Übersicht und Einordnung aus praktischer Pentest-Perspektive
Der Penetration Testing Execution Standard (PTES) beschreibt eine strukturierte Methodik für die Durchführung von Penetrationstests. Der Standard definiert typische Projektphasen von der Vorbereitung über die technische Analyse bis zur Dokumentation der Ergebnisse. Der PTES wird zwar häufig als Standard für den Ablauf eines Penetrationstests referenziert, ist in der Praxis jedoch selten die alleinige methodische Grundlage. Der Standard entstand ursprünglich um 2010 und wurde seitdem nur begrenzt weiterentwickelt.
Zudem beschreibt PTES den Ablauf eines Penetrationstests bewusst auf einer konzeptionellen Ebene. Die einzelnen Phasen definieren den methodischen Rahmen, enthalten jedoch nur begrenzte technische Detailtiefe für konkrete Prüfungen. Zudem sind Teile der technischen Beschreibung inzwischen veraltet. So werden beispielsweise Windows XP und Windows 7 als Referenzsysteme für Windows-spezifische Werkzeuge genannt. In der praktischen Durchführung werden deshalb zusätzliche technische Leitfäden, projektspezifische Methoden sowie die Erfahrung der Penetrationstester ergänzt.
Die Bekanntheit von PTES in der Branche hängt auch damit zusammen, dass die Projektseite pentest-standard.org seit vielen Jahren ein sehr gutes Ranking in Suchmaschinen erreicht. Dadurch wird PTES häufig als Referenz wahrgenommen, auch wenn viele Pentest-Teams in der praktischen Durchführung stärker auf andere technische Leitfäden und eigene Methodiken zurückgreifen.
Die Durchführungsmethodik der binsec berücksichtigt alle im PTES beschriebenen sinnvollen Projektphasen und Aspekte. Gleichzeitig ist unsere interne Methodik deutlich umfassender. Sie basiert auf einer über viele Jahre entwickelten Prüfmethodik, die moderne IT-Architekturen, aktuelle Angriffstechniken und praktische Projekterfahrung aus unterschiedlichen Infrastruktur- und Anwendungsszenarien berücksichtigt.
PTES unterteilt einen Penetrationstest in mehrere aufeinander aufbauende Projektphasen.
-
Pre-Engagement Interactions
Zu Beginn eines Projekts werden Zielsetzung, Scope und organisatorische Rahmenbedingungen definiert. Dazu gehören die Abstimmung der Testmethodik, Kommunikationswege während des Tests sowie mögliche Einschränkungen oder besonders kritische Systeme. Ziel dieser Phase ist eine klare und nachvollziehbare Definition des Prüfauftrags. -
Intelligence Gathering
In dieser Phase erfolgt die strukturierte Informationsgewinnung über die Zielumgebung. Dazu gehören öffentlich verfügbare Informationen, technische Metadaten, Domains, Netzwerkbereiche oder eingesetzte Technologien. Diese Informationen bilden die Grundlage für die weitere Analyse. -
Threat Modeling
Auf Basis der gewonnenen Informationen werden realistische Angriffsszenarien bewertet. Dabei werden potenzielle Einstiegspunkte, mögliche Angriffspfade und besonders kritische Systeme identifiziert. Ziel ist es, die technische Analyse auf relevante Angriffsszenarien zu fokussieren. -
Vulnerability Analysis
Hier werden mögliche Schwachstellen identifiziert. Prüfwerkzeuge können unterstützend eingesetzt werden. Die eigentliche Analyse, Verifikation und Bewertung der Schwachstellen erfolgt strukturiert und manuell. -
Exploitation
Identifizierte Schwachstellen werden kontrolliert ausgenutzt, um ihre praktische Sicherheitswirkung nachzuweisen. Ziel ist der technisch nachvollziehbare Nachweis des tatsächlichen Risikos. -
Post-Exploitation
Nach einer erfolgreichen Kompromittierung wird untersucht, welche weiteren Auswirkungen möglich sind. Dazu gehören beispielsweise Privilege Escalation, laterale Bewegungen innerhalb eines Netzwerks oder der Zugriff auf sensible Daten. -
Reporting
Die Ergebnisse des Penetrationstests werden strukturiert dokumentiert. Der Bericht beschreibt identifizierte Schwachstellen, deren technische Ursachen, die praktische Ausnutzbarkeit sowie mögliche Auswirkungen auf die Organisation. Ergänzend werden konkrete Empfehlungen zur Behebung der identifizierten Sicherheitsprobleme gegeben.
PTES definiert damit vor allem den methodischen Rahmen eines Penetrationstests. Die tatsächliche Qualität eines Tests entsteht jedoch durch die technische Tiefe der Analyse, die Erfahrung der Tester und eine strukturierte manuelle Prüfung der Zielsysteme.
