Wie steigen wir gemeinsam in Ihr Pentest-Projekt ein? 

Bevor der eigentliche Penetrationstest (Pentest) durchgeführt werden kann, sind einige Vorbereitungsschritte notwendig, um eine optimal auf Ihr Unternehmen abgestimmte Analyse zu garantieren. Wichtige Kriterien bei der Definition Ihres Scopes sind der Schutzbedarf, mögliche Auswirkungen einer Kompromittierung und die für den Penetrationstest zur Verfügung stehende Zeit. Basierend auf diesen Vorbetrachtungen definieren wir gemeinsam den Prüfumfang. 

Welche Sicherheitsstandards berücksichtigen wir bei der Durchführung von Pentests?

Bei der Durchführung von Penetrationstests berücksichtigen wir folgende internationale Standards und Best Practices:

• Payment Card Industry Data Security Standard (PCI DSS)
• Open Source Security Testing Methodology Manual (OSSTMM)
• Technical Guide to Information Security Testing and Assessment (NIST SP800-115)
• Handlungsempfehlungen des Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Open Web Application Security Project (OWASP)

Gerne richten wir unser Vorgehensmodell zudem an den Anforderungen Ihres Unternehmens aus und helfen Ihnen bei der Erfüllung Ihrer regulatorischen Anforderungen. 

Wie gehen wir bei der Durchführung von Pentests vor?

Vorbereitung und Kick-off

Unser Pentest Service Management unterstützt Sie bei der Informationsbeschaffung der für den Kick-off-Termin relevanten Dokumente und Informationen. Im Kick-off-Meeting mit den technischen und organisatorischen Verantwortlichen Ihres Unternehmens erfolgt die detaillierte Vorbereitung des Pentests. Hierbei wird die zu prüfende IT-Infrastruktur spezifiziert, notwendige Benutzerkonten und Zugriffswege abgestimmt und Ansprechpartner sowie Eskalationswege definiert. Weiterhin stimmen wir projektspezifische Details individuell mit Ihnen ab, wie z.B. die Metriken der Schwachstellenbewertung oder die Berichtssprache. 

Durchführung

Sie werden rechtzeitig über den Starttermin informiert und erhalten vorab eine Terminerinnerung. Anschließend starten unsere Security Analyst*innen mit der Durchführung des Penetrationstests – unter Berücksichtigung der im Kick-off spezifizierten Kriterien. Dabei kann der Penetrationstest bei Ihnen vor Ort oder remote über das Internet aus dem Netzwerk der usd oder über einen VPN-Tunnel durchgeführt werden. Sollten Sie keinen Netzwerkzugriff für den Penetrationstest bereitstellen können, bieten wir Ihnen mit der  usd OrangeBox eine einfache und sichere Möglichkeit den Pentest mit der usd remote durchzuführen. Während der gesamten Dauer der Analyse stehen wir mit Ihnen im engen Austausch und informieren Sie auf Wunsch täglich über den Start- und Endzeitpunkt der Prüfaktivitäten, sowie über den tagesaktuellen Fortschritt und Status. Sollten wir während der Überprüfung kritische Schwachstellen finden, informieren wir Sie umgehend

Im Rahmen der Überprüfung werden die zu testenden Systeme und Anwendungen zunächst auf ihre Angriffsfläche hin untersucht. Durch den Einsatz verschiedener Techniken und die Verwendung unserer  usd HeroLab Toolchain und weiteren etablierten Tools werden dann potenzielle Schwachstellen identifiziert und verifiziert. Durch die Effizienz unserer Toolchain steht unseren Security Analyst*innen hierbei mehr Zeit für tiefgehende, manuelle,  Analysen zur Verfügung. Die Ausnutzung von identifizierten, potenziellen Schwachstellen, welche mit einer hohen Wahrscheinlichkeit die Verfügbarkeit der IT-Systeme und Applikationen beeinträchtigen können, werden im Einzelfall mit Ihnen besprochen und nur nach Ihrer expliziten Freigabe durchgeführt. 

