Leistungsumfang


Wir suchen 2 neue Mitarbeiter:
"Junior Manager der IT- und Informationssicherheit"!

Sehe und informieren Sie sich in der Rubrik "Youtube-Channel"!

 

Die Überprüfung Ihrer technischen Sicherheit

Penetrationstests

Mit Hilfe eines Penetrationstests (engl. Penetrationtest) lassen sich die Schwachstellen Ihres Unternehmens praktisch prüfen.
Was heißt das?

Anders als bei einer automatisierten Schwachstellenanalyse werden die Umgebungsverhältnisse untersucht, um die vorhandenen (und durch einen Schwachstellenscanner ermittelbaren) Schwachstellen tatsächlich ausnutzen zu können.
Ein Schwachstellenscanner ermittelt die Schwachstellen des oder der Systeme und kann bis zu einem gewissen Grad auch die Konfiguration ermitteln. Er kann diese aber nicht nach logischen Schlussfolgerungen in Zusammenhang setzen!
Ein Penetrationstester ermittelt den tatsächlichen Ausmaß der Schwachstelle und erkennt Zusammenhänge, die ein Schwachstellenscanner nicht unbedingt erkennt.

Allerdings würde eine Ermittlung aller Schwachstellen eines oder gar aller Systeme durch einen Penetrationstester derart viel Zeit und Geld in Anspruch nehmen, dass es in herkömmlichen Umgebungen nicht sinnvoll wäre!
Hier zeigen sich die Vorteile eines Schwachstellenscanners.

Auch ein Schwachstellenscanner prüft in der Regel nicht alle möglichen Schwachstellen eines Systems, weil dies meist zuviel Zeit in Anspruch nehmen würde. Auch er beschränkt sich auf die Schwachstellen, für die vom IT-System angebotenen services.
Aber in wesentlich kürzerer Zeit vermag er wesentlich mehr "bekannte" Schwachstellen aufzudecken - ihm bekannte Schwachstellen!
Somit werden die Qualitätsunterschiede deutlich: Im Wesentlichen geht es darum, welcher Schwachstellenscanner, welche Schwachstellen am Besten erkennt.

Das Open Source Produkt Nessus wird in den Fachkreisen für die Schwachstellenanalyse am Häufigsten verwendet - und so auch bei Abakus-IT!
Nessus besitzt die größte Akzeptanz und die größte Anzahl an Programmierern für erkannte Schwachstellen. Nicht zu verachtende Vorteile!

Je nach Aufgabe, verwenden wir weitere Tools für die Penetrationstests.
Ein wichtiges Tool ist zum Beispiel das ebenfalls frei verfügbare Open Source Tool nmap und diverse Passwort-Entschlüsseler, sowie aufgabenspezifische Schwachstellenscanner und Sniffer.

Der Umfang eines Penetrationstest wird ebenfalls durch die gelieferten Vorkenntnisse bestimmt.
Ist es ein Black Box Test, agiert der Auftragnehmer wie ein Cracker (die negative Version des allseits verwendeten Begriffs des Hackers). Der Penetrationstester weiß zu Beginn nichts von der Netzwerkstruktur des Auftraggebers.

Bei einem White Box Test kennt der Penetrationstester sein Ziel. Er bekommt diverse Parameter von dem Auftraggeber mit, bis hin zu einem freien Zugang zum Zielsystem.
So ist es auch kein Wunder, dass Penetrationstests von innen heraus zumeist White Box Tests sind, obwohl diese auch als Black Box Tests vorstellbar sind - ähnlich einer Situation, in der sich ein Cracker Zugang zum internen LAN verschafft hat.

Abgeschlossen wird ein Penetrationstest mit einem Bericht.
Eine übersichtliche Version für das Management und einen detaillierteren Bericht für den Sicherheitsbeauftragten und/oder IT-Leiter.
Er enthält die verwendeten Methoden und Tools, die entdeckten Schwachstellen und Konfigurationsfehler, sowie die ausgenutzte Schwachstelle und die etwaigen Möglichkeiten eines Angreifers.

Einleitend wird immer ein Gespräch über den Umfang des Auftrages stattfinden.
Die Zeitdauer, das Zeitfenster, die zu überprüfenden Systeme und Ports, die eventuell zu benachrichtigenden Verantwortlichen (insbesondere bei ausgelagerten Systemen) und der Umfang, in wieweit die Schwachstelle ausgenutzt werden soll - und damit das Risiko eines Systemausfalles in Kauf genommen wird.

Sollten Sie Interesse an einem Penetrationstest oder einer Schwachstellenanalyse haben, sprechen Sie uns bitte unter der Adresse, per Mail oder über das Formular an!