Vulnerability Scanning & Pentesting Services

Wir führen Vulnerability Scans und Penetration Tests durch. Vulnerability Scans sind ein hochautomatisierter Prozess, bei dem die Zielobjekte – z.B. IT-Infrastrukturkomponenten, Server oder Anwendungen – auf bekannte Sicherheitslücken untersucht werden. Bei einem Penetration Test wird versucht, identifizierte Sicherheitslücken auch auszunutzen. Der Penetration Test ist dabei mit deutlich mehr “Handarbeit” verbunden.

Grundsätzlich führen wir IT-Sicherheitsuntersuchungen für alle Arten von Systemen durch – mit starkem Fokus auf Web- und Mobil-Applikationen. Auch IT-Infrastrukturen auf Microsoft Windows Basis – egal ob on premises oder in der Cloud – werden durch uns untersucht. Lediglich traditionelle Fat Client Anwendungen sowie hardwarenahe Szenarien untersuchen wir im Rahmen unseres Dienstleistungsportfolios nicht.

Der Fokus bei einem Vulnerability Scan liegt auf dem Identifizieren von bekannten Schwachstellen, wohingegen bei einem Penetration Test versucht wird, vorhandene Schwachstellen auch auszunutzen.

In den allermeisten Fällen führen wir die Untersuchungen als Grey Box Assessment durch. Dabei werden ausgewählte Details über das/die Zielobjekt(e) mit uns geteilt, um den Aufwand und damit die Kosten möglichst gering zu halten. Es werden weiterhin noch so genannte Black Box und White Box Tests unterschieden.

Software enthält Fehler. Schlechte Programmierpraktiken können ernsthafte Sicherheitslücken in Software zur Folge haben. Werden diese von Angreifern ausgenutzt besteht z.B. die Gefahr des Datendiebstahls – und aller damit verbundenen weiteren Bedrohungsszenarien (z.B. Erpressung oder die Beeinträchtigung der Verfügbarkeit). Verantwortungsvolle Firmen führen Penetration Tests proaktiv und regelmäßig durch, um selbst solche Fehler aufzuspüren – und damit ihre Organisation vor negativen Auswirkungen zu schützen.

Üblicherweise nicht. Es kann vereinzelt zu Fehlfunktionen der untersuchten Zielobjekte kommen, wobei jedoch keine dauerhaften Schäden entstehen.

Software wird regelmäßig aktualisiert. Bei jeder Aktualisierung besteht die Möglichkeit, dass Schwachstellen durch die neue Softwareversion eingeschleust werden. Um diese zeitnah zu erkennen und zu schließen, sollten regelmäßige Vulnerability Scans durchgeführt werden.

Im Rahmen der Vorbereitungen sprechen wir zunächst mit jedem Kunden im Rahmen eines kostenfreien Erstgesprächs über die spezifische Zielsetzung dessen, was die jeweilige Organisation mit der Sicherheitsuntersuchung bezweckt. Danach führen wir gemeinsam einen Walkthrough durch das/die Zielobjekt(e) durch, um uns ein Bild vom jeweiligen Untersuchungsgegenstand zu machen. Dabei fragen wir meist einige Rahmenparameter wie verwendete Technologiekomponenten, Deployment-Szenarien, verwendete Datenbanken und weiteres ab. Ebenso besprechen bei Applikationen die wesentlichen Workflows sowie die Funktionalitäten rund um das Management von Benutzern. Auf Basis der erhobenen Informationen planen wir die Untersuchung und führen diese durch.

In vereinzelten Fällen kommt es zu temporären Fehlfunktionen oder auch Darstellungsfehlern bei den untersuchten Objekten. Einer Verunsicherung innerhalb der Belegschaft einer Organisation empfehlen wir durch proaktive Kommunikation der Untersuchung vorzubeugen.

Wir verwenden alle Informationen, auf die wir während einer Untersuchung Zugriff erhalten, ausschließlich im Rahmen unseres Mandats. Erfolgreiche Angriffe dokumentieren wir anhand beispielhafter Daten im Rahmen unserer Berichte. Alle Daten und Informationen werden nach dem Abschluss der Untersuchung wieder gelöscht und an niemanden weitergegeben.

