Skip to main content

Ist Ihr Unternehmen oder Ihr Produkt gegen Hackerangriffe geschützt?

Mit unseren Penetrationstests helfen wir Ihnen, Sicherheitsschwachstellen in Ihrer IT- und OT-Umgebung zu identifizieren und entsprechende Gegenmaßnahmen zu erarbeiten.

Ransomware-Angriffe, ausgenützte Sicherheitslücken oder Datenschutzverletzungen: immer öfter berichten Medien von neuen Cyber Security Vorfällen. Vernetzte Systeme werden immer komplexer und die Notwendigkeit von umfangreichen Sicherheitsmaßnahmen nimmt zu. Kennen Sie Ihre Angriffsfläche? Sind Ihre Sicherheitskontrollen angemessen? Was würde passieren, wenn Ihre Sicherheitskontrollen versagen?

Ein Penetrationstest ist oft das richtige Instrument, um genau diese Fragen zu beantworten. Durch die Identifizierung von Schwachstellen und die darauf basierende Erarbeitung von Abhilfemaßnahmen gewinnen Sie das nötige Vertrauen in die Sicherheit eines Systems, einer Umgebung oder eines Produkts.

Identifizierung von Schwachstellen und Risiken

Anleitungen zur Schadensbegrenzung

A penetration creates value, not pain!​

|

Ziele & Nutzen

Schwachstellen identifizieren

Unsere Experten verwenden reale Angriffsmuster um Schwachstellen zu identifizieren

Finanzielle Verluste verhindern

Verhinderung finanzieller Verluste durch die Beschädigung der klassischen Sicherheitssäulen: Vertraulichkeit, Integrität und Verfügbarkeit

Sorgfaltspflicht

Nachweis der Sorgfaltspflicht gegenüber allen Arten von Interessenvertretern

Orientierung bieten

Was soll wann und wie behoben werden? Dokumentation festgestellter Schwachstellen einschließlich Bewertung, Beschreibung und Empfehlung möglicher Abhilfemaßnahmen

Einhaltung von Vorschriften und Standards

Penetrationstests sorgen für die Einhaltung von Vorschriften und Standards

Reputation

Schutz vor Reputationsschäden

Unsere Penetrationstests-Services

Limes Security bietet eine Vielzahl von Penetrationstests an.

Nicht gefunden wonach Sie gesucht haben?

Kontaktieren Sie uns und erfahren Sie mehr über unsere maßgeschneiderten Dienstleistungen.

Icon OT

OT Penetration Testing

Ein OT-Penetrationstest dient dazu, mögliche Schwachstellen von komplexen Netzen oder Systemen zu identifizieren, z.B. von Schienenfahrzeugen, Herzschrittmachern oder industriellen Steuerungssystemen (ICS / PLCs). An OT-Systeme werden besondere Anforderungen gestellt. Eine umfassende Analyse des Einsatzgebietes ermöglicht die Entwicklung von individuellen Angriffsszenarien. Penetrationstests von OT-Komponenten bieten die Gewissheit, dass sie sich in herkömmliche OT-Umgebungen einfügen, ohne zusätzliche Bedrohungen und Risiken zu verursachen oder die Sicherheitskontrollen negativ zu beeinflussen.

IoT Penetration Testing

Bei einem IoT-Penetrationstest können Risiken identifiziert werden, bevor Ihr Gerät auf den Markt kommt. Ein IoT-Penetrationstest befasst sich mit spezifischen Sicherheitsaspekten des Geräts basierend auf dem aktuellen Stand seines Lebenszyklus, der erwarteten Nutzung und der bestehenden Sicherheitshärtungsmaßnahmen. Unter Berücksichtigung der spezifischen Anforderungen ist es unser Ziel, die Wirksamkeit der Sicherheitskontrollen auf den verschiedenen Komponentenebenen zu bewerten: Hardware-Plattform, Software-Plattform, Kommunikationskomponenten und Schnittstellen sowie Anwendungen im Benutzerbereich.

Web Application Penetration Testing

Die Wirksamkeit von Sicherheitskontrollen für Anwendungen wird bewertet, um die Widerstandsfähigkeit einer Anwendung gegen typische Bedrohungen und Angreifer zu gewährleisten. Der Penetrationstest wird auf der Grundlage der gängigen Verfahren und Methoden des Open Web Application Security Project (OWASP) durchgeführt. Darüber hinaus werden individuelle, auf die jeweilige Anwendung zugeschnittene Tests definiert, durchgeführt und ausgewertet.

