IT-Penetrationstest
IT-Sicherheit realistisch prüfen
Ein IT-Penetrationstest simuliert gezielte Angriffe auf Ihre IT-Systeme, um Sicherheitslücken frühzeitig zu erkennen.
So erhalten Sie eine realistische Einschätzung Ihrer Sicherheitslage – bevor Angreifer diese Schwachstellen ausnutzen.
Google Bewertung
Basierend auf 15 Bewertungen
Was ist ein IT-Penetrationstest?
Ein IT-Penetrationstest ist ein kontrollierter Sicherheitstest, bei dem autorisierte Angriffe auf Systeme, Anwendungen oder Netzwerke durchgeführt werden.
Ziel ist es, technische Schwachstellen, Fehlkonfigurationen und Sicherheitsrisiken sichtbar zu machen.
Der Test erfolgt strukturiert, dokumentiert und ohne Beeinträchtigung Ihres laufenden Betriebs.
Warum ein Penetrationstest sinnvoll ist
Viele Sicherheitslücken bleiben im Alltag unentdeckt. Ein Penetrationstest zeigt, wie angreifbar Ihre Systeme tatsächlich sind.
Typische Ziele:
- Aufdecken kritischer Schwachstellen
- Bewertung realer Angriffsszenarien
- Erhöhung der IT-Sicherheit
- Unterstützung bei Compliance-Anforderungen
Pentest Szenarien
Blackbox
Beim Blackbox-Ansatz erhält der Pentester nur die Informationen, die für die Durchführung des Pentests notwendig sind.
Beispiele: Public IPs bei einem externen Pentest oder Zugriff auf einen Client ohne Berechtigungen bei einem internen Pentest.
Vorteil: Realistisches Szenario eines echten Angreifers.
Nachteil: Wichtige Sicherheitslücken könnten unentdeckt bleiben, zudem ist der zeitliche Aufwand hoch.
Whitebox
Der Whitebox-Ansatz ist das genaue Gegenteil des Blackbox-Ansatzes. Der Pentester erhält ausführliche Informationen über die zu testende Infrastruktur.
Beispiele: Serverlisten, Benutzerzugänge, Source Code, Infrastrukturpläne, etc.
Vorteil: Der Pentester muss weniger Zeit in Recherche investieren, sodass viele Sicherheitslücken entdeckt werden können.
Nachteil: Höherer Verwaltungsaufwand vor Beginn des Pentests.
Greybox
Der Greybox-Ansatz ist eine Mischung aus Blackbox- und Whitebox-Pentest. Der Pentester erhält einige wichtige, jedoch begrenzte Informationen für die Durchführung des Pentests.
Beispiele: Benutzer mit Berechtigungen, Benutzerzugänge für spezielle Applikationen, oder sonstige Informationen zu diversen Systemen.
Vorteil: Sehr gutes Kosten-Nutzen-Verhältnis, da sich die Recherchephase verkürzt und mehr Zeit für Tests bleibt.
Nachteil: Ein realistisches Szenario wird nur teilweise erfüllt.
Warum mit uns?
Wir arbeiten strukturiert, transparent und mit Fokus auf realistische Risiken.
Unser Ziel ist keine lange Fehlerliste, sondern klare, umsetzbare Ergebnisse, die Ihre IT-Sicherheit messbar verbessern.
Die 6 Phasen des Pentest
Sobald wir alle Informationen von Ihnen erhalten haben, beginnen wir mit unserem Pentest
01
Informations-
beschaffung
Bei der Informationsbeschaffungsphase werden Informationen über die Zielsysteme gesammelt. Diese können sich bereits im Internet befinden, wie z. B. erreichbare Dienste, E-Mail-Adressen, Passwort-Leaks, Domains & Subdomains, etc. Diese Informationen werden auch von Angreifern genutzt, um gezieltere Angriffe durchführen zu können.
02
Scanning
In der Phase des Scannings wird bereits mit den Zielsystemen aktiv interagiert. Hierbei werden erreichbare Hosts, offene Ports und Dienste entdeckt. Das Ziel dieser Phase ist es, ein Verständnis für die Infrastruktur zu bekommen und potenzielle Angriffspfade zu identifizieren.
03
Exploitation
Exploitation bedeutet das Ausnutzen einer Schwachstelle. Hierbei werden Schwachstellen ausgenutzt, um Zugriff auf ein System zu erlangen. Dies kann beispielsweise eine Sicherheitslücke in einer Software sein oder auch gefundene Zugangsdaten, die den Zugriff auf ein bestimmtes System ermöglichen.
04
Privilege Escalation
Oftmals gelangt man auf ein System mit niedrig privilegierten Berechtigungen. In der Privilege-Escalation-Phase wird versucht, die Rechte auf dem System zu erweitern. Dies kann beispielsweise durch das Ausnutzen lokaler Sicherheitslücken erfolgen, aber auch durch nicht korrekt abgesicherte Zugangsdaten.
