Vulnerability Scanning & Pentesting Services

Mit Vulnerability Scanning und Penetration Testing Sicherheitslücken erkennen

Unabhängigen Untersuchungen zufolge enthalten 80% aller Anwendungen und IT-Infrastrukturen teils schwerwiegende Sicherheitslücken. Es ist nur eine Frage der Zeit, bis diese ausgenutzt werden und für den Betreiber zu oft immensen, teilweise gar existenzbedrohenden, Schäden führen.

Unternehmen müssen daher fortlaufend sicherstellen, dass ihre Anwendungen und Systeme nicht anfällig für Sicherheitslücken sind. Dies bedarf einer angemessenen IT-Sicherheitsstrategie, die kontinuierlich überprüft werden muss.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Ablauf des Tests

Schritt 1
Planung und Vorbereitung
Zieldefinition:

Festlegung der Ziele des Pen-Tests. Dazu gehört die Bestimmung der zu testenden Systeme und der Umfang des Tests, ebenso eine Risikoanalyse.

Informationssammlung:

Sammeln von Informationen über das Ziel, wie Netzwerk- und Systemstrukturen, verwendete Technologien und mögliche Angriffspunkte.

Regelwerk und Genehmigungen:

Sicherstellen, dass alle notwendigen Genehmigungen für den Test eingeholt werden. Festlegen der Regeln und Grenzen des Tests, um unbeabsichtigte Schäden zu vermeiden.

Schritt 1
Schritt 2
Durchführung des Tests
Aktive Erkundung:

Einsatz von Techniken und Tools, um Schwachstellen zu finden. Dazu gehören Port-Scans, Netzwerkerkennung, Versuche der Ausnutzung von Schwachstellen und Penetrationsversuche.

Ausnutzung von Schwachstellen:

Nach dem Auffinden von Schwachstellen versucht der Tester, diese auszunutzen, um Zugriff auf Systeme oder Daten zu erhalten.

Nachweis der Ausnutzbarkeit:

Dokumentation, wie eine Schwachstelle ausgenutzt werden kann, inklusive der Schritte und Tools, die verwendet wurden.

Schritt 2
Schritt 3
Analyse und Bericht
Datensammlung:

Sammeln und Aufzeichnen aller relevanten Daten aus dem Pen-Test.

Analyse der Ergebnisse:

Bewertung der gesammelten Daten, um festzustellen, wie Schwachstellen ausgenutzt wurden und welchen Einfluss dies auf die Organisation haben könnte.

Erstellung eines Berichts:

Der Bericht umfasst Details zu den gefundenen Schwachstellen, wie sie ausgenutzt wurden und Empfehlungen zur Behebung.

Schritt 3
Schritt 4
Nachbereitung und Follow-Up
Behebung von Schwachstellen:

Unternehmen ergreifen Maßnahmen, um identifizierte Schwachstellen zu beheben.

Nachtest:

Nachdem Schwachstellen behoben wurden, kann ein weiterer Test durchgeführt werden, um sicherzustellen, dass die Behebungen wirksam sind.

Langfristige Verbesserungen:

Entwicklung von Strategien für langfristige Verbesserungen der Sicherheitspraktiken und -prozesse.

Schritt 4

Wir lassen Sie mit den Ergebnissen nicht allein

Ganz wichtig: Sie erhalten bei Bedarf umfangreiche Erklärungen zu den gefundenen Schwachstellen, und wir begleiten Sie auf Wunsch auch bei der Behebung.

Bei allen unseren Berichten legen wir Wert auf eine verständliche Sprache, die es auch sicherheitstechnisch weniger versierten Personen erlaubt, die notwendigen Schlüsse aus den Berichten zu ziehen.

Gut zu wissen

Die regelmäßige Durchführung von Penetration Tests und Vulnerability Scans erfüllt nicht nur maßgebliche Anforderungen aus Rahmenwerken wie beispielsweise der ISO 27001; sie ist auch eine wesentliche technische und organisatorische Maßnahme im Sinne der Datenschutzgrundverordnung (DSGVO), die zum Schutz personenbezogener Daten beiträgt.

So kann’s aussehen – unsere Reports

3 gute Gründe für unsere Sicherheits-Checks

Unser Bonus für Sie!

Im Sinne einer kontinuierlichen und wiederkehrenden Durchführung solcher Untersuchungen bieten wir diese auch als Abonnement mit interessanten Preisvorteilen an!

Sicherheit auch zwischen den Scans

Je nach Abstand zwischen den Vulnerability Scans kann ein mehr oder weniger langer Zeitraum entstehen, in dem das Unternehmen durch neu hinzugekommene Sicherheitslücken anfällig ist, was aber zunächst einmal (bis zum nächsten Scan) niemandem auffällt.

