leistungen_pentest_gr-01

Pentest

usd Pentests gehen weit über automatisierte Security Scans hinaus. Hier übernimmt der durchführende Sicherheitsexperte die Rolle eines Hackers – aber legal. Zur Informationsbeschaffung nutzt er professionelle Werkzeuge und versucht gezielt, individuell und erfinderisch, in die Systeme des Unternehmens einzudringen. Diese Simulation eines realen Angriffs liefert qualitativ hochwertige Ergebnisse, die wir gemeinsam mit konkreten Verbesserungsvorschlägen für Sie in Berichtsform übergeben.

abtrennung_weiss

Mögliche Prüfbereiche

Sie bestimmen, was geprüft werden soll. Ziel und Umfang des Pentests legen wir individuell mit Ihnen fest.
Folgende Komponenten können dabei einzeln oder kombiniert Bestandteil sein. Sollte Ihnen etwas fehlen, sprechen Sie uns gerne dazu an.

Ein Großteil erfolgreicher Angriffe erfolgt über bekannte Schwachstellen in Webapplikationen. Gerade E-Commerce Plattformen gehören zu den beliebtesten Angriffszielen. Der unautorisierte Zugriff auf Daten und die daraus resultierenden Möglichkeiten der unerwünschten Informationsübermittlung stehen im Fokus der Kriminellen. Aber auch Applikationen, die nicht über das Web erreichbar sind, sind häufig anfällig. Wir betrachten sowohl Standardsoftware (z.B. SAP, Oracle, Microsoft) als auch Individualsoftware.

Applikationen weisen zudem in der Regel Schnittstellen zu anderen Systemen wie E-Mail-Systemen und Datenbanken auf, die durch Sicherheitslücken in der Applikation ebenfalls beeinträchtigt werden können. Auch diese potentiellen Gefahrenquellen untersuchen wir, um sicherzustellen, dass keine unautorisierten Zugriffe auf Ihre Systeme möglich sind.

Sie erhalten am Ende jedes Pentests einen umfassenden Report bestehend aus einer Executive Summary und einem Technical Report. Kritikalität von gefundenen Schwachstellen und Eintrittsrisiken werden darin bewertet sowie Maßnahmenempfehlungen zur Behebung gegeben.

Während beim Applikationspentest die Anwendung an sich im Mittelpunkt steht, wird beim Systempentest die System-Seite betrachtet, z.B. der Webserver und die Netzwerkkomponenten. Ziel ist hier unter anderem die Identifikation offener Ports oder die Überprüfung der Middleware-Konfiguration, um Schwachstellen zu identifizieren, die unautorisiertes Eindringen, Datendiebstahl oder Manipulation ermöglichen würden.

Sie erhalten am Ende jedes Pentests einen umfassenden Report bestehend aus einer Executive Summary und einem Technical Report. Kritikalität von gefundenen Schwachstellen und Eintrittsrisiken werden darin bewertet sowie Maßnahmenempfehlungen zur Behebung gegeben.

Mehr Sicherheit in der Kreditkartenindustrie. Auch im international verbindlichen Sicherheitsstandard der Payment Industry, dem Payment Card Industry Data Security Standard (PCI DSS), haben Pentests aufgrund ihrer hohen Aussagekraft Eingang in den Anforderungskatalog gefunden. Die jährliche Durchführung eines professionellen internen (d.h. von im internen Netz erreichbaren Systemen und Applikationen) und externen (d.h. von über das Internet erreichbaren Systemen und Applikationen) Pentests gehört zu den Vorgaben des PCI DSS. Mit der aktuellen Version des PCI DSS Standards werden zusätzlich Pentests gefordert, die die vorhandene Netzwerksegmentierung überprüfen sollen. Mithilfe der Methoden potentieller Angreifer werden jeweils mögliche Sicherheitslücken identifiziert, über die Unbefugte auf die Karteninhaberdaten-Umgebung und auf die Karteninhaberdaten zugreifen könnten.

Wir führen Pentests gemäß den Vorgaben des PCI DSS durch. Auf Netzwerkebene (intern) werden Angriffs- und Manipulationsmöglichkeiten der Karteninhaber-Umgebung untersucht, auf Anwenderebene (extern) werden Webapplikationen gemäß der in den PCI DSS Anforderungen aufgeführten Schwachstellen hin überprüft. Sie erhalten am Ende jedes Pentests einen umfassenden Report bestehend aus einer Executive Summary und einem Technical Report. Kritikalität von gefundenen Schwachstellen und Eintrittsrisiken werden darin bewertet sowie Maßnahmenempfehlungen zur Behebung gegeben.

