Penetrationstest & IT-Sicherheitsanalyse

Die Vernetzung von internen Netzwerken mit dem Internet eröffnet Unternehmen die Möglichkeit, skalierbare Cloud-Lösungen zu nutzen und Prozesse zu optimieren. Allerdings ist ein Netzwerk keine Einbahnstraße, wodurch auch ungebetene Gäste Zugriff auf Endgeräte eines Unternehmensnetzwerks bekommen können. Eine gute Firewall reicht längst nicht mehr aus, um die digitalen Tore abzuriegeln. Im Rahmen einer umfangreichen IT-Sicherheitsanalyse mit Penetrationstest spüren unsere Experten Schwachstellen auf und kommunizieren alle Möglichkeiten, die digitalen Grenzen ihres Unternehmens sicherer zu machen.

IT-Sicherheitsmängel oft durch Datenverlust festgestellt

Gerade im Zuge eines Datenverlustest werden oft IT-Schwachstellen offengelegt. Neben Verbesserungspotenzial an der Backup-Strategie wird oftmals auch eine grundlegende IT-Sicherheitsstrategie erforderlich.

Wir kooperieren als Trusted Advisor mit handverlesenen Partnerunternehmen zur Absicherung Ihrer IT.

Jetzt weitere Informationen anfordern

IT-Schwachstellenanalyse

Eine professionelle Schwachstellenanalyse umfasst sowohl automatisierte als auch manuelle Maßnahmen. Unsere IT-Security-Spezialisten nutzen dabei die gleichen Tools und Methoden, die auch Hacker verwenden, um sich unerlaubt Zugriff auf Systeme. Netzwerke und Endgeräte zu verschaffen.

  • automatisierte Sicherheitstests mit Portscannern und Vulnerability Scannern
  • manuelle Security-Scans
  • Prüfung üblicher Sicherheitslücken
  • manuelle Informationssammlung
  • individuell auf System zugeschnitten
  • Penetration durch spezielle Hacking-Tools
  • empirische Schwachstellenanalyse
  • Anwendung von Social-Engineering Methoden

Social-Engineering

Schwachstellen sind nicht immer digitaler Natur: Beim sog. Social-Engineering (z. Dt. „soziale Manipulation“) versuchen “Hacker” Zielpersonen zu beeinflussen und so an Informationen zu gelangen. Häufige Methoden sind Tailgating, Pretexting und Quid pro Quo. Oft reichen Schulungen von Mitarbeitern und Führungskräften, um das Gefahrenpotential nachhaltig zu minimieren.

  • Einhaltung der Standards des Bundesamtes für Sicherheit (BSI)
  • Analyse gemäß Open Web Application Security Project (OWASP)
  • Tests gemäß Open Source Security Testing Methodology Manual Leitfaden

Ablauf von Ethical Hacking

  1. Analyse  
    Im ersten Schritt analysieren unsere Experten das individuelle Gefährdungspotential in Ihrem Unternehmen. Auf Basis der Analyseergebnisse werden geeignete Tools und Methoden für die Testphase gewählt.
  2. Testphase  
    Bei der Durchführung simulieren unsere IT-Sicherheitsspezialisten echte Hackerangriffe durch gängige Methodik. Dazu zählen unter anderem: Phishing, Pharming, Keylogging, Denial-of-Service-Attacken (DoS),Social-Engineering sowie der Einsatz von Exploits, Deep-Packet-Inspection (DPI) und SQL-Injections.  
  3. Reporting  
    Im anschließenden Report erhalten Sie alle Testergebnisse sowie Empfehlungen für geeignete Schutzmaßnahmen. Gerne setzen wir diese in Absprache mit Ihnen um.

Häufig gestellte Fragen – FAQ

Ihre Frage wird nicht beantwortet? Dann kontaktieren Sie uns gerne persönlich über unser Kontaktformular. Telefonisch sind wir im Rahmen unserer Geschäftszeiten für Sie da.

Welche rechtlichen Aspekte gibt es bei der Durchführung von Penetrationstests zu beachten?

Ohne die ausdrückliche, schriftliche Zustimmung dürfen und werden unsere IT-Sicherheitsexperten keinen Penetrationstest durchführen. Hintergrund: Viele der Maßnahmen stellen in Deutschland eine Straftat dar. Ihre schriftliche Zustimmung sichert uns dahingehend ab, dass im Anschluss an den Penetrationstest keine Strafverfolgung eingeleitet wird.

Ist ein einmaliger Penetrationstest ausreichend?

Die Sicherheitsanalyse spiegelt den Status Quo zum Zeitpunkt des Tests wieder. Weil Hacker immer neue Trojaner, Viren, Tools und Methoden entwickeln, empfehlen wir, den Sicherheitstest in regelmäßigen Abständen zu wiederholen. Zusätzlich empfehlen wir Ihnen die Verwendung eines Vulnerability Scanners (z. B. Nessus). Entsprechende Programme analysieren Zielsysteme automatisch auf das Vorhandensein bekannter Sicherheitslücken hin.

Welche Bereiche werden auf Sicherheitslücken hin überprüft?

Bei einer umfassenden Sicherheitsanalyse mit automatischen und manuellen Methoden werden praktisch alle Teilbereiche und Endgeräte von Netzwerken und Systemen betrachtet. Dies betrifft beispielsweise die Endpoint-Security, Server-, Passwort- und E-Mail-Sicherheit. Auch Software und Internetanwendungen (z. B. Cloud-Dienste) werden auf etwaige Sicherheitslücken hin überprüft.

Was sind die häufigsten Sicherheitslücken in Unternehmen?

Sehr häufig beobachten unsere Experten, dass Empfehlungen zur Passwortsicherheit in Unternehmen nicht umfassend umgesetzt werden. Außerdem werden Software-Updates und -Patches oft nicht rechtzeitig installiert. Im Bereich Social-Engineering sind Mitarbeiter und Führungskräfte selten ausreichend sensibilisiert und geschult.

Logos unserer Partner
Ausgezeichnet.org