Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
IT-Sicherheit

Penetrationstest

Mit uns können Sie Sicherheitslücken im System identifizieren, bevor andere diese ausnutzen.
Hier anfragen

Ihre Vorteile

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

  • Sicherheit für Unternehmen

    Lassen Sie Ihre Systeme auf Sicherheitslücken testen, um dem Angreifer einen Schritt voraus zu sein. Wir decken Einfallstore auf und beraten Sie mit großer Expertise.

  • Große Flexibilität

    Unsere erfahrenen Pentester verfahren nach anerkannten Standards (NIST, OWASP und BSI). Sie passen sich aber auch immer Ihren individuellen Bedürfnissen und Gegebenheiten an.

  • Erfahrene IT-Experten

    Die hochspezialisierten Berater im Bereich IT‑Sicherheit verfügen über langjährige Erfahrung und Expertise. Fachübergreifende Kompetenzen sorgen für den nötigen Weitblick.

Der Schutz Ihrer Systeme hat Priorität

Was ist ein Penetrationstest?

Bei einem Penetrationstest wird eine gesamte IT‑Infrastruktur, ein einzelnes System oder Teile dessen hinsichtlich ihres Angriffspotentials untersucht. Hierbei werden durch professionelle Pentester, sogenannte White Hats, die Wirksamkeit bereits getroffener Sicherheitsmaßnahmen überprüft und anhand dessen Maßnahmen empfohlen, um ein derartiges Eindringen zu verhindern. Der Fokus liegt dabei auf den Handlungen eines potenziellen Angreifers, um mögliche Schwachstellen in den IT‑Systemen auszumachen, bevor ein ungebetener Hacker, ein sogenannter Black Hat, hierzu die Möglichkeit hat. Bei der Überprüfung kann sowohl die Sicht eines Innen- als auch die eines Außentäters eingenommen werden.

Das endgültige Ziel eines Penetrationstests ist es, ein möglichst umfassendes Gesamtbild über den Sicherheitszustand des Testgegenstands zu erlangen, Sicherheitslücken klar zu benennen, Maßnahmenempfehlungen zur Behebung zu unterbreiten und den möglichen Schaden bzw. „Business Impact“ darzustellen, der bei einem Hackerangriff drohen kann. Alle von uns gewonnen Informationen werden abschließend in einem nachvollziehbaren und ausführlichen Abschlussbericht festgehalten.

Wer benötigt einen Penetrationstest?

Mittlerweile finden Hackerangriffe nicht mehr nur auf größere Behörden oder Unternehmen statt. Auch kleinere Unternehmen bieten einem Angreifer häufig genug Motivation. Um sich genau davor zu schützen, ist es ratsam, sich aus der Sicht eines Angreifers mit den bestehenden Sicherheitsmaßnahmen und eventuellen Schwachstellen rechtzeitig auseinanderzusetzen. Für jede Institution gilt, dass ein Datenverlust weitreichende Folgen mit sich bringen kann. Neben wirtschaftlichen Konsequenzen, z. B. durch den Abfluss sensibler Unternehmensdaten oder verschlüsselten Systemen, drohen auch Imageschäden, interne Vertrauensbrüche und Bußgelder.

So können wir Sie unterstützen

  • Testen und Darstellung des IT‑Sicherheitsniveaus
  • Aufdeckung kritischer IT‑Sicherheitslücken
  • Einordnung der Befunde nach Gefährdungsrisiko
  • Dokumentation und Maßnahmenempfehlungen
  • Regelmäßig durchführbare Penetrationstests für eine langfristig hohe IT‑Sicherheit in Ihrem Unternehmen
Hintergrundgrafik intersoft consulting services AG
Schaffen Sie mit einem Penetrationstest mehr Sicherheit im Unternehmen. Hier unverbindlich anfragen

Unser Ablauf

  • Vorgespräch

    Zunächst werden bei einem Anfangsgespräch Motivation und Zielsetzung des Auftraggebers besprochen. Ebenfalls wird geklärt, ob die Systeme intern oder durch einen externen Dienstleister betrieben werden. Sollte Letzteres der Fall sein, muss der Dienstleister in den Vorgang mit eingebunden werden. Es werden rechtliche Voraussetzungen geschaffen, sowie die zu untersuchenden Systeme definiert und dabei festgelegt, welche Arten von Tests durchgeführt werden dürfen und welche nicht.