Mobile Application Penetration Testing

Geräte, auf denen Mobil-Anwendungen ausgefüht werden, können nicht immer als vertrauenswürdige und sichere Geräte angesehen werden. Daher muss jede mobile Anwendung Maßnahmen zum Schutz von Informationen und Daten im Ruhezustand, während der Datenverarbeitung und bei der Übertragung zu Webservice-Endpunkten vorsehen. Ein Penetrationstest für mobile Anwendungen deckt Schwachstellen in diesen Bereichen auf und identifiziert geeignete Abhilfemaßnahmen, um die damit verbundenen Risiken zu minimieren. Limes Security folgt dem OWASP Mobile Security Testing Guide.

Red Teaming

Red Teaming umfasst eine realistische Sicherheitsevaluierung unter Einbeziehung von Prozessen, Menschen und physischen Sicherheitstests, anstatt nur technische Sicherheitskontrollen zu testen.
Es werden spezifische Szenarien und Vorgehensweisen geplant, um wie reale Angreifer zu agieren. Während die Details mit einer kleinen informierten Gruppe (White Team) abgestimmt werden, geht es darum, die Sicherheitskontrollen und Gegenmaßnahmen des zu testenden Systems sowie die Handlungen der verteidigenden Betreiber und Personen (Blue Team) zu bewerten. Daher liegt der Schwerpunkt beim Red Teaming auf den Reaktionen und nicht auf den Schwachstellen, wie dies bei Penetrationstests üblicherweise der Fall ist.

Infrastruktur Penetration Testing

Bei einem Infrastruktur-Penetrationstest werden Schwachstellen in den Systemen und Netzen einer Umgebung ermittelt und die möglichen Auswirkungen eines Angriffs aufgezeigt. Bei der Bewertung wird überprüft, ob die vorhandenen Sicherheitskontrollen tatsächlich funktionieren und die Sicherheitsanforderungen eines Systems in Bezug auf die CIA ausreichend erfüllen. Der Testprozess umfasst eine Mischung aus automatisierten und manuellen Tests, um Schwachstellen in der Zielinfrastruktur zu finden und auszunutzen. Die spezifischen Testfälle variieren je nach Szenario und den damit verbundenen Berechtigungen. Die im Prozess identifizierten Schwachstellen lassen sich in der Regel in die folgenden Kategorien einteilen:

  • Authentifizierungs- und Autorisierungsprobleme
  • Fehlerhafte Sicherheitskonfigurationen
  • Veraltete Software/Komponenten mit bekannten Sicherheitslücken
  • Weitergabe von Informationen
  • Unzureichende Netzwerksegmentierung
  • Fehlendes Sicherheitsmanagement und fehlende Prozesse

Phasen eines Penetrationstest

Jeder Penetrationstest bei Limes Security beginnt mit einem ausführlichem Onboarding-Prozess, bei dem organisatorische Themen (Geheimhaltungsvereinbarungen, sicherer Datenaustausch, …) besprochen und geklärt werden. Während dieses Prozesses, wie auch während des gesamten Projekts, werden strenge Regeln zur Datenklassifizierung und zum Umgang mit Daten befolgt, insbesondere in Bezug auf das Need-to-know- und Least-Privilege-Prinzip in Bezug auf die in dem Projekt gewonnenen Informationen. In einem Kick-off-Meeting werden projektspezifische organisatorische und technische Fragen besprochen.

Der eigentliche Penetrationstest besteht aus den folgenden Bewertungsphasen:

1

Informationssammlung

Hauptziel der ersten Assessment-Phase ist die Beschaffung aller relevanten Informationen, die Identifizierung der Angriffsfläche eines Objekts oder einer Umgebung und der anwendbaren Bedrohungen sowie die Festlegung eines detaillierten Plans für die eigentlichen Assessment-Schritte unter Berücksichtigung der Assessment-Ziele.
2

Schwachstellenanalyse

In dieser Phase geht es darum, Schwachstellen und Fehler in Systemen, Komponenten oder Verfahren zu identifizieren, die von Angreifern missbraucht werden können und Auswirkungen auf den Betrieb oder die zugrunde liegenden Daten haben können, insbesondere auf deren Vertraulichkeit, Integrität und Verfügbarkeit. Durch ein ausgewogenes Verhältnis von Bewertungsbreite und -tiefe unter Berücksichtigung der zugewiesenen Ressourcen und unter Anwendung eines risikobasierten Ansatzes werden alle relevanten Schwachstellen ermittelt.
3