Unsere Leistung in Kurzfassung:
Durchführung von Penetrationstest (Pentest)
Seit 2013 führt unser zertifiziertes Team Pentest für IT-Infrastrukturen, Webanwendungen, Mobile APP (iOS/Android) und anderen Zielen jeweils mit Hilfe einer strukturierten Vorgehensweise durch, die auf allen relevanten Standards basiert. Als Anbieter für professionelle Pentest legen wir die Bewertung der Schwachstellen anhand des dazugehörigen Business-Risikos fest und erstellen einen Bericht, der eine Zusammenfassung für den IT-Manager sowie die technischen Details zu den identifizierten Schwachstellen enthält. Nachdem Sie die Schwachstellen behoben haben, führen wir in der Regel ohne zusätzliche Kosten einen Nachtest durch.
Kontaktieren Sie unsMehr als 10 Jahre praktische Erfahrung im Bereich Penetration Testing
Keine Subunternehmer oder externen Freelancer
Direkter Kontakt zum verantwortlichen Senior Penetration Tester
Strukturierte, dokumentierte und reproduzierbare Testmethodik auf Basis von PTDoc
Vollständig kontrollierte, eigene Pentesting-Infrastruktur, keine Cloud-Nutzung
Identifizierung technischer und geschäftsrelevanter Sicherheitsrisiken
Risikogewichtete Bewertung von Schwachstellen oder CVSS Bewertung
Bericht mit Management-Übersicht und technischem Detailteil
Nachprüfung der identifizierten Schwachstellen inkludiert
Unsere Leistung in Kurzfassung:
Durchführung von Penetrationstest (Pentest)
Seit 2013 führt unser zertifiziertes Team Pentest für IT-Infrastrukturen, Webanwendungen, Mobile APP (iOS/Android) und anderen Zielen jeweils mit Hilfe einer strukturierten Vorgehensweise durch, die auf allen relevanten Standards basiert. Als Anbieter für professionelle Pentest legen wir die Bewertung der Schwachstellen anhand des dazugehörigen Business-Risikos fest und erstellen einen Bericht, der eine Zusammenfassung für den IT-Manager sowie die technischen Details zu den identifizierten Schwachstellen enthält. Nachdem Sie die Schwachstellen behoben haben, führen wir in der Regel ohne zusätzliche Kosten einen Nachtest durch.
Kontaktieren Sie unsMehr als 10 Jahre praktische Erfahrung im Bereich Penetration Testing
Keine Subunternehmer oder externen Freelancer
Direkter Kontakt zum verantwortlichen Senior Penetration Tester
Strukturierte, dokumentierte und reproduzierbare Testmethodik auf Basis von PTDoc
Vollständig kontrollierte, eigene Pentesting-Infrastruktur, keine Cloud-Nutzung
Identifizierung technischer und geschäftsrelevanter Sicherheitsrisiken
Risikogewichtete Bewertung von Schwachstellen oder CVSS Bewertung
Bericht mit Management-Übersicht und technischem Detailteil
Nachprüfung der identifizierten Schwachstellen inkludiert
PTES inkludierte Vorgehensweise
Ein Penetrationstest ist ein strukturiert durchgeführter Angriff auf IT-Systeme oder IT-Anwendungen, um mögliche Schwachstellen zu identifizieren. Dabei werden die gleichen Werkzeuge und Techniken eingesetzt, die auch reale Angreifer anwenden um in Systeme einzubrechen. Somit ist ein Penetrationstest kein automatischer Schwachstellen-Scan. Im Gegenteil, ein Penetrationstest als Dienstleistung ist immer eine Kombination aus der Anwendung von Security-Tools und der Durchführung manueller Tests, die der Aufdeckung von Schwachstellen dienen. Während ein realer Angreifer nur eine einzige Schwachstelle finden und ausnutzen muss, wird ein Penetrationstester alle relevanten Angriffsvektoren prüfen.
Eine strukturierte Vorgehensweise ist einer der wichtigsten Erfolgsfaktoren als Pentest-Dienstleister, um dies erreichen zu können. Unsere Vorgehensweise basiert auf allen relevanten Standards und Veröffentlichungen und inkludiert auch die Anforderungen vom Standard PTES.
