Penetration Test

Sie sind hier: Startseite » Cybersecurity » Penetration Test

Pentesting (Penetration-Test)

Ein Pentest ist ein wesentliches Instrument in der Cyber-Sicherheit und für einige Unternehmen ab 9/24 beispielsweise in Deutschland sogar gesetzlich vorgeschrieben.
In der Schweiz beispielsweise trat zum 1. Januar 2024 das FINMA-Rundschreiben 2023/1 in Kraft, das sich mit operationellen Risiken und der Sicherstellung der Resilienz bei Banken sowie das überarbeitet FINMA-Rundschreiben zum Prüfwesen in Kraft. Im Bereich Management der Cyber-Risiken (Rz 61-70) wird die Durchführung regelmässiger Verwundbarkeitsanalysen, Penetrationstests und Cyber-Übungen angesprochen.

Was ist ein Pentest

Screenshot 2024-02-12 213216

Laterale Bewegung

Wie der Name ausdrückt, handelt es sich um einen Test, bei dem geprüft wird, ob die Sicherheitsmassnahmen im Bereich der IT (Cybersecurity), welche ein Unternehmen eingeführt hat, auch wirklich funktionieren.

Zu unterscheiden sind daher Penetrationstests von Verwundbarkeitsanalysen. Eine Verwundbarkeitsanalyse (Vulnerability-Scan) ist ein Verfahren bei dem mittels einer Software geprüft wird, ob im Unternehmen Systeme oder Software vorhanden sind, die über bekannte Sicherheitslücken verfügen. Im Rahmen der Analyse werden diese Sicherheitslücken dann aufgelistet und nach Schweregrad sortiert.
Anders beim Pentest; hier werden je nach Befähigung des Pentesters (der im Grunde genommen nichts anderes ist, als ein Hacker) die Systeme des Unternehmens zunächst analysiert. Nun geht der Pentester aber weiter als beim Vulnerability-Scan. Findet er ein angreifbares System, so nutzt er die gefundene Lücke um auf das betroffene System zuzugreifen.
Gelingt ihm dies, versucht der Pentester sich von diesem System aus weiter im Netzwerk des zu testenden Unternehmens zu bewegen und dabei weitere Zugriffe auf andere Systeme und/oder Daten zu erlangen. In der Fachsprache wird diese Vorgehensweise "laterale Bewegung" genannt.
So versucht der Pentester im Rahmen seines Tests so viele Sicherheitssysteme wie möglich zu umgehen und auf so viele Systeme wie möglich Zugriff zu erlangen.

Dies hat zum einen den Sinn, zu überprüfen ob die Sicherheitsmassnahmen des Unternehmens tatsächlich greifen. Zum anderen soll geprüft werden, ob die Administratoren den Angriff erkennen bzw. ob Überwachungssoftware rechtzeitig anschlägt.

Pentesting Erklärvideo

Ihre Vorteile

  • Erkennen von Sicherheitslücken.

  • Prüfung der Sicherheitssysteme.

  • Test der Alarmierung von Administratoren.

  • Bericht über den Status der Cybersicherheit.

  • Anpassung der Risikobewertung durch Erkennen von Zusammenhängen.

Pentesting ist die tatsächliche Prüfung der Cybersecurity
eines Unternehmens mit dem Ziel
Schwachstellen zu erkennen und
Risiken im Kontext korrekt zu bewerten.

Pentesting Arten

Natürlich können Schwachstellen unterschiedlicher Art beim Pentesting getestet werden. In der Regel unterscheidet man grob drei Arten von Pentesting:

1. Pentesting der physischen Sicherheit,
2. Pentesting der externen Systeme und
3. Pentesting der internen Systeme.

Beim Pentesting der physischen Sicherheit werden beispielsweise Sicherheitszonen, Zugang zum Gebäude usw. getestet, bis hin zu den Mitarbeitern (teilweise auch Social Pentesting genannt).
Beim Pentesting der externen Systeme werden in der Regel diejenigen Systeme, welche über das Internet erreichbar sind, beispielsweise Mailserver, Webserver oder VPN-Server.
Beim internen Pentesting geht man davon aus, dass sich der Hacker bereits auf irgendeine Art und Weise bereits Zugang zu einem internen Netz verschafft hat und prüft welchen Schaden er anrichten kann - und - ob der Angriff erkannt wird.

Wir bieten Ihnen grundsätzlich alle drei Pentesting-Arten an, die vorstehend beschrieben wurden.