Für Unternehmen bieten sie eine Vielzahl an Potenzialen; so nimmt der Einsatz von mobilen Anwendungen, kurz Apps immer weiter zu. Doch auch die „kleinen Apps“ bergen mögliche Risiken und Schwachstellen. So werden oftmals sensible Informationen wie Passwörter oder auch temporäre Sitzungswerte im Klartext übermittelt. Durch die gegebene hohe Mobilität und Vernetzungsmöglichkeiten ergibt sich damit eine hohe Gefährdung für die Nutzerdaten.

Mithilfe unseres App-Pentests überprüfen wir daher auf verschiedenen Ebenen die Sicherheit ihrer App. Wir untersuchen die serverseitige Kommunikation, das Session-Management und die clientseitigen Schutzmaßnahmen.

Sie erhalten am Ende jedes Pentests einen umfassenden Report bestehend aus einer Executive Summary und einem Technical Report. Kritikalität von gefundenen Schwachstellen und Eintrittsrisiken werden darin bewertet sowie Maßnahmenempfehlungen zur Behebung gegeben.

Das Wireless LAN (WLAN) wird häufig auch als Paradies für Hacker bezeichnet. Nicht zuletzt, da eine drahtlose Verbindung, anders als die drahtgebundene (LAN), jederzeit von Dritten erreicht und empfangen werden kann. Zugriffe auf WLANs lassen sich nur schwer kontrollieren, weshalb das Firmennetzwerk eine breite Fläche für Cyberangriffe bietet.

Die unberechtigte Nutzung steht im Rahmen unserer Untersuchungen ebenso im Fokus wie das unbefugte Ausspähen von übermittelten Daten. Ziel des WLAN-Pentests ist die Identifikation vorhandener Risiken und das Treffen von Handlungsempfehlungen zur Behebung der Schwachstellen. Wir untersuchen dabei sowohl den Zugangspunkt (Access Point) als auch WLAN-Geräte wie Notebooks und Mobiltelefone. Neben den kryptographischen Verfahren werden auch die Konfigurationen der Endgeräte überprüft.

Sie erhalten am Ende jedes Pentests einen umfassenden Report bestehend aus einer Executive Summary und einem Technical Report. Kritikalität von gefundenen Schwachstellen und Eintrittsrisiken werden darin bewertet sowie Maßnahmenempfehlungen zur Behebung gegeben.

Hilfe vorab oder begleitend?

Sie benötigen bereits vor Durchführung des Pentests Beratung? Zur Definition von Prüfkriterien? Zur Unterstützung der operativen Planung und Organisation? Zur Steuerung Ihres Dienstleisters? Wir unterstützen Sie gerne. Rundum. Erfahren Sie hier mehr.

tipp_icon
abtrennung_weiss

Unser Vorgehensmodell

Kick-Off

Die Vorbereitung des Pentests erfolgt im Rahmen eines Kick-Off Meetings mit den technischen und organisatorischen Verantwortlichen Ihres Hauses. Hierbei wird die zu prüfende IT-Infrastruktur spezifiziert, es werden notwendige Benutzerkonten und Zugriffswege abgestimmt, Ansprechpartner und Eskalationswege definiert und der Testablauf wird im Detail gemeinsam besprochen.

Information Gathering

In dieser Phase werden Informationen über die im Kick-Off spezifizierten Ziele gesammelt. Neben einem Portscan wird auch ein Schwachstellenscan durchgeführt. Mögliche Schwachstellen werden noch nicht ausgenutzt. Diese Phase dient unseren Sicherheitsexperten als Vorbereitung für die aktiven Eindringversuche der Exploitation Phase.

Manual Research

Die im Verlauf der vorherigen Phase gefundenen Informationen werden auf ihre Bedeutsamkeit untersucht. Vorliegende Daten werden durch unsere Sicherheitsexperten verglichen und bezüglich ihrer Konsistenz geprüft. So werden potentielle Schwachstellen identifiziert.

Exploitation

In dieser Phase wird versucht, die identifizierten Schwachstellen auszunutzen, um aktiv Zugriff auf die Zielsysteme und gespeicherten Daten zu erlangen. Dabei werden von unserem Sicherheitsteam, abhängig vom jeweiligen Dienst oder der technischen Umgebung, neue Exploits geschrieben oder bestehende verwendet. Potentielle Schwachstellen können sich hier als falsch-positiv herausstellen. Nur verifizierte Schwachstellen werden in den abschließenden Bericht aufgenommen und entsprechend ihrer Kritikalität eingestuft.

