Pentest

Wir finden Einfallstore in Systemen und Anwendungen und reduzieren Ihr Risiko

Schützen Sie Ihre Systeme proaktiv

Werden Schwachstellen in Ihren Systemen und Anwendungen nicht rechtzeitig erkannt und geschlossen, können Angreifer Ihre Systeme kompromittieren. Verluste von Vertraulichkeit, Integrität und Verfügbarkeit sind mögliche Folgen eines erfolgreichen Angriffs. Sind Ihre Systeme ausreichend geschützt?

 

Ein Penetrationstest, kurz Pentest, ist eine effektive IT-Sicherheitsmaßnahme, um das Sicherheitsniveau Ihrer Systeme und Applikationen zu überprüfen und Compliance-Anforderungen einzuhalten. Bei usd Pentests schlüpfen unsere Security Analysten für Sie in die Rolle eines Angreifers und versuchen mit jenen Methoden und Mitteln, die auch Angreifer nutzen würden, gezielt, individuell und erfinderisch, in die Systeme Ihres Unternehmens einzudringen. Potentielle Schwachstellen und Angriffspunkte werden dadurch frühzeitig von uns identifiziert und können anschließend von Ihnen korrigiert werden, bevor sie von einem Angreifer ausgenutzt werden.

Was sind Ihre Treiber?

Mit einem Penetrationstest können Sie Risiken frühzeitig erkennen und stellen die Einhaltung verschiedenster Vorgaben auch bei Ihren Partnern und Dienstleistern sicher.

Durch regulatorische Anforderungen, vertragliche oder interne Vorgaben sind Sie zur Durchführung von Penetrationstest verpflichtet.
Zum Abschluss einer Cyber-Versicherung benötigen Sie einen erfolgreich durchgeführten Penetrationstest.
Ihre Mitarbeiter*innen arbeiten mobil und Sie möchten Angreifern keine Einfallstore bieten.
Sie sind Hardware- oder Softwarehersteller und nehmen den Schutz der Daten Ihrer Kunden ernst.
Sie stellen höchste Anforderungen an die Sicherheit Ihrer IT-Infrastruktur, sowie an die Ihrer Partner und Dienstleister.
Sie möchten das Vertrauen Ihrer Kunden nicht verlieren und schützen Ihr Unternehmen vor Finanz- und Reputationsverlusten.

Wie steigen wir gemeinsam ein? 

Noch bevor der eigentliche Pentest durchgeführt werden kann, sind einige Vorbereitungsschritte notwendig, um eine optimal auf Ihr Unternehmen abgestimmte Analyse zu garantieren. Wichtige Kriterien bei der Definition Ihres Scopes sind der Schutzbedarf, mögliche Risiken einer Kompromittierung und die für den Pentest zur Verfügung gestellte Zeit. Basierend auf diesen Vorbetrachtungen definieren wir gemeinsam den Prüfumfang und mögliche Angriffsszenarien.

 

 

Garantierte Qualität und Transparenz

Im Verlauf der für Ihren Bedarf passenden Analyse kommt nun unser tool-basiertes reproduzierbares Prüfverfahren zum Einsatz. Durch den Einsatz unserer usd HeroLab Toolchain haben wir hierbei mehr Zeit für aufwendige, manuelle Analysen. Alle durchgeführten Analysen sind für Sie stets nachvollziehbar, sodass Sie genau wissen, was getestet wurde.

Hier geht es zu unserer Methodik

Unser Pentest-Portfolio

Systeme

Server, Workstations sowie Netzwerkkomponenten
Die Sicherheit von IT-Systemen ist einer der wichtigsten Bestandteile der Unternehmenssicherheit. Angreifer nutzen Schwachstellen auf Netzwerk- und Systemebene, um sich nach einem erfolgreichen Angriff im Unternehmensnetz weiter auszubreiten.

usd herolab pentest system kachel
usd herolab web application pentest

Webapplikationen

Webanwendungen und Webservices
Webanwendungen sind aus unserer täglichen Arbeit nicht mehr wegzudenken. Der vielfältige Einsatz birgt jedoch Gefahren, da Webanwendungen oft sensible Daten verarbeiten und austauschen müssen. Dies macht Webanwendungen zu einem beliebten Ziel für Angreifer.

