anwendung geprüft werden, rücken menschliche Schwachstellen im Bereich Social-Engineering in den Fokus, bezieht sich die Sicherheitsprüfung auf spezielle Apps und Endgeräte und welches Szenario soll gewählt werden? Diese und weitere Fragen werden geklärt. Auch die Vertragsgestaltung wird entsprechend besprochen und umgesetzt.

Definition der Ziele
Definition des Umfangs
Klärung rechtlicher Aspekte

Diskutieren von Risiken
Bereitstellung eines Notfallplans
Auswahl von Testmodulen

2. Sammeln von Informationen

Nach Abschluss der Phase 1 starten die Pentester ihre Arbeit. Diese bezieht sich zunächst auf das Sammeln so vieler Informationen wie möglich. Erst dann ist es möglich, die geeigneten Methoden zu wählen, mit denen der Penetrationstest in einem der nächsten Schritte in die heiße Phase eintaucht.

Auswertung von Erstinformationen
Auswahl geeigneter Methoden
Schwachstellenrecherche

Durchführung der I-Module
Klärung weiterer Aspekte - wenn notwendig

3. Bewertungsphase

Bevor der eigentliche Penetrationstest startet, bewerten die Pentester in einer dritten Phase der Vorbereitung das individuelle Gefahrenpotential des Zielobjekts. In dieser Phase werden beispielsweise Prioritäten definiert sowie Aufwand und Erfolgschancen abgewägt.

Risikobewertung
Definition von Prioritäten
Abwägung von Aufwand / Erfolgsaussicht

Bewertung von Bedrohungen
Definition weiterer Angriffsvektoren

4. Durchführung des Pentests

Die vierte Phase dient der Durchführung des eigentlichen Tests. Hier werden die in Phase 1 definierten Ziele mit der gewählten Methodik angegriffen, um diese zu penetrieren. Schwachstellen werden nun sichtbar und entsprechend dokumentiert.

Umsetzung der Planungen
Penetration der Zielsysteme
parallele Dokumentation

E-Modul Logfiles
E-Modul Ergebnisse

5. Dokumentation + Nachbetreuung

Die letzte Phase dient der Dokumentation und Besprechung der Testergebnisse mit den Auftraggebern. Neben der Darstellung sämtlicher detektierter Risiken können auch Empfehlungen gegeben oder gar weitreichende Aktionspläne entwickelt werden.

Präsentation der Ergebnisse
Darlegung von Empfehlungen
Prüfung weiterer Tests

Erarbeiten eines Aktionsplans
ggfs. Umsetzung der Empfehlungen

1 Zielsetzung

Hacker habe ganz unterschiedliche Ziele: Mal sollen persönliche Daten gestohlen werden, mal steht Industriespionage im Vordergrund und ein anderes Mal geht es um das Lahmlegen einer gesamten Infrastruktur - zum Beispiel einer kritischen Infrastruktur. So nehmen Pentester auch beim Ethical Hacking unterschiedliche, zuvor mit dem Auftraggeber definierte Ziele ins Visier.

2 Durchführung

Der Pentest kann wenige Stunden, aber auch Tage und Wochen dauern: Entscheidend ist immer der mit dem Kunden definierte Rahmen unter Berücksichtigung der Zielsetzung und Methodik. Vor allem im Bereich Social-Engineering können Angriffsvektoren aufeinander aufgebaut und entsprechend kombiniert werden. Dies erfordert Zeit und Know-How.

3 Auswertung

Die Auswertung ist mit das Wichtigste beim Penetration Testing. Nur dank einer lückenlosen Dokumentation lassen sich die aufgespürten Sicherheitsrisiken nachhaltig beheben. Weiterführende Maßnahmen können Anpassungen der IT-Infrastruktur (Cloud-Lösungen, Virtualisierung, neue VoIP-Systeme) aber auch Awarness- und Datenschutzschulungen in Unternehmen sein.

IT-Sicherheit ist keine Kür, sondern eine Pflichtaufgabe - für Unternehmen und Behörden jeder Art und Größe. In einer vernetzten Welt, in der die globalen Bedrohungen Auswirkungen auf jeden einzelnen von uns haben, ist der Fokus auf die Überprüfung von Sicherheitsrisiken und die damit verbundene Implementierung nachhaltiger Standards zu richten.

Zögern Sie nicht, bis es zu spät ist, sondern handeln Sie jetzt. Mein Team und ich beraten Sie umfassend und unverbindlich rund um den Penetrationstest und sind auch weiterführend für Sie da.

