Penetration Testing (Pentest)

Was ist ein Penetrationstest?

Ein Penetrationstest ist ein strukturiert durchgeführter Angriff auf IT-Systeme oder IT-Anwendungen, um mögliche Schwachstellen zu identifizieren. Dabei werden die gleichen Werkzeuge und Techniken eingesetzt, die auch reale Angreifer anwenden um in Systeme einzubrechen. Ein solcher Penetrationstest ist immer eine Kombination aus der Anwendung von Security-Tools und der Durchführung manueller Tests, die der Aufdeckung von Schwachstellen dienen. Während ein realer Angreifer nur eine einzige Schwachstelle finden und ausnutzen muss, wird ein Penetrationstester alle relevanten Angriffsvektoren prüfen. Ein Penetrationstest zeigt somit auf, ob ein Angreifer in der Lage wäre Ihre IT-Anwendungen oder IT-Systeme zu infiltrieren.

Unsere Pentest-Vorgehensweise

Wir haben uns auf Penetrationstests für IT-Systeme, Webanwendungen, mobile Apps und IoT-Geräte spezialisiert. Unsere Vorgehensweise orientiert sich an den Vorgaben des OSSTMM, wie auch am OWASP Testing Guide und beachtet je nach Kundenwunsch zudem die Anforderungen des PCI DSS. Eine strukturierte Vorgehensweise ist einer der wichtigsten Erfolgsfaktoren, um reproduzierbare Ergebnisse liefern zu können. Im Anschluss an die Testdurchführung, erhalten Sie von uns einen detaillierten Bericht. Dieser enthält sowohl eine Managementzusammenfassung als auch einen technischen Bericht zu allen identifizierten Schwachstellen.

Kosten von Pentests

Die Durchführung eines Penetrationstests ist immer ein Kompromiss aus Aufwand und Kosten. Erfolgreiche Pentests zeigen eine gute Balance zwischen diesen Eigenschaften, um die Prüfung aller relevanten Angriffe und Angriffsvektoren leisten zu können. Die Kosten für einen solchen Test sind immer abhängig vom eingesetzten Zeitaufwand des Penetrationstesters sowie von der Größe und Komplexität des IT-Systems bzw. der Webanwendungen. Während ein Penetrationstest für eine kleine Webanwendung etwa einen Tag dauert, kann ein Penetrationstest für große Netzwerke schon einmal mehrere Wochen in Anspruch nehmen. Die meisten Tests können jedoch in weniger als einer Woche durchgeführt werden.

Für ein verbindliches Angebot benötigen wir vorab Informationen über die zu untersuchenden Systeme und Anwendungen. Es ist notwendig, dass wir uns vom Ziel einen ersten Eindruck verschaffen. Bei Webanwendungen sind zum Beispiel Testzugänge hilfreich. Jede zusätzliche weitere Information, z.B. über verwendete Frameworks, wird uns dabei helfen, Ihnen das für Sie passende Angebot zu unterbreiten. Wünschen Sie einen Penetrationstest für ein IT-System, benötigen wir vorab die entsprechenden Netzwerkadressen. In diesem Fall werden wir zunächst einen nichtinvasiven Netzwerkscan durchführen, um uns ein erstes Bild von Ihrem Netzwerk zu machen. Nach unserer Aufwandsschätzung erhalten Sie ein detailliertes Angebot.

Bitte nehmen Sie mit uns Kontakt auf, um ein formelles Angebot zu erhalten. Falls Sie Fragen haben, zögern Sie nicht uns anzusprechen.

FAQ

Ja, natürlich. Bitte kontaktieren Sie uns für ein Angebot und einen Beispielbericht.
Wir nutzen eine Kombination aus Open-Source-Tools, lizenzierten kommerziellen Tools und Werkzeugen, die wir selbst entwickelt haben – insbesondere für API-Fuzzing. Das bekannte Kali Linux verwenden wir nicht mehr, da wir nach Upgrades größere Probleme hatten. Wir setzen stattdessen das gute alte Debian Linux als unser OS ein, um Penetrationstests durchzuführen.

Manche unserer Mittbewerber veröffentlichen Listen der eingesetzten Tools und ihrer Versionen. Aber wir sind der Meinung, dass das reine Augenwischerei ist: Natürlich setzen wir Tools wie nmap & Co. ein, aber das richtige Toolset hängt vom jeweiligen Ziel ab und variiert auch während des laufenden Pentests.
Wenn Sie Schwachstellen innerhalb einer angemessenen Zeit beheben, prüfen wir gerne kostenlos nach.

Kontaktieren Sie uns über Penetrationstests

Sie haben eine Frage zu unserer Dienstleistung? Sie wünschen ein Angebot? Nutzen Sie unser Kontaktformular oder rufen Sie uns an unter +49 69 2475607-0.

Pentests: Ihre Vorteile

  • Identifizierung von Schwachstellen
  • Risikogewichtete Bewertung
  • Detaillierter Bericht
  • Zertifizierte Sicherheitsexperten