Mit Watchdog by TEN IM können Sie dem Problem elegant aus dem Weg gehen und einen besserem Einblick in die IT-Sicherheitslage Ihrer Organisation bekommen. Watchdog by TEN IM analysiert fortlaufend die angeschlossenen Systeme auf vorhandene Verwundbarkeiten und identifiziert diese nahezu in Echtzeit. Damit lösen Sie das Problem der Intransparenz, die unweigerlich entsteht, wenn wie sonst üblich Vulnerability Scans nur in zyklischen Abständen durchgeführt werden.

FAQ für Vulnerability Scanning & Pentesting Services

Wir führen Vulnerability Scans und Penetration Tests durch. Vulnerability Scans sind ein hochautomatisierter Prozess, bei dem die Zielobjekte – z.B. IT-Infrastrukturkomponenten, Server oder Anwendungen – auf bekannte Sicherheitslücken untersucht werden. Bei einem Penetration Test wird versucht, identifizierte Sicherheitslücken auch auszunutzen. Der Penetration Test ist dabei mit deutlich mehr “Handarbeit” verbunden.

Grundsätzlich führen wir IT-Sicherheitsuntersuchungen für alle Arten von Systemen durch – mit starkem Fokus auf Web- und Mobil-Applikationen. Auch IT-Infrastrukturen auf Microsoft Windows Basis – egal ob on premises oder in der Cloud – werden durch uns untersucht. Lediglich traditionelle Fat Client Anwendungen sowie hardwarenahe Szenarien untersuchen wir im Rahmen unseres Dienstleistungsportfolios nicht.

Der Fokus bei einem Vulnerability Scan liegt auf dem Identifizieren von bekannten Schwachstellen, wohingegen bei einem Penetration Test versucht wird, vorhandene Schwachstellen auch auszunutzen.

In den allermeisten Fällen führen wir die Untersuchungen als Grey Box Assessment durch. Dabei werden ausgewählte Details über das/die Zielobjekt(e) mit uns geteilt, um den Aufwand und damit die Kosten möglichst gering zu halten. Es werden weiterhin noch so genannte Black Box und White Box Tests unterschieden.

Software enthält Fehler. Schlechte Programmierpraktiken können ernsthafte Sicherheitslücken in Software zur Folge haben. Werden diese von Angreifern ausgenutzt besteht z.B. die Gefahr des Datendiebstahls – und aller damit verbundenen weiteren Bedrohungsszenarien (z.B. Erpressung oder die Beeinträchtigung der Verfügbarkeit). Verantwortungsvolle Firmen führen Penetration Tests proaktiv und regelmäßig durch, um selbst solche Fehler aufzuspüren – und damit ihre Organisation vor negativen Auswirkungen zu schützen.

Üblicherweise nicht. Es kann vereinzelt zu Fehlfunktionen der untersuchten Zielobjekte kommen, wobei jedoch keine dauerhaften Schäden entstehen.

Software wird regelmäßig aktualisiert. Bei jeder Aktualisierung besteht die Möglichkeit, dass Schwachstellen durch die neue Softwareversion eingeschleust werden. Um diese zeitnah zu erkennen und zu schließen, sollten regelmäßige Vulnerability Scans durchgeführt werden.

Im Rahmen der Vorbereitungen sprechen wir zunächst mit jedem Kunden im Rahmen eines kostenfreien Erstgesprächs über die spezifische Zielsetzung dessen, was die jeweilige Organisation mit der Sicherheitsuntersuchung bezweckt. Danach führen wir gemeinsam einen Walkthrough durch das/die Zielobjekt(e) durch, um uns ein Bild vom jeweiligen Untersuchungsgegenstand zu machen. Dabei fragen wir meist einige Rahmenparameter wie verwendete Technologiekomponenten, Deployment-Szenarien, verwendete Datenbanken und weiteres ab. Ebenso besprechen bei Applikationen die wesentlichen Workflows sowie die Funktionalitäten rund um das Management von Benutzern. Auf Basis der erhobenen Informationen planen wir die Untersuchung und führen diese durch.

In vereinzelten Fällen kommt es zu temporären Fehlfunktionen oder auch Darstellungsfehlern bei den untersuchten Objekten. Einer Verunsicherung innerhalb der Belegschaft einer Organisation empfehlen wir durch proaktive Kommunikation der Untersuchung vorzubeugen.

