Penetrationstest & Auditierung

Wir untersuchen Ihre Systeme auf Schwachstellen und helfen Ihnen diese zu schließen.


Führende Organisationen greifen auf unsere Expertise zurück

Profitieren auch Sie von unseren modernen Ansätzen aus Wirtschaft und Forschung


Der Weg zur Durchführung eines Penetrationstests

Ein Penetrationstest ist stets ein Individualprojekt. Der Weg zur Durchführung Ihres Pentests durch die AWARE7 lässt sich anhand von drei Schritten definieren.

Planung

Im ersten kostenfreien Beratungsgespräch klären wir Fragen zur Architektur, zum Umfang und zur Tiefe des Tests.

Anschließend werden die Vertragsmaterialien und die Vertraulichkeitsvereinbarung unterzeichnet. Weitere Unterlagen wie Vertragsmaterialien und die Systemfreigabe werden vor dem Beginn der Ausführung ausgetauscht.

Durchführung

Wir führen den Penetrationstest nach aktuellen Standardverfahren (OSSTMM oder dem OWASP Testing Guide) durch.

Wir testen Ihr System in vorher definierter Tiefe und Umfang. Fordern Sie unseren Technicalrider an und erfahren Sie mehr über den Ablauf der Durchführung.

Abschluss

Der Penetrationstest wird mit einer übersichtlichen und einem umfangreichen Report abgeschlossen.

Alle Informationen und Sicherheitslücken sind enthalten. Auf Wunsch wird eine Abschlusspräsentation durchgeführt. Handlungsempfehlungen und Workshops zur Vermeidung von zukünftigen Fehlern sind optional.

Unsere Mitarbeiter:innen sind durch folgende Organisationen zertifiziert


Jetzt unser Pentest Whitepaper kostenfrei herunterladen


Die Pentest Experten der AWARE7 GmbH

Das Team der AWARE7 GmbH ist auf die professionelle Durchführung von Penetrationstests spezialisiert. Die jahrelange Erfahrung der Analysten sowie die qualifizierte Aus- und Weiterbildungen eines jeden einzelnen Mitarbeiters ermöglichen das zuverlässige Auffinden von Sicherheitslücken in Ihren Systemen. Auch die Wirksamkeit von Schutzmechanismen kann im Rahmen eines Penetrationstest überprüft und dokumentiert werden.

Moritz
Gruber

Senior Cyber Security Consultant

Matteo Große-Kampmann

Geschäftsführer der AWARE7 GmbH

Jan
Hörnemann

Junior Cyber Security Consultant

Frank
Timmermann

Senior Cyber Security Consultant

Pentester - Frank Timmermann

Aljoscha
Weishaupt

Junior Cyber Security Consultant

Chris
Wojzechowski

Geschäftsführer der AWARE7 GmbH

Unsere Tester agieren in der Regel als Team um Ihnen optimale Ergebnisse liefern zu können. Während der Durchführung des Tests erhalten Sie einen „Single Point Of Contact“. Eine Person ist dabei ausschließlich Ihrem Projekt zugeordnet und Ansprechpartner für alle Belange. Profitieren Sie von einer 24/7 Verfügbarkeit und genießen Sie einen komfortablen Kommunikations- und Informationsfluss ins Team. Die AWARE7 GmbH blickt auf über 70 Jahre Berufserfahrung in verschiedenen Bereichen der offensiven und defensiven IT-Sicherheit.


Sie haben Fragen?

Jetzt unverbindlich Kontakt aufnehmen!

Telefon

0209 – 8830 6760

Mail

info@aware7.de

Adresse

Munscheidstr. 14
45886 Gelsenkirchen

Jetzt Informationen hinterlegen - wir rufen zurück!


„Die AWARE7 ist für uns ein starker und kompetenter Partner im Bereich des Pentestings unserer SaaS Lösungen und mobile Apps. Das Team der AWARE7 sticht durch ihre Fähigkeit Ergebnisse für alle Bereiche unseres Unternehmens, fachlich und ansprechend, aufzubereiten und zu vermitteln.“

Markus Hertlein,
Geschäftsführer XignSyS GmbH


Diese Bereiche können Sie von uns untersuchen lassen

Die AWARE7 GmbH ist ein auf die Durchführung von Penetrationstests spezialisiertes Unternehmen. Sie planen Ihr Netzwerk, Anwendungen in der Cloud oder andere Arten Hard- und Software untersuchen zu lassen? Laden Sie kostenlos und unverbindlich unsere bereitgestellten Dokumente herunter.

Software

Wir untersuchen Ihre eingesetzte Software nach dem Ansatz, wie Sie es fordern oder benötigen.

Hardware

Ihre Hardware wird auf gängige und außergewöhnliche Schwachstellen untersucht und geprüft.

Infrastruktur

Wir testen Ihre Infrastruktur auf Verfügbarkeit, Integrität und Vertraulichkeit.


Beispiel Pentest Report herunterladen

Ein Penetrationstest deckt Schwachstellen in Ihren Systemen auf und schützt Sie, in dem die Lücken geschlossen werden, vor der Ausnutzung von Angreifern. Dabei ist die Sicherheitsuntersuchung stets als punktuelle Bestandsaufnahme anzusehen. Im Sinne eines nachhaltig sicheren Unternehmens müssen Penetrationstests in regelmäßigen Abständen erneut durchgeführt werden.

Je nach Umfang des Systems und der gewünschten Testtiefe kann Ihre Anwendung von der Validierung der Benutzereingaben bis hin zur aufwändigen Code-Analyse untersucht werden. Wir führen unsere Tests methodisch nach dem OWASP Testing Guide oder dem OSSTMM, in der jeweils aktuellsten Version, durch.


Kostenfreie Pentest Unterlagen

Erhalten Sie einen übersichtlichen Eindruck darüber, wie ein Pentest abläuft und wie Sie von der Durchführung profitieren können.


Welche unterschiedlichen Testtypen gibt es und welche Fachbegriffe sollten die Beteiligten kennen Laden Sie jetzt unseren Leitfaden herunter.


Web Application, Cloud oder mobile Testing sind die Kernkompetenzen der AWARE7. Erfahren Sie mehr und laden Sie unseren Pentest Guide herunter.


Was kostet ein Penetrationstest und wie ist dieser aufgebaut? Darüber informieren wir in unserem kostenfreien Whitepaper.


Jetzt unverbindlich Kontakt aufnehmen

Die AWARE7 GmbH ist ein professioneller Dienstleister in der IT-Security Branche. Nehmen Sie jetzt unverbindlichen Kontakt auf – auch für Projekte, Vorhaben oder Untersuchungen, die nicht explizit auf der Webseite geführt werden.

Kontakt

+49 (0) 209 – 8830 6760
info [at] aware7.de

Anschrift

AWARE7 GmbH

Im Wissenschaftspark
Munscheidstr. 14
45886 Gelsenkirchen

Matteo Große-Kampmann

Geschäftsführender Gesellschafter


Häufig gestellte Fragen zur Durchführung von Penetrationstests

Was ist ein Penetrationstest?

Ein Penetrationstest ist die professionelle und organisierte Durchführung einer IT-Sicherheitsuntersuchung von einem IT-System oder Netzwerk. Der Umfang der Untersuchung wird individuell zwischen Auftraggeber und Auftragnehmer abgestimmt. Von der Schnittstelle über IT-Systemen bis hin zur ganzen Infrastruktur kann die IT-Sicherheitsuntersuchung durchgeführt werden.

Die Verwundbarkeit bzw. Empfindlichkeit gegenüber Cyberangriffen soll im Rahmen der Untersuchung festgestellt werden. Dabei werden von den Angreifern Methoden, Werkzeuge und Techniken verwendet, auf die auch echte Hacker und Angreifer zurückgreifen.

Was ist das Ziel eines Penetrationstests?

Das Ergebnis einer professionellen IT-Sicherheitsuntersuchung ist die Erhöhung des IT-Sicherheitsniveaus des untersuchten Gegenstandes. Dazu werden Schwachstellen aufgespürt und im Anschluss geschlossen. Zur Überprüfung der getroffenen Maßnahmen wird ein Re-Test durchgeführt. Dabei liegt die Behebung der Schwachstellen im Verantwortungsbereich des Auftraggebers. Durch unterschiedliche Maßnahmen wie z.B.:

  • die Schulung des Personals
  • die Abschaltung von Systemen
  • das Einspielen von Updates

kann der Auftraggeber die Wahrscheinlichkeit senken das Opfer einer professionellen Cyberattacke zu werden.


Was ist ein White Box Pentest?

Bei einem White Box Test besteht volle Kenntnis über das Zielsystem. Der White Box Penetrationstest beinhaltet ein umfangreiches Code Review. Dieses Review wird mit einem Fokus auf IT-Sicherheit durchgeführt.

Architektur- und Infrastrukturaspekte werden ebenfalls untersucht und anschließend bewertet. Der White Box Penetrationstest beansprucht, ähnlich des Black Box Penetrationstests, viel Zeit zur Durchführung. Dieser Umstand spiegelt sich in den Kosten für einen Pentest wider.

Was ist eine Grey Box Untersuchung?

Die notwendigsten Informationen wurden über das Zielsystem ausgetauscht. Dazu zählt z.B. die

  • URL der Anwendung
  • Benutzeranmeldeinformationen
  • Benutzerrollen

Der Greybox-Test ist die effektivste Methode zur Untersuchung Ihrer Anwendung. Durch die fehlende, umfangreiche Informationsrecherche im Vergleich zum Black Box Test, kann der Entdeckung und Ausnutzung von Sicherheitslücken mehr Aufmerksamkeit gewidmet werden.

Was ist ein Black Box Penetrationstest?

Ihr System wird ohne Kenntnisse unsererseits durch unsere Experten getestet. Wir geben nur Ihren Firmennamen an unsere Tester und diese starten mit der Informationsrecherche.

Dieser Angriff orientiert sich nah an einem echten Angreifer, jedoch dauert die initiale Informationsrecherche je nach Umfang des Systems entsprechend lange, sodass ein umfangreicher zeitlicher Rahmen gewählt werden muss, um aussagekräftige Ergebnisse zu erhalten.


Warum schützen Virenscanner und Firewalls nicht ausreichend?

Virenscanner und Firewalls reichen heutzutage aus unterschiedlichen Gründen nicht mehr aus. Gerade bei vernetzten Anwendungen ist der Server die Komponente welche am besten geschützt werden muss und dort gibt es zumeist keinen Virenscanner. Diese sind hauptsächlich auf Endgeräten wie Laptops oder Workstations zu finden, jedoch nicht im Umfeld von Servern.

Ziel eines Penetrationstests ist es an der Firewall vorbei, über eine legitime Anwendung Zugang zum System zu erhalten. Während eine Firewall verhindern soll, dass Angreifer beliebige Dienste missbrauchen, stellt ein Pentest sicher, dass die Angreifer nicht als legitim getarnter Datenverkehr Zugang zum System erhalten.

Wir haben eine professionelle IT-Sicherheitsuntersuchung durchgeführt – und nun?

Pentesting ist ein Prozess, kein einmaliges Projekt. Ihre Anwendung verändert sich nahezu täglich, Abhängigkeiten von Programmen können sich ändern und anfällig für neue Angriffe werden. Daher ist es wichtig einen kontinuierlichen IT-Sicherheitsprozess einzuführen.

Ein einmaliger Pentest ist für die Ermittlung des Status Quo unabdinglich. Im Sinne einer langfristig angelegten IT-Sicherheitsstrategie brauchen Sie einen kontinuierlichen Prozess, der Ihnen jährlich die Probleme in Ihrem System aufzeigt und analysiert.


Welche Standards gelten für die Durchführung von Pentests?

Es gibt unterschiedliche Standards im Bereich Pentesting. Eine der bekanntesten Familien stellt das Open Web Application Security Projekt (OWASP) dar. Es gibt die OWASP Top 10. Dies ist ein regelmäßig aktualisierter Bericht, der Sicherheitsbedenken für die Sicherheit von Webanwendungen aufzeigt und sich auf die 10 kritischsten Risiken konzentriert. Der Bericht wird von einem Team von Sicherheitsexperten aus der ganzen Welt erstellt. OWASP bezeichnet die Top 10 als „Sensibilisierungsdokument“ und empfiehlt allen Unternehmen, den Bericht in ihre Prozesse zu integrieren, um Sicherheitsrisiken zu minimieren und/oder zu verhindern. Diese Top 10 gibt es auch für mobile Anwendungen, das IoT und APIs.

Die OWASP Top 10 sind jedoch kein Standard nach dem ein Penetrationstest durchgeführt wird. Ein Penetrationstest wird nach dem OWASP Testing Guide, welcher sich aktuell in Version 4 befindet, durchgeführt. Dieser ist speziell für Web Anwendungen geschrieben. Es gibt einen weiteren Guide speziell für mobile Anwendungen, einen für IoT und einen für APIs. Wir führen unsere Tests nach dem OWASP Testing Guide in der aktuellsten Version durch – nicht nach den OWASP Top 10.

