Penetrationstest

Der sicherheitstechnische Belastungstest

Ein Penetrationstest ist eine technische und offensive Überprüfung der Sicherheit von IT-Systemen. Dabei können unterschiedliche IT-Komponenten im Fokus stehen:

    • Webapplikationen
    • APIs
    • Mobile Apps
    • Ganze Netzwerke

Das Vorgehen ist stets mit Ihnen abgestimmt und orientiert sich an Standards und Frameworks wie OWASP Web/Mobile Security Testing Guide und MITRE ATT&CK.

 

Ausführungen

Ein Penetrationstest beginnt mit dem Festlegen von Scope und Rahmenbedingungen: Sie geben vor, welche Netzwerke, Hosts, Applikationen, Benutzerrollen, Funktionalitäten, etc. überprüft werden sollen und unter welchen Bedingungen. Dabei werden u.a. folgende Fragen geklärt:

    • Welche Überprüfungstätigkeiten sollen erlaubt sein?
    • Wie viele interne Informationen über die Systeme sollen im Vorfeld preisgegeben werden, d.h. soll es sich um einen White-, Grey- oder Blackbox-Penetrationstest handeln?
    • Wann und wo (remote/vor Ort) sollen die Überprüfungen stattfinden?

Die Dauer eines Penetrationstests hängt ab von Grösse und Komplexität der Umgebung sowie gewünschter Überprüfungstiefe. Bei Penetrationstests kann eine Vielzahl von Techniken und Werkzeugen zum Einsatz kommen. Typische Aktivitäten beinhalten:

    • Die Identifikation von Hosts, Diensten, Endpunkten, etc.
    • Ausnutzung von Schwachstellen
    • Eskalation von Privilegien
    • Laterale Bewegung
    • Man-in-the-Middle-Angriffe
    • Sammeln und Verwenden von Authentifizierungsinformationen
    • Eingabe bösartigen Inputs
    • Umgehung von Authentifizierung und Autorisierung
    • Clientseitige Angriffe
Gewisse Aktivitäten können unerwünschte Nebeneffekte haben oder mit Risiken verbunden sein. Deshalb legen wir vorgängig mit Ihnen fest, welche Überprüfungen erlaubt sein sollen.

 

Ihr Mehrwert

Nach der Durchführung des Penetrationstests liefern wir Ihnen einen Bericht, der die identifizierten Verbesserungsmöglichkeiten erläutert, nach Kritikalität priorisiert und Massnahmen zu deren Behebung empfiehlt. Dabei legen wir Wert darauf, Ihnen nicht nur punktuelle, sondern auch gesamtheitliche Massnahmen zu empfehlen. Ein Penetrationstest kann auch in einer frühen Entwicklungsphase einer neuen Applikation oder Umgebung von Vorteil sein. Denn so lassen sich Design-Schwachstellen früh erkennen und kostengünstig beheben.

Niklaus-Manser

Niklaus Manser
Head IT Security,
Senior Consultant

Anfrage