Mobile Anwendungen

Android & iOS
Die Bedeutung und Verbreitung von mobilen Anwendungen, kurz Apps, nimmt stetig zu. So werden hier sensible Informationen nicht nur übertragen, sondern auch direkt auf dem Endgerät abgespeichert. Durch Schwachstellen können Angreifer auf Nutzerdaten oder sogar auf das unternehmensinterne Netzwerk zugreifen.

usd herolab mobile app pentest
usd herolab cloud pentest 1

Cloud

AWS, Azure & Google Cloud Plattform
Beim Daten-Umzug in die Cloud ist das Thema Sicherheit kein Selbstläufer. Denn als Nutzer müssen Sie die Sicherheit Ihrer Daten sicherstellen. Somit ist die Überprüfung der Sicherheit Ihrer Cloud-Umgebung unabdingbar.

Fat Clients

Native Anwendungen auf Windows und Unix Systemen
Unternehmen setzen vermehrt sogenannte Fat-Clients ein, welche nativ auf dem Betriebssystem laufen und nicht über den Browser aufgerufen werden. Diese Applikationen sind häufig selbst entwickelt und können ein hohes Risiko für die Unternehmenssicherheit darstellen.

usd herolab fat client pentest
usd pentest mainframe scaled

Mainframes

Systeme und Applikationen
Mainframes gelten gemeinhin als besonders robust und sicher. Doch auch hier können Fehler in Entwicklung, Konfiguration und Betrieb zu Schwachstellen mit existenzbedrohenden Folgen führen. Deshalb sollten Sicherheitsüberprüfungen unbedingt regelmäßig erfolgen.

Workstation

Sicherheitslücken in Anwendungen und fehlerhaft konfigurierte Systemdienste bieten Malware ideale Einfallstore, um einzelne Computer oder ein ganzes Netzwerk zu befallen. Workstations oder Clients, wie beispielsweise Windows-Notebooks, stellen dabei häufig den Eintrittspunkt dar.

usd herolab pentest workstation
usd herolab individueller pentest

Individuelle Prüfbereiche

Benötigen Sie einen Pentest einer Komponente, die Sie oben nicht finden konnten? Wir können bestimmt auch Ihre Umgebung testen, wie z.B.:

  • WLAN
  • VoIP-Telefonanlage
  • Mobile Application Management
  • Mobile Device Management
  • Business Software, wie SAP
  • uvm.

Wie gehen wir vor?

Ihr Titel

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Vorbereitung und Kick-off

Unser Pentest Service Management unterstützt Sie bei der Informationsbeschaffung der für den Kick-off relevanten Dokumente und Informationen. Im Kick-off-Meeting mit den technischen und organisatorischen Verantwortlichen Ihres Hauses erfolgt die Vorbereitung des Pentest. Hierbei wird die zu prüfende IT-Infrastruktur spezifiziert, notwendige Benutzerkonten und Zugriffswege abgestimmt, Ansprechpartner und Eskalationswege definiert sowie der Testablauf im Detail gemeinsam besprochen.

Wir führen unsere Pentests vorwiegend auf Basis eines Grey-Box-Ansatzes durch. Auf Wunsch führen wir unsere Pentests bei Ihnen auf Basis eines Black- oder White-Box-Ansatzes durch.

Prüfung

Sie werden rechtzeitig über den Starttermin informiert und erhalten vorab eine Terminerinnerung. Anschließend starten unsere Security Analysten mit der Durchführung des Pentests – unter Berücksichtigung der im Kick-off spezifizierten Kriterien. Dabei kann der Pentest bei Ihnen vor Ort oder von dem Hochsicherheitsnetzwerk der usd über das Internet durchgeführt werden. Unsere usd OrangeBox kann Sie hierbei bei dem Aufbau der VPN-Verbindungen unterstützen. Während der gesamten Dauer des Pentests stehen wir mit Ihnen im engen Austausch und informieren Sie tagesaktuell über Fortschritt und Status.

Im Rahmen der Überprüfung werden die zu testenden Systeme und Applikationen zunächst auf ihre Angriffsfläche hin untersucht. Durch den Einsatz verschiedener Techniken und die Verwendung von etablierten Tools sowie unserer usd HeroLab Toolchain werden dann potentielle Schwachstellen identifiziert und verifiziert. Angriffsszenarien sowie das Ausnutzen von identifizierten, potentiellen Schwachstellen, welche mit einer hohen  Wahrscheinlichkeit die Verfügbarkeit der IT-Systeme und Applikationen beeinträchtigen können, werden im Einzelfall mit Ihnen besprochen und nur nach Ihrer expliziten Freigabe durchgeführt.