Martin Nambli
Zertifizierter IT-Security-Experte

Sicherheit und Performance in perfekter Symbiose

Sicheres Arbeiten im Home-Office
Moderne und sichere Cloud-Lösungen
Datenschutz und Informationssicherheit
Umfassende Beratung
Einrichtung und Betreuung
Sicherheitsanalysen

Kontakt

Rückruf anfordern

Bedrohungen - Methodik

Ein Penetrationstest wird mit den gleichen Methoden durchgeführt, die auch kriminelle Hacker anwenden, um sich Zugang zu IT-Systemen zu verschaffen.

DDos Attacken

DDoS-Angriffe sind eine spezielle Form der DoS-Angriffe. DoS steht dabei für Denial-of-Service. Im Fokus steht die Blockade eines Dienstes durch eine Überlastung des Servers, der unter der Last der Serveranfragen zusammenbricht. DDos-Attacken bezeichnen verteilte (Distributed-Denial-of-Service) Dos-Angriffe. Ein gesamtes Netzwerk an Systemen greift gemeinsam das definierte Ziel an.

Cross-Site-Scripting

Cross-Site-Scripting (XSS) ist eine Angriffsmethode, die sich an Sicherheitslücken in Webanwendungen bedient. Sowohl bei reflektierten, persistenten und DOM-basierten Attacken werden Schadcodes in eine vertrauenswürdige Umgebung transferiert, zum Beispiel eine Website. Ziel kann die Übernahme von Benutzerkonten und damit verbundener Identitätsdiebstahl sein.

SQL-Injection

Vor allem bei fehlerhaft programmierten Apps und Websites mit SQL-Datenbanken ist es möglich, Befehle zu implementieren und diese gezielt zu manipulieren oder durch Übernahme komplett unbrauchbar zu machen. Einfach ausgedrückt bezeichnet die SQL-Injection das Einschleusen (Injection = Einschleusung) von Befehlen in SQL-Datenbanken.

Was wird beim Pentest geprüft?

Der Penetrationstest kann sich auf isolierte Bereiche oder komplette Netzwerke und Systeme beziehen.

Prüfziele im Fokus

Web-Anwendungen
mobile Apps
Websites
Firewalls
VPN

Telefonanlagen / VoIP
Endgeräte
IOT-Umgebungen
APIs / Schnittstellen
WLAN

IT-Revision

Code-Review

Webcheck

Web-Application-Pentest

Hierbei werden Web-Anwendungen, bestehend aus Quellcode, Datenbank und Back-End-Network, attackiert. Mögliche Angriffsmethoden beim Web-Application-Pentest sind SQL-Injection und DDoS-Attacken.

Penetration von Web-Apps
Quellcode und Datenbank
DDoS Angriffe

SQL-Injections
Flooding-Angriffe
Passwort-Cracking

IT-Infrastruktur-Pentest

Sämtliche Hard-und Software-Komponenten befinden sich bei einem IT-Infrastruktur Penetration Test im Visier der Ethical Hacker. Sowohl interne Systeme als auch Cloud-Lösungen und hybride Einrichtungen werden dabei geprüft.

Cloud-Sicherheit
Serversicherheit
Endpoint-Security

Firewall-Hacking
Brute-Force-Angriffe
WLAN Überprüfung

IOT-Penetrationstest

Das Internet der Dinge (engl. “Internet of Things”) nimmt im Alltag immer mehr an Bedeutung zu. Der IoT-Pentest deckt Sicherheitslücken in IOT-Umgebungen auf, indem sämtliche Komponenten wie Server, Apps, Hardware und Schnittstellen einem “Stresstest” unterzogen werden.

embedded device
Firmware check
Web-App Prüfung

Mobile-Apps im Fokus
radio communications
ideal für Hersteller / Entwickler

Externer Pentest

Die öffentlich zugänglichen Systeme werden bei einem externen Penetrationstest geprüft. Dies können Login Bereiche von Websites bzw. CMS-Systemen aber auch Mailserver und Datenbanken sein.

Prüfung von Dateifreigaben
SSH Check
Datenbanken und APIs

Interner Pentest

Der interne Penetrationstest stellt die Prüfung interner Verschlüsselungssysteme und Konfigurationen, aber auch der User Awareness, in den Vordergrund.