Evaluierung

Die Bewertung von Schwachstellen hat zwei wesentliche Funktionen. Einerseits wird die Qualität der Ergebnisse überprüft, indem sichergestellt wird, dass die Werkzeuge richtig konfiguriert wurden und vollständige und angemessene Resultate liefern. Andererseits werden verschiedene Schwachstellen und Informationen, die von mehreren Werkzeugen und Techniken stammen, in denselben Kontext gestellt, nach Prioritäten geordnet und bewertet. Dies ermöglicht einen iterativen Prozess, bei dem die gesammelten Informationen für die Ermittlung weiterer Schwachstellen relevant sein können.
4

Exploitation und Post-Exploitation

Exploitation und Post-Exploitation ermöglichen es, die Auswirkungen von Aktivitäten realer Angreifer zu demonstrieren, wie z. B. die Eskalation von Privilegien, die Extraktion sensibler Informationen oder mögliche Auswirkungen auf kritische Geschäftsprozesse. Da in dieser Phase möglicherweise neue Angriffsmöglichkeiten identifiziert werden, kann eine weitere Phase der Schwachstellenanalyse erforderlich sein, was wiederum auf die Iterativität des gesamten Prozesses hinweist.
5

Berichtswesen

Der Assessment-Bericht enthält eine Zusammenfassung, in der die allgemeine Risikolage des Umfelds sowie die wichtigsten Ergebnisse beschrieben werden, eine Zusammenfassung des betrachteten Umfelds, eine Erläuterung der Assessment-Methodik und der durchgeführten Assessment-Arbeiten sowie eine detaillierte Liste der Ergebnisse und Empfehlungen.

FAQs

Hat ein Penetrationstest negative Auswirkungen auf das zu testende System?

In der Regel nicht, aber es lässt sich nicht völlig ausschließen. Daher werden Penetrationstests idealerweise in einer nicht produktiven, aber gleichwertigen Umgebung durchgeführt, um das Risiko einer Störung vollständig zu minimieren. In der Praxis ist dies nicht immer möglich. Die Limes-Experten sind es gewohnt, in produktiven Umgebungen zu arbeiten. Die verbleibenden Risiken werden durch eine entsprechende Planung, einen transparenten Bewertungsansatz und einen Fokus auf die Kommunikation mit dem Kunden entschärft.

Beweist ein Penetrationstest, dass ein System sicher ist?

Das Ergebnis des Penetrationstests zeigt die Schwachstellen auf, die auf der Grundlage der definierten und zugewiesenen Ressourcen ermittelt und ausgenutzt werden könnten. Durch die Anwendung eines risikobasierten Ansatzes sind die jeweiligen technischen Ergebnisse nur für einen bestimmten Zeitpunkt gültig. Limes Security mappt daher aufgedeckte technische Schwachstellen auf den jeweiligen unterstützenden Prozess, der versagt hat oder unzureichend angewendet wurde. Dies ermöglicht die Behebung der Schwachstellen auch auf übergeordneter Ebene und fördert somit nachhaltig die Sicherheit.

Was ist der Unterschied von einem Penetrationstest zu einem Schwachstellen-Scan?

Oftmals ist nicht klar was der Unterschied zwischen Penetrationstests und Schwachstellenscans ist. Dies kann dazu führen, dass ein Schwachstellenscan als Penetrationstest verkauft wird, was er definitiv nicht ist. Während das Scannen von Schwachstellen in der Regel ein automatisierter Prozess und Teil einer ersten Phase von Penetrationstests ist, umfassen Penetrationstests auch manuelle Testschritte von erfahrenen Experten. Dies ist erforderlich, um einen gemeinsamen Kontext verschiedener Schwachstellen zu schaffen und um Schwachstellenkategorien abzudecken, die durch automatisierte Scans überhaupt nicht erkannt werden können.

Wann ist der beste Zeitpunkt für einen Penetrationstest?

Idealerweise werden Penetrationstests parallel zum gesamten Lebenszyklus eines Systems oder einer Komponente durchgeführt, wobei in jeder Phase ein anderer Schwerpunkt gesetzt wird. Besonders wichtig sind Penetrationstests vor dem Go-Live/Release sowie nach größeren Änderungen.