Bericht

Anschließend erhalten Sie die Ergebnisse der Untersuchung in Form eines umfassenden Berichts bestehend aus einer Management Summary und einem technischen Report in Deutsch oder Englisch. So bekommen Sie einen umfassenden Überblick über potentielle Bedrohungen und Schwachstellen in Ihrer IT-Infrastruktur. Sie erhalten neben den identifizierten Risiken auch entsprechende Maßnahmenempfehlungen zur Behebung der Schwachstellen, sodass Sie Ihr IT-Sicherheitsniveau nachhaltig erhöhen und Ihre Risiken minimieren können.

Remediation

Die Remediation-Phase umfasst die wichtigsten Schritte nach Durchführung der technischen Sicherheitsanalysen. Hier erfolgt auf Basis der Empfehlung unserer Security Analysten die Beseitigung der identifizierten Schwachstellen durch Ihr Unternehmen. Optional unterstützen wir Sie hierbei bestmöglich.

Nachprüfung und Berichtsanpassung

Optional können Sie die korrekte Umsetzung der Maßnahmenempfehlungen mit einem selektiven Re-Tests überprüfen. Insbesondere wenn der Penetrationstest aus Compliance-Gründen durchgeführt wird (z.B. aufgrund von PCI DSS Vorgaben), ist die Nachprüfung ein notwendiger Bestandteil des Penetrationstests. Die Ergebnisse des Re-Testings erhalten Sie in Form eines Ergebnisberichts. Wenn alle Schwachstellen behoben wurden und Ihr Penetrationstest die Anforderungen des PCI DSS erfüllt, bestätigen wir Ihnen dies gern in einem persönlichen Zertifikat. So können Sie auch Dritten Ihren Anspruch an Sicherheit demonstrieren.

Ihre Vorteile auf einen Blick

Ihr Titel

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Organisation & Nachbereitung

Sind eine Vielzahl von Systemen und Anwendungen im Einsatz, kann die Organisation von Pentests mitunter sehr komplex werden. Auf Wunsch unterstützen wir Sie umfassend bei der Organisation und Nachbereitung Ihrer Pentests. Sprechen Sie uns gern an.

Top Expertise

Leistungserbringung durch hochqualifizierte Security Analysten, die nach dem „usd HeroLab Certified Professional“ (UCP) und international anerkannten Standards zertifiziert sind.

Internationale Standards & Compliance

Bei der Durchführung von Penetrationstests berücksichtigen wir folgende internationale Standards und Best Practices:

  • Payment Card Industry Data Security Standard (PCI DSS)
  • Open Source Security Testing Methodology Manual (OSSTMM)
  • Technical Guide to Information Security Testing and Assessment (NIST SP800-115)
  • Handlungsempfehlungen des Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Open Web Application Security Project (OWASP)

Gerne richten wir unser Vorgehensmodell zudem an den Anforderungen Ihres Unternehmens aus und helfen Ihnen bei der Erfüllung Ihrer regulatorischen Anforderungen.

Nachvollziehbarkeit & Transparenz

Erhöhte Transparenz durch nachvollziehbare Dokumentation der Vorgehensweise, der identifizierten Schwachstellen und aller durchgeführten Prüfungen.

Bewertung & Empfehlungen

Umfassender Abschlussbericht inklusive übergreifender Sicherheitsempfehlungen, Risikobewertung und Maßnahmenempfehlung zur Behebung der identifizierten Schwachstellen.

Neben der usd eigenen Risikoeinstufen bieten wir die Bewertung von Schwachstellen nach international anerkannten Metriken (beispielsweise Common Weakness Scoring System (CWSS) oder Common Vulnerability Scoring System (CVSS)) an.

Automatisierung & Reproduzierbarkeit

Optional können Sie die korrekte Umsetzung der Maßnahmenempfehlungen mit einem selektiven Re-Tests überprüfen. Insbesondere wenn der Penetrationstest aus Compliance-Gründen durchgeführt wird (z.B. aufgrund von PCI DSS Vorgaben), ist die Nachprüfung ein notwendiger Bestandteil des Penetrationstests. Die Ergebnisse des Re-Testings erhalten Sie in Form eines Ergebnisberichts. Wenn alle Schwachstellen behoben wurden und Ihr Penetrationstest die Anforderungen des PCI DSS erfüllt, bestätigen wir Ihnen dies gern in einem persönlichen Zertifikat. So können Sie auch Dritten Ihren Anspruch an Sicherheit demonstrieren.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE