500+ Kunden schenken uns ihr Vertrauen, von Startups bis zu Großunternehmen
Einsatzbereich
Abnahmeprüfung vor dem Go-Live einer kritischen Anwendung (selbst entwickelt oder zugekauft) bzw. vor dem Rollout eines IT-Systems (z.B. Windows Client oder Server Template).
Ziele
Befinden sich Schwachstellen in der Applikation bzw. in der Konfiguration der zu testenden Systeme? Ist das Sicherheitsniveau state-of-the-art?
Ergebnis
Eine aussagekräftige Bewertung des Sicherheitsniveaus der App bzw. des Systems mit ausführlichem Bericht über relevante Schwachstellen, inkl. Handlungsempfehlungen.
Penetrationstests
Welches Sicherheitsniveau hat ein bestimmtes IT-Asset oder ein IT-Verbund?
Ein Penetrationstest zielt immer darauf ab, alle sicherheitsrelevanten Schwachstellen und Verbesserungspotenziale eines bestimmten Assets zu identifizieren, um das Sicherheitsniveau zu bewerten.
Generische Fehler identifizieren wir oft bereits in automatisierten Tests durch den Einsatz modernster Tools. Kritische Funktionen werden zusätzlich immer manuell durch erfahrene Penetrationstester untersucht. So finden wir auch logische Fehler und vermeiden False Positives.
Als Ergebnis erhalten Sie einen detaillierten Testbericht, der alle identifizierten Schwachstellen beschreibt, das Risiko bewertet, sinnvolle Empfehlungen ausspricht und in einer Management Summary zusammenfasst.
Pentest Ausprägungen
Pentest von Webanwendungen
Bei einem Pentest von Webanwendungen analysieren wir eine Referenzimplementierung der zu testenden Software in mehreren Stufen. Wir beginnen wie ein normaler Benutzer, um Funktionen, Arbeitsabläufe und den eigentlichen Zweck kennenzulernen.
Darauf aufbauend leiten wir generische und spezifische "Missbrauchsfälle" ab, die die Vertraulichkeit und Integrität der Informationen, die Verfügbarkeit der Anwendung, die Authentizität der handelnden Person oder sogar den ganzen Geschäftsprozess untergraben könnten.
Penetrationstests von Webanwendungen führen wir üblicherweise mit dem Greybox Ansatz durch und betrachten dabei neben der Web GUI selbst auch zugehörige APIs und Webservices sowie die zugrundeliegende Infrastruktur.
Zu einem Penetrationstest gehören die folgenden Schritte:
Vorbereitung
- Abstimmung des Scopes und der Prüftiefe
- Kick-Off-Meeting
Durchführung
- Automatische Scans nach Schwachstellen
- Manuelle Analysen und Hacking
Auswertung
- Erstellung eines detaillierten Berichts
Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:
Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:
- CIS Benchmarks (Review von Konfigurationen)
- IT-Grundschutz (Review von Konfigurationen)
- ISO/IEC 27001:2013 (für technische Audits)
Falls erforderlich bzw. sinnvoll erweitern wie diese um Standards aus dem OWASP-Projekt:
- Application Security Verification Standard (ASVS)
- Web Security Testing Guide
- Mobile Security Testing Guide
- OWASP Top Ten Projects, e.g. for Web Applications
Zusätzlich greifen wir auf unsere HvS Schwachstellendatenbank zurück, die durch unsere Incident Response- und Threat Intelligence Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.
Pentest von FAT Client Anwendungen
Bei einem Pentest von Anwendungen analysieren wir eine Referenzimplementierung der zu testenden Software in mehreren Stufen. Wir beginnen wie ein normaler Benutzer, um Funktionen, Arbeitsabläufe und den eigentlichen Zweck kennenzulernen.
Darauf aufbauend leiten wir generische und spezifische "Missbrauchsfälle" ab, die die Vertraulichkeit und Integrität der Informationen, die Verfügbarkeit der Anwendung, die Authentizität der handelnden Person oder sogar den ganzen Geschäftsprozess untergraben könnten.
Penetrationstests von FAT Client Anwendungen führen wir üblicherweise mit dem Greybox Ansatz durch und betrachten dabei neben der GUI der Anwendung auch das Backend sowie die Kommunikationskanäle.
Zu einem Penetrationstest gehören die folgenden Schritte:
Vorbereitung
- Abstimmung des Scopes und der Prüftiefe
- Kick-Off-Meeting
Durchführung
- Automatische Scans nach Schwachstellen
- Manuelle Analysen und Hacking
Auswertung
- Erstellung eines detaillierten Berichts
Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:
Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:
- CIS Benchmarks (Review von Konfigurationen)
- IT-Grundschutz (Review von Konfigurationen)
- ISO/IEC 27001:2013 (für technische Audits)
Falls erforderlich bzw. sinnvoll erweitern wie diese um Standards aus dem OWASP-Projekt:
- Application Security Verification Standard (ASVS)
- Web Security Testing Guide
- Mobile Security Testing Guide
- OWASP Top Ten Projects, e.g. for Web Applications
Zusätzlich greifen wir auf unsere HvS Schwachstellendatenbank zurück, die durch unsere Incident Response- und Threat Intelligence Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.