  • Durchführung des Pentests

    Danach folgt das Einrichten der Arbeitsumgebung. Bei einem Penetrationstest werden durch technische Audits vorrangig Schnittstellen nach außen untersucht, über die ein potenzieller Angreifer in die IT‑Systeme eindringen könnte. Hierbei werden Konfigurationsfehler sowie softwareseitige Schwachstellen identifiziert. Wie umfangreich ein Penetrationstest abläuft ist abhängig von der Komplexität der zu untersuchenden Systemen und der Zielsetzung.

  • Berichterstellung

    Die gewonnenen Erkenntnisse teilen wir in einem Abschlussgespräch mit und geben Maßnahmenempfehlungen zum Schließen der Sicherheitslücken. Zudem halten wir alle Informationen in einem ausführlichen Bericht fest. Da es sich bei einem Penetrationstest nur um eine Momentaufnahme handelt, ist es ratsam, Tests dieser Art in regelmäßigen Abständen zu wiederholen, um auch langfristig für eine hohe IT‑Sicherheit im Unternehmen zu sorgen.

Häufige Fragen zum Penetrationstest

Wir beantworten Fragen zur Durchführung eines Penetrationstests.

Üblicherweise werden Penetrationstests in Blackbox-, Greybox- und Whitebox‑Tests unterteilt. Dadurch, dass bei einem Blackbox-Test dem Pentester gar keine Informationen zur Verfügung stehen, wird ein Angriff eines typischen Außentäters simuliert, der keinerlei Kenntnisse über das Zielsystem besitzt.

Bei einem Whitebox‑Test stehen dem Pentester hingegen umfangreiche Informationen über die zu testenden Systeme zur Verfügung. Durch die Kenntnisse über die Struktur lässt sich der Angriff besser planen, gezielter durchführen und schneller abschließen. Bei einem Greybox-Test verfügt der Pentester, wie der Name schon vermuten lässt, über eingeschränktes Vorwissen.

Häufig ist man sich als Kunde unsicher, welches Testverfahren das richtige für das Unternehmen darstellt. Gerne beraten wir Sie auch dahingehend in unserem ausführlichen Vorgespräch und zeigen Ihnen den Nutzen, aber auch die mit den Tests verbundenen Risiken auf.

Die gewonnenen Erkenntnisse teilt der Pentester in einem Abschlussgespräch dem Unternehmen mit und gibt Maßnahmenempfehlungen zum Schließen der Sicherheitslücken. Zudem hält er alle Informationen zur Methodik, der Durchführung und die erzielten Ergebnisse in einem ausführlichen Bericht fest.

Hackerangriffe entwickeln sich ständig weiter und finden immer wieder neue Wege, um in ein IT‑System einzudringen. Um wertvolle Unternehmensdaten zu schützen und Zeit und Kosten für eine aufwändige Nachverfolgung im Fall eines Hackerangriffs zu sparen, emphielt es sich, die eigene IT‑Infrastruktur regelmäßig auf Sicherheitslücken zu überprüfen. Häufige Ansatzpunkte für einen Pentest sind dabei unter anderem Sicherheits‑Gateways, Server, Clients, Webanwendungen und drahtlose Netze. Diese können im Detail auf ihre Sicherheit hin von uns untersucht werden.

Dabei können unter anderem Systeme zum Test festgelegt werden, die durch ihre IP‑Adressen identifiziert werden. Hierbei kann der Kunde entscheiden, ob alle IP‑Adressen getestet werden sollen oder ob vorher eine Auswahl getroffen wird. Desweiteren können Webapplikationen oder Webservices als Testgegenstand fungieren. Hierbei werden entweder der jeweilige Dienst selbst oder dessen bereitgestellter Funktionsumfang untersucht. Soll der Pentest zur Unterschung von Wireless LANs (WLANs) dienen, werden ausgewählte Netzwerke untersucht oder die gesamte WLAN‑Infrastruktur an einem Standort des Kunden.

