Der Penetration Test
Die IT ist ein integraler Bestandteil nahezu jedes Unternehmens. Die Menge kritischer und vertraulicher Daten, die in IT-Systemen gespeichert sind, wächst ständig, ebenso wie die Abhängigkeit von der unterbrechungsfreien Funktion der genutzten IT-Systeme. Daher werden Angriffe auf Unternehmensnetzwerke, Störungen der Systemverfügbarkeit und andere Möglichkeiten, einem Unternehmen erheblichen Schaden zuzufügen (z. B. Ransomware-Angriffe), immer häufiger. Wichtige Unternehmensinformationen, die durch Sicherheitsverletzungen und Cyberangriffe erlangt werden, können an Konkurrenten verkauft, in öffentlichen Foren veröffentlicht oder für andere schändliche Zwecke verwendet werden. Systemausfälle werden absichtlich herbeigeführt, da sie immer schwieriger zu verhindern sind.
Ein Penetration Test( Pentest) ist ein organisierter, gezielter und autorisierter Angriffsversuch, um die IT-Infrastruktur und ihre Verteidiger zu testen und ihre Anfälligkeit für IT-Sicherheitslücken zu ermitteln. Bei einem Pentest werden Methoden und Techniken verwendet, die auch echte Angreifer verwenden. Als Penetrationstester wenden wir verschiedene Techniken und Analysen an, um die Auswirkungen abzuschätzen, die eine bestimmte Schwachstelle oder eine Kette von Schwachstellen auf die Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme und Daten einer Organisation haben kann.
Ein Penetration Test kann ganz verschiedene Angriffsmuster abdecken und wird mit Ihnen passgenau abgestimmt. Unser Penetration Test kann auf Wunsch folgende Punkte beinhalten:
Externer Penetration Test
Unsere zertifizierten Pentester greifen Ihr Unternehmen ohne Vorkenntnisse an (Black-Box Simulation). Dies ist die realistischste Simulation eines Hacking-Angriffs. Es erfolgen externe Scans und Enumerationen der Endgeräte mit Risikobewertungen dieser Komponenten, Tests von Mailservern, Suche nach vergessenen Dokumenten und OSINT Informationen aus dem Inter- sowie Darknet, Bewertung und Ausnutzung von Zertifikaten (SSL), Verschlüsselungen (TLS Downgrade) sowie SPF, DMARC, DKIM und ähnlichen Schutzmechanismen. Anschließend erfolgen Angriffe basierend auf den gefundenen Schwachstellen.
Social Engineering Tests (Tests der Mitarbeitenden)
Zusätzlich zum digitalen Angriff versucht der Pentester durch selbst erstellte Phishing-Mailings einen simulierten Trojaner ins Haus zu schleusen. Ebenso werden die Mitarbeitenden am Telefon getestet. Da mittlerweile 90% der erfolgreichen Hacking-Angriffe auf eine E-Mail zurückzuführen sind, ist dieser Teil des Tests einer der wichtigsten Punkte - viele unserer Konkurrenten gehen nicht gezielt auf dieses Thema ein wie wir. Es werden im Anschluss Meldesysteme, interne Kommunikation und weitere Faktoren bewertet.
Interner Penetration Test
Was wäre, wenn ein Angreifer schon Zugang zu Ihrem Netzwerk hätte?
Als vermeintlicher "Angreifer" simulieren wir in Ihrem Netzwerk aktuelle Angriffswege moderner Ransomware-Gruppierungen. Rechteverteilung, Active Directory Schwachstellen (Kerberoasting, AS-Rep Roasting uvm), NTLM, LLMNR und DNS Schwachstellen, NULL BINDING & RPC Schwachstellen, LDAP, LAPS sowie mögliche Eskalationswege zum Administrator sind nur einige Punkte, die wir prüfen.
Dies simuliert die Attacke "von innen heraus" - durch eine Schadsoftware, den sich Mitarbeiter*innen eingefangen haben könnten, Angriffe durch ehemalige oder unzufriedene Mitarbeiter*innen oder auch dritte Dienstleister.
Awareness Schulungen
Zu jeden Penetration Test bieten wir unsere interne Mitarbeiterschulung an, denn nur so lässt sich signifikant das Bewusstsein für Cybersicherheit im Unternehmen steigern. Dieser Punkt ist neben der internen Prüfung der wichtigste Teil des Tests - denn bisher lag unsere Erfolgsquote beim Eindringen ins Unternehmen "über den Mitarbeiter" bei 100%.
Red Team Assessment
Zusätzlich zum digitalen Angriff versucht der Pentester physisch in Ihr Unternehmen einzudringen (Magnetkarten-Cloning, Begehung des Objekts, Versuch auf Zugriff sensibler Daten durch Begehung des Objekts, Prüfung der Sicherheitsbarrieren im Hause). Bei einem Red Team Assessment sind dem Angreifer quasi keine Grenzen gesetzt. Diese Angriffssimulation erfolgt in engster Abstimmung mit dem Auftraggeber.
In Kooperation mit der Lernplattform Autohaus Next haben wir eine kurze Videoserie produziert, die die einzelnen Penetration Test Punkte wie
Osint, externer & interner Pentest sowie Social Engineering und Maßnahmen zur Umsetzung erläutert:
