Pentesting: die gute Seite des Hackens

Praktischer Schutz für Ihr Unternehmen


General News

Hält Ihre IT-Gefahrenabwehr den Angriffen stand, für die sie konzipiert wurde? Sind Ihre Daten ausreichend gegen Missbrauch geschützt (Adresshandel, Identity Theft, Ransomware)? Und wie steht es um Ihre Steuerungssysteme?

Penetrationstests sind praktische Überprüfungen die feststellen, wie gut eine IT-Umgebung gegen Versuche gewappnet ist, sich unbefugt zu ihr Zugang zu verschaffen.

Somit stellt der Penetrationstest das Pendant dar zu den im Rahmen einer Risikoanalyse festgestellten Schwächen und den dagegen gesetzten Maßnahmen: Er prüft, ob die Analyse vollständig und die Maßnahmen wirksam waren.
Wichtig: Penetrationstests müssen regelmäßig oder anlassbezogen wiederholt werden.

Schnell zum Penetrationstest

Wählen Sie zunächst den Modus des Tests: Er beschreibt den Grad der Kenntnisse über die IT-Umgebung, die der Auftragnehmer erhält (wir nennen einen Test ohne jeglichen Hinweis „Blindtest“). Dies bestimmt in weiten Teilen die Dauer und den Aufwand des Tests. Erst dann sollte der Umfang des Tests festgelegt werden. Es werden verschiedene Leistungspakete angeboten, die individuell ergänzt werden können. Allen gemeinsam sind eine Vor- sowie eine Nachbereitungsphase (siehe unten), für die jeweils ein halber Tag (ggfs. mehr) vor Ort vorgesehen ist.

Die Leistungspakete haben folgende Umfänge:

  • PenCheck

Entspricht in seiner Durchführung weitgehend einem „Vulnerability Scan“.

  • Kompakt-Prüfung

Erweitert den Kurzcheck um einen Test der On-Site Umgebungssicherheit, der den Zugang zu Arbeitsplätzen, Peripheriegeräten und offenen Netzwerkzugängen umfasst. Außerdem erfolgt ein Basis-Test der Cloud-Systeme und von Steuerungssystemen.

  • Voller Penetrationstest

Dieser Test erweitert die vorigen Tests um systematische Angriffe auf Verschlüsselungstechnik von Web-Servern, Cloud-Systemen und Steuerungssystemen.

Auf Wunsch werden auch „brute-force“-Methoden eingesetzt.

Der Testaufwand ist abhängig von Komplexität der Umgebung, Modus, Umfang und Tiefe der Tests. Daher wird grundsätzlich in Personentagen (PT) abgerechnet.

Nachfolgende Erfahrungswerte für Organisationsgrößen dienen als unverbindliche Hinweise. Die Werte in den zwei linken Spalten sind wahlweise zu verstehen.

 

Nutzer

Applikationen

Test-Paket

Geschätzte PT

250

50

Check

Kompakt

Voll

Check, Blindtest

Kompakt, Blindtest

Voll, Blindtest

3

7

9

5

10

12


 

Der Aufwand lässt sich zwar skalieren, allerdings ist auch bei kleineren Organisationen oder geringerer Anzahl Applikationen ein geringerer Aufwand als oben angegeben nicht realistisch.

Der Aufwand fällt nicht linear „in Vollzeit“ an, daher sind für jeden PT Aufwand ca. 3 Arbeitstage Dauer anzusetzen.

 Penetrationstests sind Vertrauenssache.
Lassen Sie sich unverbindlich beraten.

Teile diesen Beitrag!