Infizieren von Client-PCs
Zugriff über externe Systeme
Physical Access

Martin Nambli

IT-Security-Consultant

Rufen Sie uns kostenfrei an (Mo - Fr von 08:00 - 18:00 Uhr): 0800 589 02 49

Schreiben Sie uns per E-Mail an: [email protected]

Penetration Testing für Deutschland, Österreich & die Schweiz

FAQ - Antworten auf häufige Fragen

Welche Pentest-Tools gibt es?

Eines der am häufigsten verwendeten Tools zur Durchführung von Penetrationstests ist Kali Linux. Dabei handelt es sich jedoch nicht um ein einziges Pentest-Tool, sondern um eine Sammlung an verschiedener Anwendungen. Neben Tools für Pentests umfasst die Linux-Distribution auch Anwendungen für IT-Forensik und andere IT-Security-Assessments.

Hier eine Reihe von Tools aus Kali Linux:

Nmap
Lynis
Fierce
OpenVAS
Nikto
WPScan
Skipfish
CMSMap
Fluxion
Aircrack-ng
Kismet Wireless
Wireshark
John the Ripper
THC Hydra
findmyhash
RainbowCrack
Metasploit Framework
Social Engineering Toolkit
BeEF
Yersinia
DHCPig
FunkLoad
SlowHTTPTest
Inundator
t50

Was kostet ein Penetrationstest?

Die Kosten für einen Penetrationstest sind naturgemäß abhängig vom Umfang des Tests. Einfache Schnellchecks von Websites gibt es bereits für wenige hundert Euro. Große Testszenarien, die zahlreiche Bereiche und Angriffsvektoren umfassen, die nicht selten aufeinander aufbauen, sind entsprechend teurer. Die Standard-Tagessätze von Pentestern liegen zwischen 1.000 und 1.800 Euro. Umfangreiche Tests können also im fünfstelligen Bereich liegen. Die Kosten lohnen sich aber, da Datenschutzverletzungen mit empfindlichen Strafen belegt werden und der Ausfall von IT-Systemen enorme wirtschaftliche Schäden hervorrufen kann.

Ist ein Vulnerability Scan das Gleiche wie ein Penetrationstest?

Im Gegensatz zu einem manuell und individuell geplanten Penetrationstest funktioniert ein Vulnerability Scan vollkommen automatisiert. Die Aussagekraft ist jedoch begrenzt, da nur Schwachstellen detektiert werden können, die der Datenbank des Scanners bekannt sind. Dennoch bieten solche Schwachstellenüberprüfungen einen gewissen Basisschutz und sollten daher in regelmäßigen Abständen durchgeführt werden.

Was bedeutet Red-Teaming?

Red-Teaming kann als weiterführende Maßnahme nach erfolgreichen Pentests gesehen werden, hat jedoch auch gewisse Schnittstellen mit dem Penetrationstest. Ziel des Red-Teamings ist es, Abläufe und Prozesse innerhalb der Organisation zu optimieren und dadurch das Sicherheitsniveau zu stärken. Ein speziell gebrieftes Team, das Red-Team, agiert hierbei aus der Perspektive potentieller Angreifer.

Welches sind die häufigsten Sicherheitslücken in Unternehmen?

Fehlende oder schlecht konfigurierte Firewalls, veraltete Software, blindes Vertrauen in Cloud-Anbieter aus Übersee sowie mangelhafte Awareness zählen zu den größten Sicherheitslücken in Unternehmen die IT Sicherheit betreffend. Vor allem schlecht ausgestattete Heimarbeitsplätze bergen ein großes Risiko. Im Zeitraum 2020/2021 konnte in Deutschland ein gesamtwirtschaftlicher Schaden von rund 223 Milliarden Euro durch Cyberattacken ausgemacht werden. Das Institut der deutschen Wirtschaft schätzt, dass davon alleine 25 Milliarden auf das Homeoffice / Home-Office zurückzuführen sind.

Kann man einen Pentest selber durchführen?

Personen mit Erfahrung im Bereich Hacking sind durchaus in der Lage, Penetrationstests, in jedem Fall aber Teile davon, eigenständig durchzuführen. Wichtig ist allerdings, die Dokumentation, Rechtssicherheit und Notfallplanung im Blick zu behalten. Auch die Nachbetreuung und Umsetzung relevanter Maßnahmen gemäß Aktionsplan sollte Teil der nachhaltigen Sicherheitsstrategie sein. Im Bereich Social-Engineering wird es jedoch schwierig, Angriffsvektoren eigenständig durchzusetzen. Hier sind definitiv externe Personen notwendig.