Wir verwenden alle Informationen, auf die wir während einer Untersuchung Zugriff erhalten, ausschließlich im Rahmen unseres Mandats. Erfolgreiche Angriffe dokumentieren wir anhand beispielhafter Daten im Rahmen unserer Berichte. Alle Daten und Informationen werden nach dem Abschluss der Untersuchung wieder gelöscht und an niemanden weitergegeben.

In Deutschland existieren verschiedene Vorschriften, u.a. der sog. “Hackerparagraph” §202c StGB, welche den Rahmen für IT-Sicherheitsuntersuchungen setzen. Der gutwillige Umgang mit entsprechender Software und die zugehörigen Handlungen fallen jedoch nicht unter diesen Paragraphen. Alle Aktivitäten, die wir im Rahmen von IT-Sicherheitsuntersuchungen durchführen, sind vollumfänglich legitimiert und nicht illegal.

Ja. Unsere Managed SIEM Lösung Watchdog by TEN IM, die auf der Open Source IT-Security- Plattform Wazuh basiert, bringt eine entsprechende Funktion mit. Das dort eingebaute Vulnerability Management scannt kontinuierlich die untersuchten Systeme und erlaubt einen Einblick in die IT-Sicherheitslage quasi in Echtzeit. Je nach Anwendungsfall entscheiden wir gemeinsam mit dem Kunden, welche Lösung zum Vulnerability Management die kosteneffizienteste Variante für das Schwachstellenmanagement darstellt.

Je nach Zielobjekt(en) ziehen wir entsprechende Industriestandards heran. Im Bereich Web-Applikationen sind dies zum Beispiel die einschlägigen Publikationen des Open Web Application Security Projekts – OWASP. Am bekanntesten sind die OWASP Top 10 der Sicherheitsrisiken in Webanwendungen. Für mobile Anwendungen existieren ebenfalls entsprechende Frameworks.

Sofern keine sektorspezifischen regulatorischen Vorgaben existieren, gilt die Faustregel “nach jeder größeren Veränderung”. Was als “größere Veränderung” anzusehen ist, ist dabei immer kontextabhängig. Grundsätzlich empfehlen wir bei Web- und Mobile-Anwendungen, jedes größere (Major) Release testen zu lassen. Sofern nichts näher festgelegt ist, kann für Vulnerability Scans und für Penetrationstests eigenerstellter Anwendungen eine Prüffrequenz von 6 Monaten als Richtschnur dienen – je nach spezifischem Risikoprofil auch häufiger oder seltener.

Unbedingt! Das Schwachstellenmanagement (Vulnerability Scanning) unterscheidet sich fundamental vom Penetration Testing. Leider gibt es immer mal wieder Anbieter am Markt, die es mit dem Unterschied nicht so genau nehmen. Das automatisierte Erkennen von Schwachstellen (Vulnerability Scan) ersetzt keinen Penetration Test.

Kurz gesagt: nichts. Penetrationstests sind eine nur teilweise zu automatisierende Tätigkeit, die immer mit einem Mindestmaß an “Handarbeit” verbunden ist. Es kommt für den Erfolg maßgeblich auf die Erfahrung der involvierten Experten an. Leider gibt es immer mal wieder Anbieter am Markt, die es mit dem Unterschied zwischen Vulnerability Scans und Penetration Tests nicht so genau nehmen. Dort werden dann gerne mal die Begriffe Vulnerability Scanning und Penetration Test gleichgesetzt – und so ein automatisiertes Schwachstellen Management als Penetrationstest dargestellt.

Grundsätzlich führen wir IT-Sicherheitsuntersuchungen als Festpreisprojekt durch. Unsere langjährige Erfahrung ermöglicht uns die zielgenaue Abschätzung, welche wir auf Basis eines gemeinsamen Walkthroughs durch das/die Zielobjekt(e) vornehmen. Kostenseitig beginnen Vulnerability Scans ungefähr bei ca. 3.000 Euro, Penetrationstests bei etwa 5.000 Euro – je nach Zielobjekt(en) und deren Funktionsumfang, Komplexität und gewünschter Prüftiefe.

Je nach zu untersuchenden Zielobjekt(en) und deren Funktionsumfang, Komplexität und gewünschter Prüftiefe dauert eine Untersuchung zwischen einigen Werktagen und mehreren Wochen. Zwischen Beginn der Untersuchung und Lieferung des Berichts kann je nach Untersuchung noch etwas mehr Zeit vergehen, da alle unsere Berichte vor der Herausgabe an den Auftraggeber umfangreich qualitätsgesichert werden.