05
Lateral Movement
Mit Lateral-Movement ist das Ausbreiten im Netzwerk gemeint. Dabei wird versucht, verschiedene Systeme zu kompromittieren, um beispielsweise von einem niedrig privilegierten Ausgangspunkt bis hin zu Domain-Admin-Rechten zu gelangen.
06
Reporting
Die Reporting-Phase ist einer der wichtigsten Phase eines Pentests. Bei dieser werden alle Findings zusammengefasst und in einem Bericht dargestellt. Der Bericht enthält eine detailreiche Beschreibung der Findings inklusive der Behebungsmaßnahmen. Zusätzlich gibt es ein Management Summary, damit auch die Geschäftsführung das Ergebnis der Pentests versteht.
Arten von Penetrationstests
Externer Penetrationstest
Simulation von Angriffen von außen, z. B. über das Internet erreichbare Systeme.
Interner Penetrationstest
Prüfung interner Netzwerke aus Sicht eines internen Angreifers oder kompromittierten Geräts.
Web- & Anwendungstests
Analyse von Webanwendungen, Schnittstellen und Formularen auf Sicherheitslücken.
Microsoft 365 Penetrationstest
Simulation von Angriffen auf Microsoft-365-Mandanten zur Identifikation von Schwachstellen in Identitäten, Berechtigungen und Sicherheitseinstellungen – wahlweise als Blackbox- oder Whitebox-Audit.
Unsere Vorgehensweise
01
Planung und Zielsetzung
Gemeinsam planen wir den Pentest und gehen auf Ihre Wünsche und Ziele ein
02
Durchführung des Pentest
Sobald wir alle Informationen von Ihnen erhalten haben, beginnen wir mit unserem Pentest
03
Bericht und Abschluss
Am Ende des Tests fassen wir alle gefundenen Schwachstellen in einem Bericht zusammen und besprechen diesen gemeinsam in einem Abschlussgespräch
Häufig gestellte Fragen
1. Was ist ein Penetrationstest?
Ein Penetrationstest (Pentest) ist eine simulierte Attacke auf Systeme, Anwendungen oder Netzwerke, bei der Schwachstellen identifiziert, Exploits geprüft und Sicherheitskontrollen validiert werden.
2. Welche Arten von Penetrationstests gibt es?
Blackbox: Tester kennt weder Systeme noch Zugangsdaten.
Whitebox: Vollständige Informationen über Systeme, Netzwerke und Anwendungen werden bereitgestellt.
Graybox: Teilweise Informationen sind bekannt, z. B. Benutzerkonten oder APIs.
3. Welche Testmethoden werden angewendet?
Typische Methoden umfassen: Network Scanning, Vulnerability Scanning, Exploitation, Post-Exploitation, Privilege Escalation, Web-Application Testing (OWASP Top 10), Social Engineering und Phishing-Tests.
4. Wie werden Schwachstellen validiert?
Gefundene Schwachstellen werden gezielt getestet, um zu prüfen, ob sie tatsächlich ausnutzbar sind, ohne das System nachhaltig zu gefährden. Dies kann z. B. mit Proof-of-Concept Exploits erfolgen.
5. Welche Tools kommen zum Einsatz?
Übliche Tools: Nmap, Nessus, OpenVAS, Burp Suite, Metasploit, Nikto, SQLmap, Wireshark, Hydra, John the Ripper, sowie individuelle Skripte für spezielle Testszenarien.
6. Wie wird die Sicherheit nach dem Test bewertet?
Schwachstellen werden nach Risiko bewertet (z. B. CVSS-Score), kategorisiert nach Kritikalität, Ausnutzbarkeit und potenziellen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
7. Können Zero-Day-Schwachstellen getestet werden?
In der Regel werden bekannte Schwachstellen getestet. Zero-Day-Exploits können nur simuliert werden, wenn Proof-of-Concepts existieren oder eigene Exploits entwickelt werden.
8. Wie werden Netzwerke geschützt während des Tests?
Alle Tests werden in einer kontrollierten Umgebung durchgeführt. Intrusive Exploits werden mit Genehmigung ausgeführt, Backups und Monitoring sichern Produktionssysteme ab.
9. Welche Berichte werden geliefert?
Detaillierte technische Reports enthalten: Schwachstellenliste, CVSS-Bewertung, Exploit-PoC, Log-Beispiele, Screenshots, Angriffspfade, empfohlene Remediation und Priorisierung.
10. Wie oft sollten Penetrationstests durchgeführt werden?
Optimal: mindestens einmal jährlich oder nach größeren Architekturänderungen, Release neuer Applikationen oder nach sicherheitskritischen Updates.
