Penetrationstest

Schwachstellen in IT-Systemen können für viele Unternehmen schwerwiegende Konsequenzen haben. Wenn durch einen erfolgreichen Angriff beispielsweise ganze Produktionsanlagen und kritische Infrastrukturen ausfallen, kann in kürzester Zeit ein hoher wirtschaftlicher Schaden entstehen. Die Bedrohungsszenarien und Auswirkungen für ein Unternehmen sind dabei sehr individuell. Dies gilt es auch bei der Sicherheitsprüfung von IT-Umgebungen oder von einzelnen Komponenten zu berücksichtigen. Mit einem Penetrationstest bieten wir Ihnen hierzu eine gezielte Überprüfung von IT-Umgebungen oder von einzelnen Komponenten, unter Berücksichtigung individueller Bedrohungsszenarien. Zielsetzung eines Penetrationstests ist hierbei insbesondere die Bewertung vorhandener Risiken für die spezifischen Bedrohungsszenarien. Es soll zudem eine Aussage getroffen werden, was ein Angreifer in einem begrenzten Zeitfenster im schlimmsten Falle erreichen kann. Der Penetrationstest umfasst üblicherweise folgende Punkte: * Erfassung erreichbarer externer und / oder interner IT-Systeme und Dienste * Identifikation von Schwachstellen auf Basis der definierten Bedrohungsszenarien * Ausnutzung bzw. manuelle Verifikation identifizierter Sicherheitslücken mittels direkter Angriffe auf Systeme * Iteration der vorherigen Schritte bei Vordringen in weitere Bereiche der Systeme bzw. der Infrastruktur (Post Exploitation) * Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung Test- und Angriffsszenarien können innerhalb des Assessments gegenüber den Systemverantwortlichen erläutert und bei Bedarf angepasst werden. Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile: * Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus * Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik * Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen) * Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen * Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch) * Beschreibung von Maßnahmen zur Behebung der Schwachstellen * Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.