Bei einem Penentrationstest handelt es sich um eine Momentaufnahme der zu untersuchenden Systeme. Es ist unter anderem auch eine Frage der Zeit und des Aufbaus der IT, wie viele Komponenten während einer einzigen Untersuchung auf ihre Sicherheit getestet werden können. Daher ist es ratsam, einen Penetrationstest in regelmäßigen Abständen und mit unterschiedlichen Schwerpunkten durchzuführen, um auch langfristig für ein hohes IT‑Sicherheitsniveau im Unternehmen zu sorgen.

Anders als bei einer IT‑Schwachstellenanalyse werden Funde dahingehend untersucht, ob das System tatsächlich über diesen verwundbar ist, also kein False Positiv vorliegt. Dieser Begriff beschreibt vermeintlich erkannte Schwachstellen, die jedoch nur fälschlicherweise erkannt wurden, oder nicht ausnutzbar sind. Diese werden im Unterschied zu einer IT‑Schwachstellenanalyse nicht verifiziert. Somit ist ein Penetrationstest vom Umfang und aus Kostengesichtspunkten gewichtiger als eine IT‑Schwachstellenanalyse. Es werden False Positives erkannt, reduziert und gefundene Schwachstellen aktiv ausgenutzt. Die hieraus gewonnenen Kenntnisse geben Auskunft über mögliche Schäden und das reale Ausmaß der Angreifbarkeit. Somit wird möglichst tief in die IT‑Infrastruktur eingedrungen, um dem Kunden anhand der Funde die Auswirkungen der Schwachstellen auf das Unternehmen darzulegen.

Bei einem Penetrationstest werden durch technische Untersuchungen in erster Linie Schnittstellen, die nach außen gerichtet sind, untersucht, über die ein potenzieller Angreifer in die IT‑Systeme eindringen könnte. Konfigurationsfehler sowie softwareseitige Schwachstellen sind dabei das Ziel. Wie umfangreich ein Penetrationstest abläuft, ist im Wesentlichen von der zu untersuchenden Hard- und Software abhängig. Die Prüfungsintensität wird je nach Wunsch des Beauftragenden abgesprochen und das Risiko eines Eindringens abgeschätzt und daran orientiert, ob es sich um kritische Bereiche handelt. Unsere erfahrenen IT‑Experten gehen im ausführlichen Vorgespräch mit Ihnen alle möglichen Chancen und Risiken durch und führen keine Schritte durch, die nicht vorher mit Ihnen vereinbart und vertraglich festgehalten wurden.

Hintergrundgrafik intersoft consulting services AG
Sicherheitslücken erkennen? Behalten Sie mit uns die Kontrolle über Ihr Netzwerk. Hier unverbindlich anfragen

Spezialisierte Berater für Ihre IT‑Sicherheit

Erfahrene Berater liefern passende Lösungen für Ihr Unternehmen. Lernen Sie hier eine Auswahl kennen.

Alle Berater anzeigen

Aufgelistet finden Sie Zertifikate und Mitgliedschaften der Unternehmensgruppe, die unseren hohen Anspruch belegen.

Cyber-Security Practitioner

Cyber-Security Practitioner

Mehrere Mitarbeiter der intersoft consulting services AG sind durch die Information Systems Audit and Control Association (ISACA) zum Cyber Security Practitioner (CSP) zertifiziert. Dies ist ein Zertifikatskurs in Kooperation mit der Allianz für Cybersicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Damit ist man als Experte auf diesem Gebiet qualifiziert und in der Lage, einen Cyber-Sicherheits-Check durchzuführen, um die Cyber-Sicherheit in Unternehmen und Behörden zu beurteilen.
Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit

Die Allianz für Cyber-Sicherheit (ACS) ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), welche sich proaktiv der Bekämpfung von Cyber-Bedrohungen widmet. Die intersoft consulting services AG ist Partner der ACS und engagiert sich proaktiv, um die IT-Sicherheit in Unternehmen zu stärken.
Top-Berater

