Penetrationstests

Cyber-Angriffe nehmen stetig zu und können katastrophale Folgen nach sich ziehen. Datenverlust, Stillstand kritischer Systeme, Vertrauensverlust von Kunden und hohe Kosten zur Schadensbeseitigung sind die drohenden Konsequenzen. Um dies zu vermeiden, ist es notwendig die eigenen IT-Sicherheitsvorkehrungen regelmäßig auf den Prüfstand zu stellen. Dies gilt insbesondere für Unternehmen aus besonders gefährdeten Branchen wie etwa Health Care, Finanzdienstleistungen, Energie, und E-Commerce.

Wir bieten Ihnen professionelle Penetrationstests an, um Ihre Sicherheitslücken aufzudecken, bevor diese von Cyber-Kriminellen ausgenutzt werden können. Unsere zertifizierten Pentester arbeiten eng mit ihrem Team zusammen und zeigen die besten Vorgehensweisen zur Behebung von Schwachstellen.

Ihre Vorteile

Eine solide IT-Sicherheit trägt zur Steigerung Ihres Unternehmenswertes bei.

Risikobegrenzung

Unsere Penetrationstests sind die effektivste Methode um Unzulänglichkeiten in ihrer IT-Sicherheit aufzudecken

Return on Investment

Am Ende Ihres Penetrationstests wissen Sie genau, wo Ihr IT- Sicherheitsbudget am sinnvollsten eingesetzt werden sollte

Compliance

Unsere Penetrationstests entsprechen den Anforderungen der einschlägigen Standards wie etwa PCI DSS und KRITIS

Kundenvertrauen stärken

Regelmäßige IT-Sicherheitsaudits stärken das Vertrauen Ihrer Kunden in Ihr Unternehmen

Datenschutz

Wir quantifizieren Ihr Risiko für die Erreichbarkeit interner Systeme und vertraulicher Informationen

Business Continuity

Im Falle eines Cyberangriffs können Sie einen unterbrechungsfreien Geschäftsbetrieb bewahren

Ablauf Ihres Penetrationstests

Unsere Penetrationstests werden entsprechend der Empfehlungen des BSI in 6 Phasen durchgeführt.

In einem gemeinsamen Vorgespräch legen wir die Rahmenparameter des Penetrationstests fest. Diese Phase dient zur Abstimmung des Aufwandes und zur Bestimmung des Umfangs des Penetrationstests. Am Ende bestimmen wir die Anzahl der benötigten Testtage.

Ziel dieser Phase ist es, möglichst viel über den Testgegenstand herauszufinden. Bei unseren Penetrationstest verwenden wir automatisierte sowie manuelle Werkzeuge zur Abbildung Ihrer Netzwerkstruktur. Für das weitere Discovery setzen wir Port Scanner und andere Werkzeuge zur Erkennung von Betriebssystemen und Diensten ein.

Das Ziel dieser Phase besteht in der aktiven Suche von Schwachstellen durch die in Phase 2 ermittelten Informationen. Wir untersuchen Ihre öffentlich erreichbaren Systeme wie Firewall, VPN Gateways, Router, DMZ-Systeme, Web-Server, Mail-Systeme, etc. auf Sicherheitslücken. Hierbei setzen wir automatisierte Tools (Vulnerability Scanner) und manuelle Methoden ein.

In dieser Phase analysieren wir die gefundenen Schwachstellen aus Phase 3 und bewerten Sie nach ihrem Risiko. Ziel dieser Phase ist die Klassifizierung gefundener Schwachstellen in Risikostufen und das Bestimmen aller notwendigen Maßnahmen zur Beseitigung. Die hier identifizierten Risiken können im weiteren Verlauf für aktive Eindringversuche verwendet werden und dienen als Grundlage der Berichterstellung.

In Phase 5 werden aktive Eindringversuche nach dem Vorgehen eines realen Angriffes durchgeführt. Bestandteile dieser Phase sind optional u.a. Brute-Force Angriffe bis hin zur Übernahme eines Systems durch Remote Sessions.

Zum Abschluss des Penetrationstests übergeben wir Ihnen einen Abschlussbericht.  Diesem können Sie sehr detaillierte und übersichtliche Informationen zu den gefundenen Schwachstellen entnehmen und benötigte Schritte zu Beseitigung einleiten. Selbstverständlich werden sämtliche Informationen vertraulich behandelt.

Unser Pentestangebot

Wir führen für Sie verschiedenste Penetrationstests durch. Die Informationsbasis (Black-Box, Grey-Box oder White-Box-Test) und Prüftiefe legen wir individuell mit Ihnen fest.

Dieser Penetrationstest richtet sich an Ihre externe Infrastruktur. Unser Pentester repliziert die gleiche Art von Angriffen, die Hacker verwenden können, indem er die Sicherheitslücken in Ihrer externen Infrastruktur findet und abbildet.