Berichterstellung

Nach Abschluss der technischen Untersuchung werden Sie von unseren Security Analyst*innen über das Ergebnis des durchgeführten Penetrationstests informiert. Sie erhalten einen umfassenden Bericht bestehend aus einer Management Summary und einem technischen Report wahlweise in deutscher oder englischer Sprache. So bekommen Sie einen umfassenden Überblick über potenzielle Bedrohungen und Schwachstellen in Ihrer IT-Infrastruktur. Sie erhalten neben den identifizierten Risiken auch entsprechende Maßnahmenempfehlungen zur Behebung der Schwachstellen, sodass Sie Ihr IT-Sicherheitsniveau nachhaltig erhöhen und Ihre Risiken minimieren können. 

Wir bieten neben der usd-eigenen Risikoeinstufung die Bewertung von Schwachstellen nach international anerkannten Metriken (beispielsweise Common Weakness Scoring System (CWSS) oder Common Vulnerability Scoring System (CVSS) an. Gern berücksichtigen wir Ihre individuellen Anpassungswünsche an den Bericht, wie beispielsweise eigene Risikostufung oder die Anpassung an besondere regulatorische Anforderungen. 

Bei PCI DSS Pentests identifizieren wir relevante Schwachstellen für Ihre PCI DSS v4.0 Compliance und stellen Ihnen detaillierte Informationen zu den betroffenen Anforderungen zur Verfügung.

Im Rahmen eines Abschlusstelefonats besprechen wir gemeinsam die Ergebnisse und klären ggf. offene Fragen. 

Remediation

Die Remediation-Phase umfasst die wichtigsten Schritte im Kontext von Pentests und technischen Sicherheitsanalysen. Hier erfolgt auf Basis der Empfehlung unserer Security Analyst*innen die Beseitigung der identifizierten Schwachstellen durch Ihr Unternehmen. Dies bildet einen integralen Bestandteil bei der Verbesserung bzw. Anhebung Ihres IT-Sicherheitsniveaus. 

Die Behebung einer Schwachstelle kann je nach Beschaffenheit oder aufgrund von geltenden Betriebsanforderungen unterschiedlich komplex werden. Optional unterstützen unsere Security Analyst*innen Sie bei dieser wichtigen Phase - beispielsweise im Rahmen unserer Vulnerability Management Services.  

Nachprüfung und Berichtsanpassung

Optional können Sie die korrekte Umsetzung der Maßnahmenempfehlungen mit einem selektiven Re-Test überprüfen. Insbesondere wenn der Penetrationstest aus Compliance-Gründen durchgeführt wird (z.B. aufgrund von PCI DSS Vorgaben), ist die Nachprüfung ein notwendiger Bestandteil des Penetrationstests. Die Ergebnisse des Re-Tests erhalten Sie in Form eines aktualisierten Ergebnisberichts. Wenn alle Schwachstellen behoben wurden und Ihr Penetrationstest die Anforderungen des PCI DSS erfüllt, bestätigen wir Ihnen dies gern mit einem persönlichen Zertifikat. So können Sie auch Dritten Ihren Anspruch an Sicherheit demonstrieren. 

Pentests im agilen Software-Entwicklungsprozess

Immer mehr Unternehmen setzen bei der Software-Entwicklung von Anwendungen und Apps auf agile Methoden. Dies führt dazu, dass sich die zu überprüfende Umgebung stetig weiterentwickelt. IT-Sicherheit effektiv zu implementieren, kann so schnell zur Herausforderung werden. Vor der Veröffentlichung eines großen Releases empfehlen wir mithilfe eines Penetrationstests die Sicherheit der gesamten Anwendung zu überprüfen – dies ist im agilen Software-Entwicklungszyklus allerdings nicht praktikabel. Hier sollte eine inkrementelle Überprüfung der Sicherheit durch einen Delta-Pentest in den DevSecOps-Workflow integriert werden.

So kann während des agilen Entwicklungsprozesses beispielweise lediglich der abgeänderte Code auf seine Sicherheit oder eine Prüfumgebung auf eine bestimmte Schwachstelle überprüft werden.

Mehr Einblicke