Pentesting, kurz für Penetration Testing, ist ein proaktiver Ansatz zur Identifizierung von Sicherheitslücken in Ihrer IT-Infrastruktur. Es ist unverzichtbar, da es Ihnen ermöglicht, potenzielle Schwachstellen zu erkennen und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

Durch gezielte Tests und Analysen können wir die Angriffsfläche Ihres Unternehmens minimieren. Wir identifizieren Schwachstellen und bieten Lösungen zur Behebung, um das Risiko eines erfolgreichen Cyberangriffs zu verringern.

Unsere Experten verwenden eine Reihe von branchenführenden Tools und Technologien, die speziell für verschiedene Arten von Pentests ausgewählt werden. Dazu gehören Open-Source-Tools sowie spezialisierte kommerzielle Software.

Es gibt verschiedene Arten von Pentests, darunter Black-Box, White-Box und Grey-Box. Die Auswahl der richtigen Methode hängt von Ihren spezifischen Anforderungen und dem Umfang der zu testenden Systeme ab.

Beim Black-Box Pentesting haben die Tester keinen Zugang zu internen Informationen über das System. Sie sehen das System aus der Perspektive eines externen Angreifers.

Vorteile

• Simuliert realistische Angriffsszenarien
• Keine Voreingenommenheit durch vorheriges Wissen
• Schnelle Identifizierung von Oberflächen-Schwachstellen

Nachteile

• Kann zeitaufwendig sein
• Deckt möglicherweise nicht alle Schwachstellen auf
• Weniger geeignet für komplexe, interne Systeme

Anwendungsbereiche

• Webanwendungen
• Netzwerkinfrastrukturen
• Externe Systeme

Im Gegensatz zum Black-Box Ansatz haben die Tester beim White-Box Pentesting vollen Zugang zu allen Ressourcen, einschließlich des Quellcodes, der Datenbanken und der Netzwerkarchitekturen.

Vorteile

• Sehr gründliche Analyse möglich
• Identifizierung von tiefgreifenden Sicherheitslücken
• Effizienter durch gezielte Tests

Nachteile

• Kann teurer sein
• Erfordert spezialisiertes Fachwissen
• Potenzielle Voreingenommenheit durch zu viele Informationen

Anwendungsbereiche

• Interne Systeme
• Komplexe Anwendungen
• Compliance-Prüfungen

Grey-Box Pentesting ist ein hybrider Ansatz, der Elemente aus beiden vorherigen Methoden kombiniert. Die Tester haben eingeschränkten Zugang zu einigen Informationen des Systems, aber nicht zu allen. Vorteile Balance zwischen Tiefe der Analyse und Realismus Kosteneffizienter als White-Box SchGrey-Box Pentesting ist ein hybrider Ansatz, der Elemente aus beiden vorherigen Methoden kombiniert. Die Tester haben eingeschränkten Zugang zu einigen Informationen des Systems, aber nicht zu allen.

Vorteile

• Balance zwischen Tiefe der Analyse und Realismus
• Kosteneffizienter als White-Box
• Schneller als Black-Box

Nachteile

• Nicht so tiefgehend wie White-Box
• Nicht so realistisch wie Black-Box

Anwendungsbereiche

• Webanwendungen mit Backend-Zugang
• Interne Netzwerke mit externen Schnittstellen
• Systeme, die sowohl interne als auch externe Komponenten haben

Der Prozess beginnt mit einer gründlichen Analyse Ihrer Anforderungen. Anschließend folgt die eigentliche Testphase, in der unsere Experten versuchen, in Ihre Systeme einzudringen. Nach Abschluss des Tests erhalten Sie einen detaillierten Bericht mit unseren Empfehlungen. Die Schritte sehen wie folgt aus:

1. Vorgespräch
2. Bei Bedarf - Beratung bei der Auswahl der richtigen Maßnahme zur Überprüfung der Cybersicherheit
3. Kickoff
4. Durchführung des Penetration Testings nach IT-Sicherheitsstandards.
5. Auflistung der gefundenen Schwachstellen und deren kritische Bewertung
6. Erstellen eines Abschlussberichtes sowie Handlungsempfehlungen 
7. Vorstellung der Ergebnisse (optional)
8. Beratung bei der Behebung der gefundenen Sicherheitslücken (optional)
9. Nachprüfung der gefundenen Sicherheitslücken (optional)
    

Wir setzen auf klare und regelmäßige Kommunikation. Sie werden kontinuierlich über den Fortschritt des Projekts informiert und können jederzeit Fragen stellen oder Anpassungen vornehmen. Bei kritischen Findings (gefundenen Sicherheitslücken) informieren wir Sie umgehend, damit Sie sofortige Maßnahmen ergreifen können.