In Deutschland existieren verschiedene Vorschriften, u.a. der sog. “Hackerparagraph” §202c StGB, welche den Rahmen für IT-Sicherheitsuntersuchungen setzen. Der gutwillige Umgang mit entsprechender Software und die zugehörigen Handlungen fallen jedoch nicht unter diesen Paragraphen. Alle Aktivitäten, die wir im Rahmen von IT-Sicherheitsuntersuchungen durchführen, sind vollumfänglich legitimiert und nicht illegal.

Ja. Unsere Managed SIEM Lösung Watchdog by TEN IM, die auf der Open Source IT-Security- Plattform Wazuh basiert, bringt eine entsprechende Funktion mit. Das dort eingebaute Vulnerability Management scannt kontinuierlich die untersuchten Systeme und erlaubt einen Einblick in die IT-Sicherheitslage quasi in Echtzeit. Je nach Anwendungsfall entscheiden wir gemeinsam mit dem Kunden, welche Lösung zum Vulnerability Management die kosteneffizienteste Variante für das Schwachstellenmanagement darstellt.

Je nach Zielobjekt(en) ziehen wir entsprechende Industriestandards heran. Im Bereich Web-Applikationen sind dies zum Beispiel die einschlägigen Publikationen des Open Web Application Security Projekts – OWASP. Am bekanntesten sind die OWASP Top 10 der Sicherheitsrisiken in Webanwendungen. Für mobile Anwendungen existieren ebenfalls entsprechende Frameworks.

Sofern keine sektorspezifischen regulatorischen Vorgaben existieren, gilt die Faustregel “nach jeder größeren Veränderung”. Was als “größere Veränderung” anzusehen ist, ist dabei immer kontextabhängig. Grundsätzlich empfehlen wir bei Web- und Mobile-Anwendungen, jedes größere (Major) Release testen zu lassen. Sofern nichts näher festgelegt ist, kann für Vulnerability Scans und für Penetrationstests eigenerstellter Anwendungen eine Prüffrequenz von 6 Monaten als Richtschnur dienen – je nach spezifischem Risikoprofil auch häufiger oder seltener.

Unbedingt! Das Schwachstellenmanagement (Vulnerability Scanning) unterscheidet sich fundamental vom Penetration Testing. Leider gibt es immer mal wieder Anbieter am Markt, die es mit dem Unterschied nicht so genau nehmen. Das automatisierte Erkennen von Schwachstellen (Vulnerability Scan) ersetzt keinen Penetration Test.

Kurz gesagt: nichts. Penetrationstests sind eine nur teilweise zu automatisierende Tätigkeit, die immer mit einem Mindestmaß an “Handarbeit” verbunden ist. Es kommt für den Erfolg maßgeblich auf die Erfahrung der involvierten Experten an. Leider gibt es immer mal wieder Anbieter am Markt, die es mit dem Unterschied zwischen Vulnerability Scans und Penetration Tests nicht so genau nehmen. Dort werden dann gerne mal die Begriffe Vulnerability Scanning und Penetration Test gleichgesetzt – und so ein automatisiertes Schwachstellen Management als Penetrationstest dargestellt.

Grundsätzlich führen wir IT-Sicherheitsuntersuchungen als Festpreisprojekt durch. Unsere langjährige Erfahrung ermöglicht uns die zielgenaue Abschätzung, welche wir auf Basis eines gemeinsamen Walkthroughs durch das/die Zielobjekt(e) vornehmen. Kostenseitig beginnen Vulnerability Scans ungefähr bei ca. 3.000 Euro, Penetrationstests bei etwa 5.000 Euro – je nach Zielobjekt(en) und deren Funktionsumfang, Komplexität und gewünschter Prüftiefe.

Je nach zu untersuchenden Zielobjekt(en) und deren Funktionsumfang, Komplexität und gewünschter Prüftiefe dauert eine Untersuchung zwischen einigen Werktagen und mehreren Wochen. Zwischen Beginn der Untersuchung und Lieferung des Berichts kann je nach Untersuchung noch etwas mehr Zeit vergehen, da alle unsere Berichte vor der Herausgabe an den Auftraggeber umfangreich qualitätsgesichert werden.

Üblicherweise erstellen wir über die Ergebnisse einen detaillierten Prüfbericht, der die vorgefundenen Ergebnisse beschreibt. Hier liegt nach Aussage unserer Kunden auch der wesentliche Unterschied zwischen uns und unseren Marktbegleitern: unsere Berichte sind so gestaltet, dass auch Nicht-IT-Sicherheitsexperten diese nachvollziehen können. Diesem Anspruch werden wir durch die Aufnahme von umfangreichen Screenshots in die Berichte gerecht, um eine möglichst gute Nachvollziehbarkeit zu erreichen.

Üblicherweise erfolgt die Dokumentation der Ergebnisse im Bericht in englischer Sprache. Dies trägt dem Umstand Rechnung, dass sich die allermeisten Begrifflichkeiten nur recht “holprig” in die deutsche Sprache übersetzen lassen. Auf Wunsch können wir auch Berichte in deutscher Sprache erstellen.

Alle unsere Spezialisten verfügen über einschlägige Qualifikationen wie CEH (Certified Ethical Hacker), CCSP (Certified Cloud Security Professional), CISA (Certified Information Systems Auditor) und weitere. Wir sehen uns in der Rolle des White Hat Hackers, der proaktiv zur Erhöhung der Sicherheit der Zielobjekte beiträgt.

Sie sollten unbedingt regelmäßig einen Penetrationstest Ihrer Anwendungen und, je nach Cloud-Szenario, auch einen Vulnerability Scan durchführen lassen. Cloud-Provider sichern den Teil der Leistungserbringung, für den sie verantwortlich sind, ab. Für die Sicherheit der betriebenen Applikationen ist der Applikationsbetreiber selbst verantwortlich. Mehr dazu in unserem Blog.

Je nach Inhalten kann es sein, dass wir mit personenbezogenen Daten in Berührung kommen. Selbstverständlich erhalten Sie für solche Fälle eine fachanwaltlich erstellte und DSGVO-konforme Vereinbarung zur Datenverarbeitung im Auftrag.

Mit unseren IT-Sicherheitsuntersuchungen können Sie verschiedene Maßnahmen aus dem Anhang A der ISO 27001:2022 umsetzen. Beispielsweise führt die Norm Penetration Tests als Teil der Maßnahme „Managing information security in the ICT supply chain“ (Maßnahme 5.21) auf. Beim „Management of technical vulnerabilities“ (Maßnahme 8.8) werden Penetration Tests und Vulnerability Scans konkret als regelmäßig durchzuführende Tätigkeit zur Identifikation von Schwachstellen genannt. Der Punkt „Monitoring Activities“ (Maßnahme 8.16) erwähnt Penetration Tests und Vulnerability Scans als Ergänzung der Überwachungsaktivitäten einer Organisation. Im Rahmen vom „Secure Development Lifecycle“ (Maßnahme 8.25) wird auf Penetration Tests als ein wesentlicher Baustein eines sicheren Entwicklungs-Zyklus‘ verwiesen. Und schließlich wird beim Punkt „Security testing in development and acceptance“ (Maßnahme 8.29) die Durchführung sowohl von Penetration Tests als auch von Vulnerability Scans im Kontext der Durchführung von Sicherheitstests während Entwicklung und Wartung von Systemen empfohlen.

Sofern wir beauftragt wurden, dies im Rahmen eines Penetration Tests zu tun: ja. Wenn uns das gelingt, gehen wir immer verantwortungsvoll mit den Erkenntnissen um. Insbesondere nutzen wir keinesfalls die Möglichkeit zur Ausnutzung, um Schaden zu verursachen.

Grundsätzlich nein, da wir der Überzeugung sind, dass unsere Kunden ihre Anwendungen und Infrastrukturen selbst am besten kennen. Fallweise können wir jedoch gerne über punktuelle Unterstützungsleistungen sprechen.

Nein, Incident Response Dienstleistungen gehören nicht zu unserem Dienstleistungsportfolio.

Nein, digitale Forensik gehört nicht zu unserem Dienstleistungsportfolio.

Unsere Dienstleistungen stehen allen Branchen offen und wir begreifen die Vielfalt unserer Kunden als Ansporn und Möglichkeit, ständig neue und tiefere Einblicke in unterschiedliche Branchen zu erwerben. Wir haben einen spezifischen Schwerpunkt im Handel, im Bereich Payment (PCI DSS) sowie im Bereich Gesundheits-Apps gemäß den deutschen DIGA/DIPA-Verordnungen.