Penetrationstest, PenTest, Security-Audit

Sie sind hier:>Penetrationstest, PenTest, Security-Audit
Penetrationstest, PenTest, Security-Audit 2018-10-28T18:01:20+00:00

PENETRATIONSTEST

Ein Inter­net Secu­ri­ty Scan bzw. Inter­net Pen­e­tra­tionstest (kurz Pen­Test) sollte regelmäßig durchge­führt wer­den, um Schwach­stellen und poten­zielle Risiken zeit­gerecht zu erken­nen und beheben zu kön­nen. Dies min­imiert die Gefahr ein­er erfol­gre­ichen Hack­er­at­tacke.

1. Die Prüffelder

Penetrations-Test extern - Internet PenTest
Pen­Test aus dem Inter­net & für externe Dien­ste

Schutz vor externen Angriffen

Die Inter­ne­tan­bindung und extern verfügbare Dien­ste wer­den auf Sicher­heitss­chwach­stellen und Angriff­spunk­te unter­sucht.

Penetrations-Test Infrastruktur - Netzwerk - Server
Pen­Test der inter­nen Infra­struk­tur

Schutz vor dem internen Angreifer

Beim Infra­struk­tur Pen­e­tra­tionstest prüfen erfahrene Prüfer die Net­zw­erk- und Server­in­fra­struk­tur auf aus­nutzbare Schwach­stellen.

Penetrations-Test Web-Applikationen
Pen­Test für Web-App­lika­tio­nen

Schutz für Webdienste und Portale

Angreifer haben oft es auf die Inhalte von Web­seit­en, Shops und Por­tale abge­se­hen. Pen-Tester prüfen automa­tisiert und manuell diese wichti­gen Dien­ste.

Penetrations-Test WLAN - Wireless Network Security
Pen­Test für WLAN/Wireless Net­zw­erke

Schutz der Wireless Zugänge

Mit dem WLAN-Pen­Test erhal­ten Sie nach inten­siv­er Prü­fung einen Bericht über die Sicher­heits-Kon­fig­u­ra­tion der WLAN-Zugänge und der daraus ableit­baren Gefahren.

DATENBLATT

IHRE VORTEILE

  • Sie erken­nen Schwach­stellen in Ihrer IT, bevor es zu Prob­le­men kommt.

  • Opti­male Kom­bi­na­tion aus automa­tisierten Tests und manuelle Ein­dringver­suche unser­er IT-Sicher­heits-Spezial­is­ten.

  • Der Abschuss­bericht bein­hal­tet einen Man­age­ment Report und detail­lierte Beschrei­bun­gen der iden­ti­fzierten Schwach­stellen sowie passende Hand­lungsempfehlun­gen.

  • Ihre Mitar­beit­er kön­nen die Prü­fung­shand­lun­gen begleit­en und erhal­ten somit eine zusät­zliche Aus­bil­dung

  • Ihr Kom­pe­ten­zteam aus Öster­re­ich: Vor Ort Erst­ge­spräch und Pla­nung, lokale Durch­führung, vor Ort Abschlusspräsen­ta­tion — Ver­füg­bar u.a. in Wien, Sankt Pöl­ten, Eisen­stadt, Linz, Graz, Salzburg, Kärn­ten, Inns­bruck, Bre­genz

2. Die Methode

BSI stan­dar­d­isiert­er Pen­Test — Alle Pen­Tests wer­den auf Basis des Durch­führungskonzeptes für Pen­e­tra­tionstests des Bun­de­samtes für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) durchge­führt. Dies gewährleis­tet eine struk­turi­erte und method­is­che Vor­gangsweise mit nachvol­lziehbaren Ergeb­nis­sen.

Phase 1, die Vor­bere­itung: Def­i­n­i­tion der zu prüfend­en IP-Adress­bere­iche bzw. Inter­net­do­mains und der organ­isatorischen Rah­menbe­din­gun­gen sowie die Wahl des Prü­fungsansatzes (White- oder Black­box).

Phase 2, die Infor­ma­tions­beschaf­fung: Beschaf­fung aller öffentlich ver­füg­baren Infor­ma­tio­nen über die zu prüfende Infra­struk­tur.

Phase 3, die Bew­er­tung der Infor­ma­tio­nen und Risiko­analyse: Analyse und Bew­er­tung der ermit­tel­ten Schwach­stellen und Risiken. Iden­ti­fika­tion der Sys­teme und Anwen­dun­gen, bei denen poten­zielle Angriff­spunk­te fest­gestellt wur­den.

Phase 4,  aktive Ein­dringver­suche: Auf Basis des tech­nis­chen Berichts von Phase 3 wird gezielt ver­sucht, die poten­ziellen Schwach­stellen auszunützen, um unau­torisierten Zugriff auf Dat­en bzw. Sys­teme zu erhal­ten.

Phase 5, die Abschlus­sanalyse: Im Rah­men der Abschlus­sanalyse wer­den die Ergeb­nisse der Prü­fungs­durch­führung hin­sichtlich möglich­er Risiken (ger­ing, mit­tel, hoch) bew­ertet und konkrete Empfehlun­gen aus­gear­beit­et, um diese zu ver­min­dern.

Ein Black­box Test bedeutet, dass keine über die zu prüfend­en IP-Adressen bzw. Domains hin­aus­ge­hen­den Infor­ma­tio­nen zur Ver­fü­gung gestellt wer­den. Dies entspricht der Aus­gangspo­si­tion die auch externe Angreifer wie Hack­er vorfind­en, wo im ersten Schritt des Angriffes viele Infor­ma­tio­nen über das Angriff­sziel recher­chiert wer­den. Diese Meth­ode wird zumeist dann angewen­det, wenn IT Bere­iche ohne Wis­sen der betreiben­den Abteilun­gen getestet wer­den. Im Gegen­satz zum White­box Test kann beim Black­box Test geprüft wer­den, ob und wann ein Angriff vom Betreiber selb­st erkan­nt wird.

Bei einem White­box Tests wer­den vor Beginn der Prü­fung entsprechende Infor­ma­tio­nen über die rel­e­vante Infra­struk­tur zur Ver­fü­gung gestellt und es find­et eine laufende Abstim­mung mit dem Auf­tragge­ber statt. Hier­durch erhöht sich die Effizienz der einge­set­zten Mit­tel und der Detail­lierungs­grad der Ergeb­nisse, jedoch ent­fall­en die Erken­nt­nisse ob und wann ein Angriff von dem IT Betrieb erkan­nt wird.

3. Die Prüfungsstufe

4. SEC4YOU — wir unterstützen gerne!

Telefon & E-Mail Kontakt

Senden Sie uns Ihre Anfrage per E-Mail oder rufen Sie uns an:

SEC4YOU Advanced IT-Audit Ser­vices GmbH (Cen­tral Office)
Kon­takt: Andreas Schus­ter
In der Fis­cherzeile 13/10
A-2100 Korneuburg bei Wien
Öster­re­ich
Tel:  +43 1 2531 797–0
Email: office@sec4you.com

Nieder­las­sung Tirol
Kon­takt: Man­fred Scholz
Kreuzfeld­strasse 14B/6
A-6275 Stumm in Tirol
Öster­re­ich
Email: office-tirol@sec4you.com

Online Anfrage PenTest