Ein gründlicher Pentest hilft dabei, sicherzustellen, dass Ihre Systeme sicher sind und damit den Datenschutzbestimmungen entsprechen. Dies minimiert das Risiko von Reputationsschäden, Strafen und schützt die Daten Ihrer Kunden

Wir sind stolz darauf, dass wir hochqualifizierte Experten einsetzen können. Wir investieren sehr viel Zeit und Geld in die Weiterbildung unserer Mitarbeitenden. Hier sehen Sie eine Auswahl der vorhandenen Zertifizierungen: - Offensive Security Certified Professional (OSCP) - Offensive Security Web Expert (OSWE) - Offensive Security Experienced Penetration Tester (OSEP) - ISO 27001

Die Kosten hängen von verschiedenen Faktoren ab und daher je nach Projekt sehr unterschiedlich. Folgende Faktoren beeinflussen die Kosten von Pentests:

• Umfang des Projektes: Eine einfache Webapps wird weniger Kosten als die Überprüfung der gesamten IT-Infrastruktur
• Komplexität des Systems: Ein einfaches Content-Management-System (CMS) wie WordPress wird in der Regel weniger kosten als eine komplexe, maßgeschneiderte E-Commerce-Plattform.
• Art des Pentests: Ein Black-Box-Test könnte weniger kosten als ein White-Box-Test, da letzterer einen tieferen Einblick in den Quellcode und damit mehr Zeit und Expertise erfordert
• Erfahrung und Qualifikation der Pentester: Erfahrene, mehrfach zertifizierte Experten (wie wir sie einsetzen), werden i.d.R. mehr Kosten als Einsteiger. 
• Dauer des Pentests: Ein Pentest, der mehrere Wochen dauert, wird mehr Kosten als ein Pentest, der in 5 Tagen durchgeführt wird
• Zusätzliche Leistungen:  Neben dem reinen Pentest können ja nach Fall auch weitere Leistungen sinnvoll sein, die den Aufwand und die Kosten erhöhen:
  • Ergebnisse gerne mehrfach vorstellen lassen möchten (um bspw. unterschiedliche Stakeholder abzuholen)
  • Mitarbeitenden schulen und sensibilisieren
  •  möchten oder Unterstützung bei der Behebung der Lücken haben möchten

Hier haben wir einen Artikel mit konkreten Beispielen, wie viel ein Pentest kostet

Nach Abschluss des Pentests bieten wir umfassende Unterstützung bei der Behebung der identifizierten Sicherheitslücken. Dies kann von einfachen Empfehlungen bis hin zu einer vollständigen Überarbeitung Ihrer Sicherheitsarchitektur reichen.

Sie erhalten einen detaillierten Bericht, der die gefundenen Schwachstellen, deren Schweregrad und Empfehlungen für deren Behebung enthält. Dies ermöglicht es Ihnen, informierte Entscheidungen zur Verbesserung Ihrer IT-Sicherheit zu treffen. Gerne stellen wir Ihnen bei Interesse auch die Ergebnisse remote oder auch persönlich vor.

Datenschutz und Vertraulichkeit sind für alle Unternehmen und Institutionen relevant. Für manche von Berufsträger sind diese Werte aber noch wichtiger als für andere, da diese besonders sensible Daten verarbeiten. Diese Berufsgruppen werden in §203 des Strafgesetzbuches (StGB) genannt. Diese Berufsgruppen sind dazu verpflichtet, sensible Informationen und Geheimnisse zu wahren, sei es im Rahmen der Rechtsberatung, im Gesundheitswesen, im Journalismus oder in anderen sensiblen Tätigkeitsbereichen. Zu den Berufsgruppen gemäß §203 StGB gehören unter anderem:

1. Rechtsanwälte und Notare: Diese Berufsgruppen haben Zugang zu vertraulichen rechtlichen Informationen ihrer Mandanten und Klienten.

2. Ärzte und Gesundheitsberufe: Hierzu zählen Ärzte, Zahnärzte, Psychiater, Krankenschwestern und andere Angehörige des Gesundheitswesens, die Zugang zu sensiblen medizinischen Patientendaten haben.

3. Versicherungen: Privaten Kranken-, Unfall- oder Lebensversicherung sowie Verrechnungsstellen arbeiten mit sehr vertraulichen Informationen wie Diagnosen und Krankheitsbefunden.

4. Journalisten: Journalisten verarbeiten oft vertrauliche Informationen und schützen ihre Informationsquellen.

5. Apotheker: Apotheker sind für die Vertraulichkeit von Gesundheitsdaten und Medikationsinformationen verantwortlich.

6. Steuerberater und Wirtschaftsprüfer: Diese Berufsgruppen haben Zugang zu finanziellen und geschäftlichen Informationen ihrer Kunden und Mandanten

 

Warum sind Penetrationstests für §203 StGB Berufsgruppen wichtig?