Report

Sie erhalten einen umfassenden Report bestehend aus einer Executive Summary und einem Technical Report. Kritikalität von Findings und Eintrittsrisiken werden bewertet sowie Maßnahmenempfehlungen darin gegeben.

Remediation

In dieser Phase erfolgt die Beseitigung der identifizierten Abweichungen bzw. Schwachstellen durch Ihr Haus. Bei Bedarf werden Sie hierbei durch unsere erfahrenen Berater unterstützt.

Optionale Nachprüfung

Sie haben die Möglichkeit nach Durchführung der Remediation eine Nachprüfung durch uns durchführen zu lassen. Hierbei überprüfen wir die Wirksamkeit Ihrer Maßnahmen und passen den Ergebnisbericht an.

abtrennung_grau

Ihr persönliches Zertifikat

Wir orientieren uns bei der Bewertung Ihres Pentestergebnisses an dem internationalen Sicherheitsstandard der Kreditkartenindustrie (PCI DSS). Erfüllen Sie mit Ihrem Pentestergebnis die Anforderungen des PCI DSS, bestätigen wir Ihnen dies gerne in einem persönlichen Zertifikat. So können Sie auch Dritten Ihren Anspruch an Sicherheit demonstrieren.


abtrennung_weiss

Pentest Facts

Hier finden Sie weitere Fakten. Thema auswählen und anklicken.

Unsere Methodik basiert auf international anerkannten IT-Sicherheitsstandards für Penetrationstests:

  • OSSTMM (Open Source Security Testing Methodology Manual)
  • BSI-Modell für Penetrationstests
  • OWASP (Open Web Application Security Project)
  • Anforderungen des PCI DSS

Die Pentests werden auf Basis eines Grey-Box-Tests durchgeführt. Dies bedeutet, dass Sie uns spezifische Informationen über die IT-Systeme zur Verfügung stellen (IP-Adressen, bereitgestellte Funktionen usw.).

  • Ausnutzen von Vertrauensbeziehungen zwischen IT-Systemen
  • Provokation eines Fehlverhaltens durch manipulierte Datenpakete (Fuzzing)
  • Unautorisiertes Auslesen von Passwortdateien
  • Identifikation von gültigen Benutzerkonten
  • Unautorisierter Zugriff auf Datenfreigaben oder Dienste

Im Rahmen des Pentests auf Anwendungsebene werden Ihre (Web-)Applikationen auf Schwachstellen und Verwundbarkeiten überprüft. Das Sicherheitsteam der usd versucht hierbei, unautorisierten Zugriff auf vertrauliche Informationen und Serversysteme zu erlangen.
Der Pentest erfolgt dabei in zwei Phasen:

  • Innerhalb der ersten Phase wird die Perspektive eines unautorisierten Nutzers nachgebildet. Der Pentest erfolgt von „außen“ (ohne ein gültiges Benutzerkonto) und stellt das typische Angriffsszenario eines Hackers dar.
  • In der zweiten Phase stellt der Auftraggeber gültige Benutzerkonten zur Verfügung, um
    den Pentest von „innen“ (autorisiert) durchzuführen.

Unser Sicherheitsteam identifiziert folgende Problemstellungen:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • SQL-Injections
  • Directory Traversal
  • Code Injections

Soweit möglich, versuchen unsere Experten Sicherheitsfunktionen der zu prüfenden (Web-) Applikation zu umgehen und Fehler in der Applikationslogik auszunutzen. Dazu zählen beispielsweise:

  • Die Prüfung der Benutzer-Authentifizierung sowie des Session Managements
  • Die Eskalation von Benutzerrechten
  • Passwortangriffe auf potentielle Benutzerkonten
  • Das Ausnutzen ungesicherter Administrations-Schnittstellen
  • Die Provokation von Buffer Overflows
  • Die Eskalation von Systemrechten
abtrennung_grau

Sprechen Sie uns an.

 

Sie haben Fragen oder benötigen Hilfe? Unsere Kolleginnen und Kollegen freuen sich auf Ihren Anruf oder Ihre E-Mail.

usd Vertrieb

Telefon: +49 6102 8631-90
E-Mail: pci@usd.de

2