Pentester

Untitled design

Hacker-Skills

Der Erfolg eines Pentesters hängt im Wesentlichen von seinem Skill-Set ab; somit davon, welche Hacking-Technologien der Pentester beherrscht.
Je besser der Pentester ausgebildet ist und je leistungsfähiger seine Technik ist, desto intensiver kann ein Pentester prüfen.

Gerade wenn es darum geht politisch finanzierte Hacker, organisierte Kriminalität oder Industriespionage in den Griff zu bekommen, hat man es häufig mit Angreifern zu tun, welche nicht nur exzellent ausgebildet sind, sondern auch über erhebliche technische und finanzielle Ressourcen verfügen.
Dementsprechend macht ein Penetration mit einfachen Scripts wenig Sinn, da man damit bestenfalls einen Angriff von sogenannten Script-Kiddies simulieren kann.

Die meisten Hacker sind heute professionell organisierte Gruppen.

Um diesem tatsächlichen Lagebild zu entsprechen, sind unsere Pentester und Pentest-Entwickler zuvor als Pentester/Hacker im militärischen Umfeld tätig gewesen. Dies garantiert professionelles Testing auf höchstem Niveau.

Preis Physisches Pentesting

auf Anfrage

Die Konditionen für physisches Pentesting hängen vom Umfang des Tests ab (z.B. inkl. / exkl. Social Pentesting), Grösse und Anzahl der Unternehmensstandorte usw. ab und werden daher auf Stundenbasis oder Projektbasis individuell kalkuliert.

Preis externes Vulnerability-Scanning

ab 90.00 CHF
jährlich pro Asset zzgl. MWST.

Automatisierte Überwachung Ihrer externen Assets im Rahmen von monatlichen Scans, inkl. monatlichem Management-Report.
Als Asset zählt jede Domain, Subdomain oder IP-Adresse.

Die Mindestlaufzeit beträgt 12 Monate.
Je nach Gesamt-Anzahl der Assets kann sich der finanzielle, monatliche Aufwand pro Asset im Rahmen der Staffelpreise weiter reduzieren. Bitte fragen Sie daher für individuelle Konditionen bei uns an.

Preis internes Pentesting

ab 200.00 CHF
jährlich pro IP-Adresse zzgl. MWST.

Der Preis setzt sich aus der Anzahl der zu prüfenden IP-Adressen innerhalb eines Netzwerkes zusammen.
Für diesen Pentest nach militärischen Standard müssen Sie über mindestens 500 zu prüfende IP-Adressen innerhalb Ihres Netzwerkes verfügen.

Die Mindestlaufzeit beträgt 12 Monate.
Je nach Gesamt-Anzahl der IP-Adressen kann sich der finanzielle, monatliche Aufwand pro IP-Adresse im Rahmen der Staffelpreise weiter reduzieren. Bitte fragen Sie daher für individuelle Konditionen bei uns an.

Erweiterte Hinweise zu unserem Pentest-Angebot

Pentests sind ein Schnappschuss

Ein Pentest ist ein Schnappschuss - eine Prüfung der Situation, so wie diese zum Zeitpunkt des Pentests ist. Aus diesem Grunde fordern diverse Vorgaben (z.B. für europäische Banken Pentests spätestens alle 2 Wochen durchzuführen).

Der Grund ist, dass die meiste Software welche in einem Unternehmen zum Einsatz kommt vom Hersteller regelmässig mit Updates versorgt wird, da entweder Lücken geschlossen oder/und die Software weiterentwickelt wird. Sieht man sich nur Kernanwendungen wie SAP, Microsoft, Adobe an, so werden monatlich im Schnitt Veränderungen im dreistelligen Bereich durch Updates, Upgrades oder Bugfixes vorgenommen.
Jede diese Veränderungen bei jeder Software bewirkt in der Kombination mit anderer Software aber auch wieder neue Risiken und Angriffsflächen.
Da ein Pentest - wie wir gelernt haben - kein Vulnerability-Scan ist, sondern Zusammenhänge erkennt, macht dieser nur Sinn, wenn eine dauerhafte Überwachung stattfindet. Nur so ist eine kontinuierliche Überwachung der Sicherheit möglich.

Testen Sie unsere Pentesting-Fähigkeiten

Gerne bieten wir Ihnen ein POC (Proof of Concept) zu einem reduzierten Preis - für eine kleine Auswahl an IP-Adressen im Unternehmen - an.
Sprechen Sie uns für die Durchführung eines POC bitte an.