Üblicherweise erstellen wir über die Ergebnisse einen detaillierten Prüfbericht, der die vorgefundenen Ergebnisse beschreibt. Hier liegt nach Aussage unserer Kunden auch der wesentliche Unterschied zwischen uns und unseren Marktbegleitern: unsere Berichte sind so gestaltet, dass auch Nicht-IT-Sicherheitsexperten diese nachvollziehen können. Diesem Anspruch werden wir durch die Aufnahme von umfangreichen Screenshots in die Berichte gerecht, um eine möglichst gute Nachvollziehbarkeit zu erreichen.

Üblicherweise erfolgt die Dokumentation der Ergebnisse im Bericht in englischer Sprache. Dies trägt dem Umstand Rechnung, dass sich die allermeisten Begrifflichkeiten nur recht “holprig” in die deutsche Sprache übersetzen lassen. Auf Wunsch können wir auch Berichte in deutscher Sprache erstellen.

Alle unsere Spezialisten verfügen über einschlägige Qualifikationen wie CEH (Certified Ethical Hacker), CCSP (Certified Cloud Security Professional), CISA (Certified Information Systems Auditor) und weitere. Wir sehen uns in der Rolle des White Hat Hackers, der proaktiv zur Erhöhung der Sicherheit der Zielobjekte beiträgt.

Sie sollten unbedingt regelmäßig einen Penetrationstest Ihrer Anwendungen und, je nach Cloud-Szenario, auch einen Vulnerability Scan durchführen lassen. Cloud-Provider sichern den Teil der Leistungserbringung, für den sie verantwortlich sind, ab. Für die Sicherheit der betriebenen Applikationen ist der Applikationsbetreiber selbst verantwortlich. Mehr dazu in unserem Blog.

Je nach Inhalten kann es sein, dass wir mit personenbezogenen Daten in Berührung kommen. Selbstverständlich erhalten Sie für solche Fälle eine fachanwaltlich erstellte und DSGVO-konforme Vereinbarung zur Datenverarbeitung im Auftrag.

Mit unseren IT-Sicherheitsuntersuchungen können Sie verschiedene Maßnahmen aus dem Anhang A der ISO 27001:2022 umsetzen. Beispielsweise führt die Norm Penetration Tests als Teil der Maßnahme „Managing information security in the ICT supply chain“ (Maßnahme 5.21) auf. Beim „Management of technical vulnerabilities“ (Maßnahme 8.8) werden Penetration Tests und Vulnerability Scans konkret als regelmäßig durchzuführende Tätigkeit zur Identifikation von Schwachstellen genannt. Der Punkt „Monitoring Activities“ (Maßnahme 8.16) erwähnt Penetration Tests und Vulnerability Scans als Ergänzung der Überwachungsaktivitäten einer Organisation. Im Rahmen vom „Secure Development Lifecycle“ (Maßnahme 8.25) wird auf Penetration Tests als ein wesentlicher Baustein eines sicheren Entwicklungs-Zyklus‘ verwiesen. Und schließlich wird beim Punkt „Security testing in development and acceptance“ (Maßnahme 8.29) die Durchführung sowohl von Penetration Tests als auch von Vulnerability Scans im Kontext der Durchführung von Sicherheitstests während Entwicklung und Wartung von Systemen empfohlen.

Sofern wir beauftragt wurden, dies im Rahmen eines Penetration Tests zu tun: ja. Wenn uns das gelingt, gehen wir immer verantwortungsvoll mit den Erkenntnissen um. Insbesondere nutzen wir keinesfalls die Möglichkeit zur Ausnutzung, um Schaden zu verursachen.

Grundsätzlich nein, da wir der Überzeugung sind, dass unsere Kunden ihre Anwendungen und Infrastrukturen selbst am besten kennen. Fallweise können wir jedoch gerne über punktuelle Unterstützungsleistungen sprechen.

Nein, Incident Response Dienstleistungen gehören nicht zu unserem Dienstleistungsportfolio.

Nein, digitale Forensik gehört nicht zu unserem Dienstleistungsportfolio.

Unsere Dienstleistungen stehen allen Branchen offen und wir begreifen die Vielfalt unserer Kunden als Ansporn und Möglichkeit, ständig neue und tiefere Einblicke in unterschiedliche Branchen zu erwerben. Wir haben einen spezifischen Schwerpunkt im Handel, im Bereich Payment (PCI DSS) sowie im Bereich Gesundheits-Apps gemäß den deutschen DIGA/DIPA-Verordnungen.

Google Maps

Mit dem Laden der Karte akzeptieren Sie die Datenschutzerklärung von Google.
Mehr erfahren

Karte laden