Angebot für einen Pentest erhalten
Die Durchführung eines Penetrationstest ist immer ein Kompromiss aus Aufwand und Kosten, für die Darstellung eines angemessenen Preises. Erfolgreiche Pentest zeigen eine gute Balance zwischen diesen Eigenschaften, um die Prüfung aller relevanten Angriffe und Angriffsvektoren leisten zu können. Die Kosten für einen solchen Test sind immer abhängig vom eingesetzten Zeitaufwand des Penetrationstesters sowie von der Größe und Komplexität des IT-Systems bzw. der Webanwendungen. Während ein Penetrationstest für eine kleine Webanwendung wenige Tage dauert, kann ein Penetrationstest für große Netzwerke schon einmal mehrere Wochen in Anspruch nehmen.
Für ein Pentest-Angebot benötigen wir vorab Informationen über die zu untersuchenden Systeme und Anwendungen. Es ist notwendig, dass wir uns vom Ziel einen ersten Eindruck verschaffen. Bei Webanwendungen sind zum Beispiel Testzugänge hilfreich. Jede zusätzliche weitere Information, z.B. über verwendete Frameworks, wird uns dabei helfen, Ihnen das für Sie passende Angebot zu unterbreiten. Wünschen Sie einen Penetrationstest für ein IT-System, benötigen wir vorab die entsprechenden Netzwerkadressen. In diesem Fall werden wir zunächst einen nichtinvasiven Netzwerkscan durchführen, um uns ein erstes Bild von Ihrem Netzwerk zu machen. Nach unserer Aufwandsschätzung erhalten Sie ein detailliertes Angebot.
binsec GmbH ist ein deutsches Pentest Unternehmen für professionelle Penetrationstests. Bitte nehmen Sie mit uns Kontakt auf, um ein formelles Angebot zu erhalten. Falls Sie Fragen haben, zögern Sie nicht uns anzusprechen. Das Unternehmen binsec GmbH ist Ihr Pentest Anbieter - veranlassen Sie Ihren Pentest noch heute!
Kontaktieren Sie uns
Pentesting
für bestimmte Standards und Anforderungen
Weltweit gibt es zahlreiche Normen oder gesetzliche Vorgaben, die die Durchführung eines Penetrationstests vorschreiben.
binsec GmbH für professionelle Penetrationstest PTES
Die binsec GmbH ist Ihr Pentest Unternehmen für PTES und andere relevante Standards in der Penetration Testing Vorgehensweise. Erhalten Sie ein Pentest Angebot ohne typischen Verkaufsunsinn. Reden Sie mit Experten anstelle von Pre-Sales-Beratern. Better pentesting. No nonsense. Als professioneller Penetration Test Anbieter machen wir einiges anders als andere Firmen: Als Dienstleister für Penetration Testing verkaufen wir automatisierte Schwachstellenscans nicht als Pentest. Wir betrachten auch geschäftliche Sicherheitsrisiken. Sie suchen ein Unternehmen für einen professionell durchgeführten Penetrationstest? Nehmen Sie das Team der binsec für Ihren PTES Pentest!
Kontaktieren Sie uns
Häufig gestellte Fragen
Die Antwort auf diese Frage lässt sich schwer pauschalisieren, da das eingesetzte Toolset grundsätzlich vom jeweiligen Prüfobjekt abhängt. So setzen wir selbstverständlich Tools wie nmap bei der Überprüfung von IT-Infrastrukturen oder die Burp Suite Professional im Fall von Webanwendungen ein.
Jedoch sind wir der Meinung, dass die Veröffentlichung einer Tool-Liste reine Augenwischerei ist, da jedes Zielsystem individuell betrachtet werden sollte. Sie können uns aber gerne am Ende der Durchführung nach den eingesetzten Tools fragen.
Das Hosten einer kritischen Geschäftsanwendung bei einem Cloud-Anbieter wie Amazon AWS, Microsoft Azure, Google Cloud oder Hetzner Cloud ist immer verbreiteter.
Selbstverständlich führen wir Penetrationstests für Anwendungen durch, die in der Cloud betrieben werden. Dies gilt auch für Penetrationstests von IT-Infrastrukturen in der Cloud, sofern die virtuellen Maschinen nicht vom Cloud-Anbieter selbst verwaltet werden.
Wir führen Penetrationstests für praktisch jede IT-Umgebung, jedes IT-System, jede Anwendung oder jedes Netzwerk durch – bis hin zu Protokoll-Fuzzing. Lediglich die Analyse von Hardwarechips unter dem Mikroskop überlassen wir anderen.
Typische Prüfobjekte unserer Penetrationstests sind unter anderem:
Webanwendungen und APIs
Mobile Anwendungen
Server, Plattformen und Infrastruktur
- Webserver Penetrationstest
- Netzwerk Penetrationstest
- Firewall Penetrationstest
- WiFi / WLAN Penetrationstest
- Active Directory (AD) Penetrationstest
- RDP Server / Remote Desktop Penetrationstest
Container und DevOps
Identität und Authentifizierung
+49 692475607-0