Unsere Penetrationstests für Webanwendungen beinhalten manuelle und automatisierte Methoden, um Schwachstellen, Sicherheitslücken oder Bedrohungen in Ihren Webanwendung zu identifizieren. Unsere Penetrationstester stellen Angriffe aus der Sicht eines Angreifers dar, z.B. durch SQL-Injektionstests. Das Hauptergebnis ist die Identifizierung von Sicherheitsschwächen in der gesamten Webanwendung und all ihren Komponenten (Quellcode, Datenbank, Back-End-Netzwerk).

Im Gegensatz zu einem traditionellen Penetrationstest ist hier der Cloud Anbieter Eigentümer der technischen Infrastruktur. Da Sie den Dienst nur nutzen, ist Ihr Eigentum auf Ihre dort gespeicherten Daten beschränkt. Daher müssen wir einige Herausforderungen vor und während des Penetrationstestes bewältigen. Diese Herausforderungen sind sowohl technischer als auch rechtlicher Natur. Wir verstehen uns als Next-Generation Managed Security Services Provider und bieten Ihnen dementsprechend spezielle Pentests für Ihre Cloud-Umgebungen an. Wir unterstützen sowohl Amazon AWS als auch Microsoft Azure.

Zertifizierungen

Alle Penetrationstest werden von einem GPEN zertifizierten Cloud Cape Senior Security Consultant geleitet.

Standard Penetrationstest

Überprüfung der Schutzmaßnahmen auf Netzwerkebene
4480 €* ca. 4 Prüftage
  • Planungsgespräch
  • Informationsbeschaffung
  • Scan der Netzwerkebene
  •  
  • Sicherheitsanalyse (Netzwerk)
  •  
  • Eindringversuche
  • Abschlussbericht/Präsentation

Advanced Penetrationstest

Überprüfung der Schutzmaßnahmen auf Netzwerk- und Applikationsebene
6720 €* ca. 6 Prüftage
  • Planungsgespräch
  • Informationsbeschaffung
  • Scan der Netzwerkebene
  • Scan der Applikationsebene
  • Sicherheitsanalyse (Netzwerk)
  • Sicherheitsanalyse (Applikationen)
  • Eindringversuche
  • Abschlussbericht/Präsentation

Cloud Penetrationstest

Überprüfung der Schutzmaßnahmen für cloudbasierte Netzwerke und Applikationen
7125 €* ca. 6 Prüftage
  • Planungsgespräch
  • Informationsbeschaffung
  • Scan der Netzwerkebene
  • Scan der Applikationsebene
  • Sicherheitsanalyse (Netzwerk)
  • Sicherheitsanalyse (Applikationen)
  • Eindringversuche
  • Abschlussbericht/Präsentation

Beispielreport anfordern

Holen sie sich jetzt ein Beispielexemplar eines detaillierten Abschlussberichts direkt in Ihr E-Mail-Postfach. Somit können Sie sich einen guten Überblick über unser Angebot verschaffen. Unserer Abschlussberichte enthalten folgende Kernbestandteile:

Penetrationstest FAQ

Haben Sie noch Fragen zu unseren Penetrationtests?

Der Preis hängt maßgeblich vom Umfang und der Komplexität des Tests ab. In unserem Blogartikel können sie genaueres erfahren. Kontaktieren sie uns gerne für ein unverbindliches Angebot für ihre individuelles Projekt.

Dies hängt von einer Vielzahl an Faktoren ab, z.B wie groß Ihre Umgebung ist und wie oft sie Änderungen unterliegt. Nicht zu Letzt hängt es natürlich auch von Ihen Budgetrestriktionen ab. Wir beraten Sie gerne zu Lösungen, die sich auf die aller kritischsten Assests fokussieren und auch mit kleinerem Budget realisierbar sind.

Wir führen unsere Penetrationstests nach dem neusten Stand der Technik und der gebotenen Sorgfalt durch um Störungen im Betriebsablauf zu verhindern. Typischerweise vereinbaren wir mit unseren Kunden auch eine abwägende Testintensität.

Ein Schwachstellenscan stellt ebenso wie ein Pentest eine sinnvolle IT-Sicherheitsmaßnahme dar, geht aber weniger in die Tiefe und wird ausschließlich mit automatischen Scanningtools durchgeführt. Für genauere Infos, schauen Sie in unserem Blog vorbei.

Um einen reibungslosen Ablauf zu gewährleisten müssen Sie einige Rahmenleistungen übernehmen. Dazu zählt beispielsweise die Stellung eines Ansprechpartners und die vorherige Benachrichtigung der Anwender. Vor Testbeginn werden wir sie selbstverständlich über alle Ihre Mitwirkungspflichten informieren.

Das Zeitfenster des aktiven Testens während Penetrationstest sollte nicht größer als eine Woche sein. Ist ein sehr große Aufwand zu bewältigen, sollte ein entsprechendes Penetrationstest Team eingesetzt werden.

Ein professioneller Penetrationstest von Cloud Cape benötigt durchaus eine gewisse Vorbereitungszeit. Diese liegt typischerweise bei 2-4 Wochen.

Cloud Cape richtet sich bei allen Pentest nach den höchsten Branchenstandards. Z.B. OWASP und Penetration Testing Execution Standard (PTES), 

Anfrage - Pentest