PENETRATIONSTEST

Ein Inter­net Secu­ri­ty Scan bzw. Inter­net Pene­tra­ti­ons­test (kurz Pen­Test) soll­te regel­mä­ßig durch­ge­führt wer­den, um Schwach­stel­len und poten­zi­el­le Risi­ken zeit­ge­recht zu erken­nen und behe­ben zu kön­nen. Dies mini­miert die Gefahr einer erfolg­rei­chen Hackerattacke.

1. Die Prüffelder

Penetrations-Test extern - Internet PenTest
Pen­Test aus dem Inter­net & für exter­ne Dienste

Schutz vor exter­nen Angriffen

Die Inter­net­an­bin­dung und extern verfügbare Diens­te wer­den auf Sicher­heits­schwach­stel­len und Angriffs­punk­te untersucht.

Penetrations-Test Infrastruktur - Netzwerk - Server
Pen­Test der inter­nen Infrastruktur

Schutz vor dem inter­nen Angreifer

Beim Infra­struk­tur Pene­tra­ti­ons­test prü­fen erfah­re­ne Prü­fer die Netz­werk- und Ser­ver­in­fra­struk­tur auf aus­nutz­ba­re Schwachstellen.

Penetrations-Test Web-Applikationen
Pen­Test für Web-Applikationen

Schutz für Web­diens­te und Portale

Angrei­fer haben oft es auf die Inhal­te von Web­sei­ten, Shops und Por­ta­le abge­se­hen. Pen-Tes­ter prü­fen auto­ma­ti­siert und manu­ell die­se wich­ti­gen Dienste.

Penetrations-Test WLAN - Wireless Network Security
Pen­Test für WLAN/Wireless Netzwerke

Schutz der Wire­less Zugänge

Mit dem WLAN-Pen­Test erhal­ten Sie nach inten­si­ver Prü­fung einen Bericht über die Sicher­heits-Kon­fi­gu­ra­ti­on der WLAN-Zugän­ge und der dar­aus ableit­ba­ren Gefahren.

DATENBLATT

IHRE VORTEILE

  • Sie erken­nen Schwach­stel­len in Ihrer IT, bevor es zu Pro­ble­men kommt.

  • Opti­ma­le Kom­bi­na­ti­on aus auto­ma­ti­sier­ten Tests und manu­el­le Ein­dring­ver­su­che unse­rer IT-Sicherheits-Spezialisten.

  • Der Abschuss­be­richt beinhal­tet einen Manage­ment Report und detail­lier­te Beschrei­bun­gen der iden­ti­f­zier­ten Schwach­stel­len sowie pas­sen­de Hand­lungs­emp­feh­lun­gen.

  • Ihre Mit­ar­bei­ter kön­nen die Prü­fungs­hand­lun­gen beglei­ten und erhal­ten somit eine zusätz­li­che Ausbildung

  • Ihr Kom­pe­tenz­team aus Öster­reich: Vor Ort Erst­ge­spräch und Pla­nung, loka­le Durch­füh­rung, vor Ort Abschluss­prä­sen­ta­ti­on — Ver­füg­bar u.a. in Wien, Sankt Pöl­ten, Eisen­stadt, Linz, Graz, Salz­burg, Kärn­ten, Inns­bruck, Bregenz

2. Die Methode

BSI stan­dar­di­sier­ter Pen­Test — Alle Pen­Tests wer­den auf Basis des Durch­füh­rungs­kon­zep­tes für Pene­tra­ti­ons­tests des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) durch­ge­führt. Dies gewähr­leis­tet eine struk­tu­rier­te und metho­di­sche Vor­gangs­wei­se mit nach­voll­zieh­ba­ren Ergebnissen.

Pha­se 1, die Vor­be­rei­tung: Defi­ni­ti­on der zu prü­fen­den IP-Adress­be­rei­che bzw. Inter­net­do­mains und der orga­ni­sa­to­ri­schen Rah­men­be­din­gun­gen sowie die Wahl des Prü­fungs­an­sat­zes (White- oder Blackbox).

