PENETRATION TEST

by COMBACK

PENETRATION TEST

by COMBACK

Penetration Test –
Sicherheitslücken aufdecken

Penetration Tests sind simulierte Angriffe auf Ihre Umgebung aus externen oder internen Quellen. Durch diese Angriffe werden vorhandene Sicherheitslücken von Anwendungen, Netzwerken und Infrastrukturen aufgedeckt.

Auch für den Abschluss einer Cybersecurity-Versicherung sind professionelle Penetration Tests eine Grundvoraussetzung.

Unsere Penetration Tests by COMBACK sind modular aufgebaut und auf Ihre Anforderungen und Ihre Umgebung zugeschnitten.

Module unserer Penetration Tests

Module Penetration Test

Ablauf Penetration Test
by COMBACK

Wie läuft ein Penetration Test
ab der Beauftragung ab?

1

Vorgespräch und Erfassung des Bedarfs

Im Rahmen der Vorbesprechung stellen wir den Status quo fest. Hierbei wird auch die aktuelle Gefährdungslage ermittelt.

2

Informations-beschaffung

Erhebung der für den Angriff relevanten Informationen. Die Betrachtung des Unternehmens aus Sicht eines Angreifers.

3

Durchführung des Tests

Identifikation vorhandener Schwachstellen. Gezielte automatische und manuelle Tests zur Erkennung der
Schwachstellen. Hierbei kommen auch aktuelle Methoden von kriminellen Hackern zum Einsatz.

4

Berichterstellung

Wir fassen in unserem Abschlussbericht die Ergebnisse der Tests und Analysen zusammen.
Die Schwachstellen werden aufgeführt und entsprechende Handlungsempfehlungen werden gegeben.

Penetration Test Konfigurator

Für ein bedarfsgerechtes Angebot benötigen wir ein paar Informationen von Ihnen.
Nutzen Sie dafür unseren Penetration Test Konfigurator.

Penetration Schnelltest

Der Schnelltest ist eine gute Vorstufe zu einem Penetration Test. Der Scan wird entweder für interne oder externe Perimeter durchgeführt.

Weitere Informationen

Leitfaden
des BSI

Jahresbericht

des BSI

Jahresbericht

des BKA

Unsere
Zertifizierungen

Knowledge
Base

6 Gute Gründe

für einen Penetration test

GIVE ME 5  //  FAQ´s

1

Warum sollte ich einen Penetration Test durchführen?
Jedes Unternehmen und jede Institution kann ein Ziel von Angriffen werden und sollte daher über entsprechende Schutzmaßnahmen wie IS-Penetration Tests nachdenken. Nicht nur ein Datenverlust kann brisant sein, sondern auch der Imageschaden bei einem erfolgreichen Angriff.
Ebenso besitzen Unternehmen Know-how, auf dem der wirtschaftliche Erfolg des Unternehmens beruht. Auch hier kann ein Angriff fatale Folgen haben.
Ein Penetration Test soll mögliche vorhandene Schwachstellen aufdecken und bei der Entwicklung der richtigen Sicherheitsmaßnahmen unterstützen.

2

Warum kann ich einen Penetration Test nicht selbst durchführen?

Ein wichtiger Punkt ist die Unabhängigkeit und die Neutralität der Prüfer. Steht ein Prüfer in einem Abhängigkeitsverhältnis zu der getesteten Institution, so fehlt ihm die notwendige Unabhängigkeit. Ein Prüfer muss die Möglichkeit besitzen, ohne Konsequenzen für sich, auch sehr negative Aspekte für die getestete Institution ansprechen zu können. Dies schließt aus, dass IT-Sicherheitstests von eigenem Personal durchgeführt werden.
Ein weiterer Grund für die Verwendung von Externen ist die notwendige Unvoreingenommenheit des Prüfers. Nur wenn ein Prüfer weder in die Organisationsstrukturen der Institution eingebunden ist, noch bei Konzeptionierung oder Betrieb der zu untersuchenden IT-Systeme mitgewirkt hat, kann er einen unvoreingenommenen Blick auf die zu testenden IT-Systeme haben.

3

Welche Rahmenbedingungen muss ich im Vorfeld zu einem Penetration Test beachten?

Die folgenden Rahmenbedingungen müssen bei einem IS-Penetration Test beachtet werden. Der Institution sollte bewusst sein, dass ein IS-Penetration Test möglicherweise auch Daten berührt, die gesetzlichen Regularien unterliegen. Daher ist es notwendig, die folgenden Punkte zu beachten:

  • Vertrag mit der prüfenden Organisation
  • NDA (Non-Disclosure-Agreement) Speicherzeit von Daten mit der prüfenden Organisation
  • Datenschutz
  • Geheimschutz
  • Benachrichtigung von betroffenen Mitarbeitern
  • Wartung der IT-Systeme
  • Zielvorgaben
  • Handlungsgrenzen

4

Welche Verfahren gibt es um einen Penetration Test durchzuführen?
Generell wird bei der Durchführung eines Penetration Tests zwischen White Box-, Black Box- und Grey Box Audit unterschieden, die als Testansatz das Wissensprofil eines Angreifers darstellen. Der Unterschied liegt in der Tiefe und Menge der bereitgestellten Informationen über die zu testende Umgebung. Das BSI empfiehlt hier das White Box Verfahren.

5

Wie viel kostet ein Penetration Test?

Durch die unterschiedlichen zu testenden IT Umfelder der zu testenden Unternehmen gibt es keine klare Antwort auf die Kostenfrage. Maßgeblich sind vor allem die Größe der Umgebung als auch die Tiefe der Tests. Die COMBACK legt Wert darauf, mit Ihnen zusammen schon im Vorfeld einen klaren Umfang zu definieren der für Ihr Unternehmen die richtige Abwägung zwischen Kosten und Nutzen darstellt.

Ihr Kontakt zu uns

Senden Sie einfach das nachfolgende Formular ab - wir werden uns
schnellstmöglich bei Ihnen melden, um über Ihr Projekt zu sprechen.

* Pflichtfelder

Unsere Partner

Unsere Partner