Ist ein Penetrationstest legal?

Wie wird man Pentester (m/w/d)?

Pentester ist kein geschützter Beruf. Es gibt weder einen Studiengang noch eine Ausbildung, mit der man diesen Titel erlangt. Sehr wohl haben IT-Security-Experten aber die Möglichkeit, sich als Junior / Senior Penetration Tester zertifizieren zu lassen, um ihre Expertise zu demonstrieren. Und hier sind die Voraussetzungen streng: Fast immer ist der Abschluss einschlägiger Studiengänge sowie eine langjährige Erfahrung im Bereich IT-Sicherheit notwendig.

Gängige IT-Security- und Pentester-Zertifikate (Personenzertifikate):

IS-Penetrationstester
Junior Penetration Tester (IHK)
CISSP
CISM
OSCP
T.I.S.P.
CPSSE

Für wen eignet sich ein Pentest?

Teilweise sind Penetrationstests eine Voraussetzung, um als Unternehmen in Deutschland eine Zertifizierung im Bereich IT Sicherheit zu erhalten. Abgesehen von der positiven Außenwirkung einer solchen Zertifizierung erhöht ein Penetrationstest das Schutzniveau der eigenen Organisation entscheidend. Da nicht nur die kritische Infrastruktur, bestehend aus Strom-, Wasser-, Gasversorgung, Transportunternehmen und medizinischem Sektor im Visier von Cyberkriminellen steht, eignet sich der Pentest auch für kleine und mittlere Unternehmen aller Branchen. Auch Entwickler und Produzenten von Anwendungen können die Sicherheit ihre Produkte vor dem Rollout mittels Pentest überprüfen lassen.

Wie lange dauert ein Pentest?

Sicherheit in jedem Unternehmensbereich

Sichere VoIP-Systeme, ein datenschutzrechtlich sicher gestaltetes Home-Office, geprüfte Anwendungen und mehr.

Home-Office

Ein unsicher gestaltetes Home-Office ist an einer Vielzahl von Cyberattacken schuld. Die Folge sind Datenschutzverletzungen und wirtschaftliche Schäden für das gehackte Unternehmen.

Network-Security

Wie steht es um den Schutz Ihrer Endgeräte, Apps und Betriebssysteme? Ein Penetrationstest ist in der Lage, Sicherheitslücken in der gesamten Network-Absicherung aufzudecken.

Cloud-Sicherheit

Cloud-Computing ist die Basis agilen und skalierbaren Arbeitens. Doch Cloud ist nicht gleich Cloud: Oft ist eine Managed-Private-Cloud die sicherste Variante.

Sichere VoIP-Systeme

All IP und Unified Communications: Die Möglichkeiten moderner Kommunikationswege scheinen schier unbegrenzt. Umso wichtiger ist es, deren Sicherheit im Blick zu behalten.

Serversicherheit

Inhouse-Server haben ihre Berechtigung - ebenso wie externe Firewalls im Unternehmen: In vielen Fällen erhöht der Wechsel auf "Infrastructure as a Service (IaaS)" jedoch das Sicherheitsniveau.

Datenschutz

Der Schutz personenbezogener Daten, insbesondere sensibler Informationen, ist eine Pflichtaufgabe für Unternehmen. Verletzungen der DSGVO werden mit empfindlichen Strafen belegt.

Informationen des BSI zum Penetrationstest

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat ein Durchführungskonzept für Penetrationstests erarbeitet. Dieses informiert gleichermaßen über Durchführung, Methodik und Zielsetzung eines Penetrationstests. Das Dokument ist kostenlos verfügbar.

Zum Dokument

Wer sind wir und warum machen wir das?

Wir sind ein Zusammenschluss von IT-Expertinnen und -Experten und haben uns 2022 zusammengefunden, um auf einer zentralen und vor allem übersichtlichen Plattform über Penetrationstests zu informieren. Ziel ist es, den wirtschaftlichen Schaden, der jedes Jahr in Deutschland durch Cyberangriffe entsteht, zu minimieren. Dazu beraten wir telefonisch und vermitteln passende, zertifizierte und handgeprüfte Dienstleister in allen Regionen Deutschlands.

langjährige Erfahrung
zertifizierte IT-Experten
unverbindliche Beratung

Einhaltung von BSI-Standards
eigene Datenschutzbeauftragte
Vertraulichkeit

Fordern Sie einen Rückruf an.

[fc id='3'][/fc]

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.