Ein weiteres Rahmenwerk ist der Penetration Testing Execution Standard (PTES). Dieser definiert sich wie folgt:
Die Ausführungsnorm für Penetrationsprüfungen besteht aus sieben Hauptabschnitten. Diese umfassen alles, was mit einem Penetrationstest zu tun hat – von der ersten Kommunikation und Argumentation hinter einem Pentest über die Phasen der Intelligenzsammlung und Bedrohungsmodellierung, in denen die Tester hinter den Kulissen arbeiten, um ein besseres Verständnis der getesteten Organisation zu erhalten, über die Schwachstellenforschung, Exploitation und Postexploitation, in denen die technische Sicherheitsexpertise der Tester zum Einsatz kommt. Diese wird mit dem Geschäftsverständnis des Engagements kombiniert, bis hin zum Reporting, das den gesamten Prozess erfasst. Das Reporting erfolgt in einer Weise, die für den Kunden sinnvoll ist und ihm den größten Nutzen bietet. Die 7 Schritte sind entsprechend folgende

  • Pre-engagement Interactions
  • Intelligence Gathering
  • Threat Modelling
  • Vulnerability Analysis
  • Exploitation
  • Post Exploitation
  • Reporting

Ein ebenfalls sehr bekannter Standard wird durch das Open Source Security Testing Methodology Manual (OSSTMM) abgebildet. Hierbei handelt es sich um ein weiteres frei verfügbares Rahmenwerk für Sicherheitstests. Dabei geht es nicht nur um Webanwendungen oder eine spezielle Industrie. Berichte werden beim OSSTMM nach dem STAR-Modell (Security Test Audit Report) geschrieben und Angriffsfläche wird per RAV definiert. Das RAV ist ein Maß für die Angriffsfläche, das Ausmaß der unkontrollierten Wechselwirkungen mit einem Ziel, das durch das quantitative Gleichgewicht zwischen Operationen, Beschränkungen und Kontrollen berechnet wird. Das RAV ist essentiell, um einen Bericht im STAR Modell zu schreiben.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Schema entwickelt, mit dem sich ein Test generell beschreiben lässt. Dabei werden vor allem folgende 6 Kerne erwähnt:

  • Informationsbasis
  • Aggressivität
  • Umfang
  • Vorgehensweise
  • Technik
  • Ausgangspunkt

Welche Werkzeuge werden für die Durchführung von einem Penetrationstest verwendet?

Nikto – Webserver auf Schwachstellen untersuchen

Ein Webserver ist für alle Benutzer:innen aus dem Internet erreichbar. Die Sicherstellung der Verfügbarkeit, Vertraulichkeit und Integrität ist essentiell für jeden, für den die Webseite ein Aushängeschild oder Einnahmequelle darstellt. Mit der Hilfe von Nikto kann im Rahmen eines Penetrationstests herausgefunden werden, ob der Webserver über Schwachstellen verfügt, die vollautomatisiert entdeckt werden können.

Die Verwendung von Nikto ersetzt keinesfalls die professionelle Durchführung eines Pentests. Das Werkzeug ist für Pentester jedoch ein Mittel um einzuschätzen, wie leicht der Webserver des Kunden anzugreifen wäre.

Nikto - hilft bei der Durchführung von einem Penetrationstest
ZYDRA – Passwörter von PDF und anderen Dateien knacken

Passwortgeschützte Dokumente, die gestohlen worden sind, können mit der Hilfe von Zydra entschlüsselt werden. Ausreichend viel Rechenpower und Geduld ist nötig. Neben PDF Dateien können auch die Passwörter von geschützten ZIP-Archiven geraten werden. Die freie Software wird in einem Docker Container ausgeführt. Da die Software nicht über allzu überladene Funktionen verfügt, ist die Verwendung einfach.

Mit der Hilfe von ZYDRA kann die Sicherheit von offline Dokumenten eingeschätzt werden. Stichprobenartig können Dokumente, mit der Hilfe von Zydra, untersucht werden. Dies sollte stets auf der Basis einer Verschwiegenheits- bzw. Vertraulichkeitsvereinbarung geschehen. Die Erhöhung der Passwortstärke wäre eine mögliche Konsequenz, falls Passwörter zu schnell erraten werden.

Im Rahmen von einem Penetrationstest Passwörter knacken