Top-Berater

intersoft consulting services hat die Auszeichnung „Top-Berater“ erhalten und ist somit ins Qualitätsregister für Berater von ServiceValue aufgenommen. Im Rahmen eines Prüfverfahrens von ServiceValue und dem Hamburger Consulting Club (HCC) wurden die Gebiete Company, Collaboration und Competence bewertet sowie das Testat mit herausragendem Prüfergebnis erstellt.
Competence Center for Applied Security Technology e.V. (CAST)

Competence Center for Applied Security Technology e.V. (CAST)

Als CAST-Mitglied genießen wir den Zugang zu einem etablierten Kompetenznetzwerk. Der Verein ist Ansprechpartner für IT-Sicherheit und modernster Informationstechnologie und bieten vielfältige Dienstleitungen sowie Wissens- und Erfahrungsaustausch auf hohem Niveau.
ISO 9001 zertifiziert

ISO 9001 zertifiziert

Mit der Zertifizierung seines Qualitätsmanagements nach ISO 9001 dokumentiert die intersoft consulting services AG ihr Streben nach stetiger Verbesserung der Dienstleistungen, Prozesse und Kosteneffizienz, um die Zufriedenheit von Kunden und Mitarbeitern weiter zu erhöhen.
Zertifikat öffnen
Cyber-Sicherheitsnetzwerk (CSN)

Cyber-Sicherheitsnetzwerk (CSN)

Das Cyber-Sicherheitsnetzwerk (CSN) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist ein freiwilliger Zusammenschluss qualifizierter IT‑Sicherheitsexperten für IT‑Sicherheitsvorfälle. Die intersoft consulting services AG stellt als Mitglied des CSN ihr Know-how zur Verfügung und ist als qualifizierter Dienstleister im Bereich Incident Handling / Response gelistet.
Advanced Persistent Threat (APT)

Advanced Persistent Threat (APT)

intersoft consulting ist qualifizierter APT-Response-Dienstleister des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und dort offiziell gelistet. Damit erfüllt das Unternehmen die gemäß § 3 BSIG Auswahlkriterien, um gezielte Angriffe starker Gegner (Advanced Persistent Threat, APT) abzuwehren. Bei der Aufnahme als Dienstleister wird vom BSI auf eine Vielzahl von Kriterien geachtet. Eine durchgängige Erreichbarkeit sowie technische Ausstattung spielen dabei ebenso eine tragende Rolle wie juristisches Fachwissen.
Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz

Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz

Unser Mitarbeiter Ralf Lüneburg ist durch das BSI personenzertifizierter Auditteamleiter für ISO 27001‑Audits auf der Basis von IT‑Grundschutz. Er stützt sich bei seiner Arbeit auf eine über zwanzigjährige Berufserfahrung im Bereich der Informationssicherheit. Darüber hinaus ist er Sachverständiger für Telematikinfrastruktur (gematik) und Auditor für ISO 22031.
  • BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
  • ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
  • GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
  • IT-Sicherheitsbeauftragte (TÜV)
  • Business Continuity Manager (TÜV)
  • Informatiker und Wirtschaftsinformatiker
  • Master of Science Informationsmanagement
  • Bachelor of Science Informatik
  • Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
  • Cloud Information Security (ISO 27017/27018)
  • Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
  • Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
  • Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
  • Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
  • ISO 27701 Lead Implementer
  • TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
  • Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
  • IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
  • Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)

Referenzen

Wir beraten deutschlandweit hunderte Unternehmen und sind daher in allen Branchen vertreten. Dies ist nur ein Auszug unserer Referenzen.

DPS Engineering
BVV Versicherungsverein des Bankgewerbes
Hilite Germany
Celonis
cellent
INTER Krankenversicherung
Uelzener Allgemeine Versicherungs-Gesellschaft
DRK-Landesverband Schleswig-Holstein

Standorte

Standorte
Mit bundesweiten Niederlassungen sind wir auch in Ihrer Nähe vertreten.

Kontaktieren Sie uns

Hintergrundgrafik intersoft consulting services AG
Julia Reiter
Vertriebsleiterin
Gern beantworten wir Ihre Fragen oder erstellen Ihnen ein individuelles Angebot. Hier unverbindlich anfragen

PDF-Download

NEWSLETTERInfos zum Unternehmenkostenlose WebinareFachbeiträge