Pha­se 2, die Infor­ma­ti­ons­be­schaf­fung: Beschaf­fung aller öffent­lich ver­füg­ba­ren Infor­ma­tio­nen über die zu prü­fen­de Infrastruktur.

Pha­se 3, die Bewer­tung der Infor­ma­tio­nen und Risi­ko­ana­ly­se: Ana­ly­se und Bewer­tung der ermit­tel­ten Schwach­stel­len und Risi­ken. Iden­ti­fi­ka­ti­on der Sys­te­me und Anwen­dun­gen, bei denen poten­zi­el­le Angriffs­punk­te fest­ge­stellt wurden.

Pha­se 4,  akti­ve Ein­dring­ver­su­che: Auf Basis des tech­ni­schen Berichts von Pha­se 3 wird gezielt ver­sucht, die poten­zi­el­len Schwach­stel­len aus­zu­nüt­zen, um unau­to­ri­sier­ten Zugriff auf Daten bzw. Sys­te­me zu erhalten.

Pha­se 5, die Abschluss­ana­ly­se: Im Rah­men der Abschluss­ana­ly­se wer­den die Ergeb­nis­se der Prü­fungs­durch­füh­rung hin­sicht­lich mög­li­cher Risi­ken (gering, mit­tel, hoch) bewer­tet und kon­kre­te Emp­feh­lun­gen aus­ge­ar­bei­tet, um die­se zu vermindern.

Ein Black­box Test bedeu­tet, dass kei­ne über die zu prü­fen­den IP-Adres­sen bzw. Domains hin­aus­ge­hen­den Infor­ma­tio­nen zur Ver­fü­gung gestellt wer­den. Dies ent­spricht der Aus­gangs­po­si­ti­on die auch exter­ne Angrei­fer wie Hacker vor­fin­den, wo im ers­ten Schritt des Angrif­fes vie­le Infor­ma­tio­nen über das Angriffs­ziel recher­chiert wer­den. Die­se Metho­de wird zumeist dann ange­wen­det, wenn IT Berei­che ohne Wis­sen der betrei­ben­den Abtei­lun­gen getes­tet wer­den. Im Gegen­satz zum White­box Test kann beim Black­box Test geprüft wer­den, ob und wann ein Angriff vom Betrei­ber selbst erkannt wird.

Bei einem White­box Tests wer­den vor Beginn der Prü­fung ent­spre­chen­de Infor­ma­tio­nen über die rele­van­te Infra­struk­tur zur Ver­fü­gung gestellt und es fin­det eine lau­fen­de Abstim­mung mit dem Auf­trag­ge­ber statt. Hier­durch erhöht sich die Effi­zi­enz der ein­ge­setz­ten Mit­tel und der Detail­lie­rungs­grad der Ergeb­nis­se, jedoch ent­fal­len die Erkennt­nis­se ob und wann ein Angriff von dem IT Betrieb erkannt wird.

3. Die Prüfungsstufe

4. SEC4YOU — wir unter­stüt­zen gerne!

Tele­fo­ni­scher und schrift­li­cher Kontakt

Schi­cken Sie uns ein E‑mail oder rufen Sie uns an:

SEC4YOU Advan­ced IT-Audit Ser­vices GmbH
Kon­takt: Andre­as Schuster
In der Fischer­zei­le 13/10
A‑2100 Kor­neu­burg bei Wien
Österreich
Tel:  +43 1 2531 797–0
E‑mail: office@sec4you.com

Nie­der­las­sung Tirol
Kon­takt: Man­fred Scholz
Kreuz­feld­stras­se 14B/6
A‑6275 Stumm in Tirol
Österreich
E‑mail: office-tirol@sec4you.com

Online Anfra­ge Cloud Consulting