Pentest von Clients oder Servern
Typische Testobjekte sind physische oder virtuelle Windows- oder macOS-Clients, Citrix-Server, sowie Basis-Images von Windows-, Linux- oder AIX-Servern, die beispielsweise als Templates für Cloud-VMs oder in einer Container-Registry eingesetzt werden.
Bei einem Client- oder Server-Pentest analysieren wir eine Referenzimplementierung hinsichtlich vieler Aspekte: Sind Zugänge auf ein Minimum beschränkt? Ist das System angemessen gehärtet? Sind alle Komponenten auf dem neuesten Stand, einschließlich Treiber, Betriebssystem, Middleware und Anwendungen von Drittanbietern? Wird eine starke Authentifizierung verwendet und sind administrative Zugriffe eingeschränkt?
Sind lokal gespeicherte Informationen zugriffsgeschützt, angemessen verschlüsselt und enthalten sie keine hochsensiblen Informationen wie zum Beispiel Anmeldedaten? Sind Festplatten verschlüsselt und im Falle von Diebstahl oder Verlust angemessen geschützt?
Penetrationstests von Clients und Servern führen wir üblicherweise mit dem Whitebox Ansatz durch.
Zu einem Penetrationstest gehören die folgenden Schritte:
Vorbereitung
- Abstimmung des Scopes und der Prüftiefe
- Kick-Off-Meeting
Durchführung
- Automatische Scans nach Schwachstellen
- Manuelle Analysen und Hacking
Auswertung
- Erstellung eines detaillierten Berichts
Methodisch orientieren wir uns bei der Durchführung von Penetrationstests an bewährten Leitfäden:
Inhaltlich orientieren wir uns hauptsächlich an etablierten Standards:
- CIS Benchmarks (Review von Konfigurationen)
- IT-Grundschutz (Review von Konfigurationen)
- ISO/IEC 27001:2013 (für technische Audits)
Falls erforderlich bzw. sinnvoll erweitern wie diese um Standards aus dem OWASP-Projekt:
- Application Security Verification Standard (ASVS)
- Web Security Testing Guide
- Mobile Security Testing Guide
- OWASP Top Ten Projects, e.g. for Web Applications
Zusätzlich greifen wir auf unsere HvS Schwachstellendatenbank zurück, die durch unsere Incident Response- und Threat Intelligence Aktivitäten regelmäßig mit neuen Angriffsvektoren und Testfällen gefüttert wird.
Bereit, eine Anwendung, einen Client oder ein Server-Image dem Härtetest zu unterziehen?
Lassen Sie uns den Scope abstimmen, die kommerziellen Aspekte klären und Sie von unseren Fähigkeiten überzeugen.
Individualisierung von Assessments
Penetrationstests sind "der Klassiker" unter den Assessments und in vielen Fällen eine sehr gute Wahl.
Sie stoßen aber an Grenzen, wenn beispielsweise mehrere Komponenten gleichzeitig im Scope sind, aus rechtlichen Gründen oder wegen Ausfallrisiken kein aktives Testen möglich ist oder eine Betrachtung "ohne Betriebsblindheit" gewünscht ist.
Deshalb haben wir unsere Assessmentansätze weiterentwickelt. Sie unterscheiden sich in der Zielsetzung und im Einsatz der verschiedenen Methoden und Techniken. Diese Methoden können wir flexibel kombinieren und Ihnen ein individuelles Assessment anbieten.
Wir benötigen lediglich eine konkrete Zielsetzung bzw. Fragestellung, was Sie mit den Ergebnissen erreichen wollen. Dann finden wir gemeinsam eine gute Balance aus abgedecktem Scope, Prüftiefe und Realitätsgrad und halten dadurch Aufwand und Kosten für das Assessment im Rahmen.
Wir beraten Sie gerne zu individuellen Assessments, nehmen Sie einfach Kontakt auf! Bis dahin können Sie sich schon einmal durch andere Assessments inspirieren lassen.
Weitere HvS Security Assessments
Testen Sie Ihre IT-Sicherheit mit einem Security Stresstest! Erfahren Sie, wie schnell Angreifer Ihr Netzwerk infiltrieren können und welche Schäden ein Angriff anrichten könnte.
Wie gut erkennen und verhindern Sie echte Cyberangriffe? Unser Red Teaming Assessment simuliert Angriffe, deckt Schwachstellen auf und verbessert Ihre Detection.
Das Trainingslager für Incident Response Teams. Wie schnell erkennt Ihr Blue Team Angriffsaktionen? Wird der Schweregrad richtig eingestuft und wie lange dauert es bis zur erfolgreichen Abwehr? Schicken Sie ihr Team ins Trainingslager!
Schutz vor Industriespionage: Unsere Social Engineering Assessments decken physische & digitale Schwachstellen auf – jetzt von unseren Experten beraten lassen.
Die Cloud - egal ob IaaS, PaaS oder SaaS - kann sicher sein, wenn Sie richtig geplant und konfiguriert ist. Wir helfen Ihnen, das sicherzustellen!
Welche Systeme sind erreichbar und potenziell angreifbar? Unser Schwachstellenscan identifiziert Sicherheitslücken, Schatten-IT und vergessene Dienste – bevor es Angreifer tun.