1. Schutz vertraulicher Daten: Berufsgruppen gemäß §203 StGB haben oft Zugang zu hochsensiblen Daten, sei es im juristischen, medizinischen oder journalistischen Kontext. Penetrationstests helfen, die Sicherheit der Systeme zu gewährleisten, die diese Daten verarbeiten, und schützen so vor unbefugtem Zugriff.

2. Prävention von Datenschutzverletzungen: Datenschutzverletzungen können schwerwiegende rechtliche und ethische Konsequenzen haben. Penetrationstests identifizieren potenzielle Schwachstellen in den IT-Systemen und Kommunikationskanälen dieser Berufsgruppen und tragen dazu bei, Datenschutzverletzungen zu verhindern.

3. Aufrechterhaltung des Vertrauens: Das Vertrauen von Mandanten, Patienten oder Informationsquellen ist für diese Berufsgruppen von entscheidender Bedeutung. Durch regelmäßige PenTests können sie zeigen, dass sie die Sicherheit und Vertraulichkeit der ihnen anvertrauten Daten ernst nehmen und aufrechterhalten.

4. Gesetzliche Anforderungen und Compliance: In einigen Fällen sind Penetrationstests gesetzlich vorgeschrieben oder werden von Aufsichtsbehörden empfohlen. Die Einhaltung dieser Anforderungen ist unerlässlich, um rechtliche Konsequenzen zu vermeiden.

Die Auswahl eines geeigneten Pentest-Anbieters ist entscheidend für die Sicherheit und den Schutz Ihrer Unternehmensdaten vor potenziellen Cyberangriffen. Ein erstklassiger Pentest-Anbieter zeichnet sich durch eine Reihe von Qualitäten aus, die Ihnen helfen können, die richtige Wahl zu treffen.

1. Fachwissen und Qualifikationen: Ein hervorragender Pentest-Anbieter verfügt über hochqualifizierte Experten, die über umfangreiche Erfahrung und relevante Zertifikate in der Cybersecurity verfügen. Achten Sie auf Zertifikate wie Offensive Security Certified Professional (OSCP), Certified Ethical Hacker (CEH) oder Certified Information Systems Security Professional (CISSP). Diese Zertifikate bestätigen das Fachwissen und die Fähigkeiten der Experten und sind ein Indikator für deren Engagement für kontinuierliche Weiterbildung. Fortgeschrittene Pentester können auch Zertifizierungen wie OSEP oder OSWE (oder vergleichbar) nachweisen

2. Nachgewiesene Erfolge und Erfahrung: Ein seriöser Anbieter sollte Ihnen nachweisbare Erfahrung präsentieren können. Auch wenn im Bereich Cybersecurity großer Wert auf Diskretion gelegt wird und daher Kundennamen i.d.R: geheim bleiben, so sollte der Pentest Dienstleister eine Reihe von Branchen nennen können, in dem Pentests durchgeführt werden.

3. Umfassende Dienstleistungen und Methoden: Ein erstklassiger Pentest-Anbieter bietet eine breite Palette von Penetrationstest-Dienstleistungen an, die auf verschiedene Aspekte Ihrer IT-Infrastruktur abzielen. Dies umfasst Tests für Webanwendungen, mobile Apps, Netzwerke und mehr. Darüber hinaus sollten sie verschiedene Methoden anwenden, darunter Black-Box-Tests, White-Box-Tests und Grey-Box-Tests, um sicherzustellen, dass alle potenziellen Schwachstellen erkannt werden.

4. Transparente Kommunikation: Transparente Kommunikation ist entscheidend. Ein erstklassiger Anbieter wird regelmäßig mit Ihnen in Kontakt stehen, um den Fortschritt des Projekts zu erläutern, Ihre Fragen zu beantworten und Sie unaufgefordert über kritische Ergebnisse zu informieren. Die Möglichkeit, mit dem Team in Kontakt zu treten, ist ein Zeichen für Transparenz und Professionalität.

5. Unterstützung bei der Behebung von Schwachstellen: Ein professioneller Pentest-Anbieter bietet nicht nur eine Liste von Schwachstellen, sondern auch Unterstützung bei deren Behebung. Sie sollten klare Empfehlungen und Handlungsempfehlungen erhalten, um die Sicherheit Ihrer Systeme zu verbessern.

6. Transparente Berichterstattung: Nach Abschluss des Pentests erhalten Sie einen transparenten Bericht, der detailliert die gefundenen Schwachstellen, deren Schweregrad und klare Empfehlungen für die Behebung enthält. Ein gut strukturierter Bericht ist entscheidend, um die Ergebnisse zu verstehen und geeignete Maßnahmen zu ergreifen.