Häufig gestellte Fragen
Warum sollten wir einen Penetrationstest durchführen lassen?
Computer und die damit einhergehende IT-Struktur sind heute ein nicht mehr wegzudenkender Teil eines jeden Unternehmens. Hiermit wächst jedoch auch die Anzahl unternehmenskritischer Daten, welche in IT-Systemen gespeichert sind, sowie die Abhängigkeit davon, dass die eingesetzten IT-Systeme zuverlässig funktionieren. Darum häufen sich zunehmend Angriffe auf Unternehmens-IT in Form von Industriespionage, Unterbrechung der Verfügbarkeit von Systemen, Ransomware-Angriffen und sonstigen Möglichkeiten, einem Unternehmen signifikant zu schaden. Ein Penetrationstest gibt Auskunft darüber, wie verwundbar Ihre Systeme sind, wie wahrscheinlich ein erfolgreicher Angriff auf Ihre Strukturen ist und gibt Handlungsempfehlungen, wie Sie sich in Zukunft besser vor potentiellen Kompromittierungen schützen können. Eine detaillierte Erklärung, warum ein Penetrationstests sinnvoll ist, finden Sie unter Definition.
Wie läuft ein Penetrationstest ab?
Vor jedem Penetrationstest findet grundsätzlich ein persönliches Vorgespräch statt. In diesem Vorgespräch werden die Möglichkeiten eines Penetrationstests in Bezug auf die Kundensysteme vorgestellt. Ein Penetrationstest ergibt nur Sinn, wenn er individualisiert und kundenorientiert durchgeführt wird. Wenn die Einzelheiten geklärt sind, wird der Pentest in einem vereinbarten Zeitraum durchgeführt. Im direkten Anschluss an den Test findet ein Abschlussgespräch statt und bietet einen Einblick in die gefundenen Schwachstellen sowie entsprechende Lösungsvorschläge. Außerdem wird ein detaillierter Bericht übergeben. Genauere Informationen über den Ablauf eines Pentests finden sich unter Ablauf.
Was unterscheidet RedTeam Pentesting von anderen Firmen, die Penetrationstests anbieten?
RedTeam Pentesting ist ausschließlich auf Penetrationstests spezialisiert, im Gegensatz zu vielen anderen Unternehmen der IT-Sicherheitsbranche, welche Penetrationstests als eine von vielen Dienstleistungen in ihrem Portfolio anbieten. Bei RedTeam Pentesting soll der Penetrationstest nicht dem Verkauf weiterer Dienstleistungen dienen, sondern eine unabhängige Sicherheitsüberprüfung sein.
Bei RedTeam Pentesting arbeiten Sicherheitsspezialist*innen in enger Teamarbeit, um so praxisnahe Ergebnisse erzielen zu können. Die Ergebnisse werden ausführlich dokumentiert, mit dem Anspruch, das nötige Wissen über die Schwachstellen verständlich zu vermitteln. Unsere Kunden können so gefundene Schwachstellen vollständig nachvollziehen und effizient beheben. Des Weiteren sind alle Mitarbeitenden von RedTeam Pentesting fest angestellt. Auch bei Auftragsspitzen wird nicht auf andere Subunternehmen oder Freelancer zurückgegriffen, um sowohl die konstant hohe Qualität der Tests als auch die Vertraulichkeit sicherzustellen.
Am Ende des Penetrationstests übergeben wir dem Kunden nicht nur einen detaillierten Bericht, der die Schwachstellen, Risiken und Lösungsvorschläge beschreibt. Zusätzlich werden die Ergebnisse durch die Penetrationstester*innen, die den Pentest durchgeführt haben, vorgestellt. Dies erlaubt dem Kunden nicht nur bei Live-Vorführungen der gefundenen Schwachstellen die Systeme selbst aus der Angriffsperspektive zu betrachten, sondern die Schwachstellen mit den Sicherheitsspezialist*innen zu diskutieren.
Warum bietet RedTeam Pentesting neben Penetrationstests keine weiteren Dienstleistungen und Produkte an?
RedTeam Pentesting bietet ausschließlich Penetrationstests an, sodass die Unabhängigkeit und Objektivität der Testergebnisse sichergestellt ist, da im Anschluss an den Penetrationstest keine weiteren Produkte oder Dienstleistungen verkauft werden. Durch die Spezialisierung ist zudem gewährleistet, dass RedTeam Pentestings Mitarbeitende viel Erfahrung und entsprechendes Spezialwissen für Penetrationstests vorweisen können.
Wieviele Informationen braucht RedTeam Pentesting von uns?
Art und Umfang notwendiger Informationen variieren mit der Art des gewünschten Penetrationstests. Hierzu findet man unterschiedliche Begrifflichkeiten, deren Definition leider nicht festgelegt ist und somit je nach Unternehmen unterschiedlich verstanden werden. Oft genannt werden hier Closed-Box- und Open-Box-Tests (früher Black-Box und White-Box), RedTeam Pentestings Verständnis dieser Begriffe finden sich in dieser FAQ.
RedTeam Pentesting empfiehlt normalerweise die Bereitstellung von Informationen, die für den geplanten Pentest sinnvoll sind. Als Closed-Box-Test durchgeführte Pentests leiden potenziell unter der Problematik, dass unbeabsichtigt Dritte ohne deren Einverständnis mit einbezogen werden könnten. Zudem ermöglicht die Bereitstellung technischer Details bereits vor dem Petest, schneller und effizienter die für die Sicherheit eines Unternehmen relevanten Schwachstellen aufzudecken. Hier sollte immer davon ausgegangen werden, dass echte, ernstzunehmende Angreifer*innen sich die nötigen Informationen schon im Vorfeld beschafft haben oder mit gegebener Vorlaufzeit beschaffen können. Welche Informationen genau für die Durchführung eines effizienten Pentests nötig sind, wird individuell in einem Vorgespräch abgestimmt.
Was sind Closed-Box- und Open-Box-Tests?
Als Closed-Box-Test (früher Black-Box-Test) werden normalerweise Tests definiert, bei denen die Penetrationstester*innen nicht mehr Informationen erhalten, als Angreifer*innen ohne interne Detailkenntnisse sie auch hätten. Die Idee ist herauszufinden, wie weit potentielle Angreifer*innen ohne jegliche interne Informationen kommen können.
Demgegenüber steht der Open-Box-Test (früher White-Box-Test). Dieser bedeutet, dass Wissen über die zu testenden Systeme in vollem Umfang bereitgestellt wird (zum Beispiel Netzwerkpläne oder Quelltexte von Webapplikationen). Zusätzlich kann es auch die Bereitstellung von Berechtigungen bedeuten, zum Beispiel ein Benutzerkonto, wie es auch Mitarbeitende im Firmennetz besitzen, oder Zugangsdaten für eine Webanwendung, wie sie normale Kunden besitzen.
Werden nur Teilinformationen preisgegeben, spricht man häufig auch von einem Grey-Box-Test. Diese unterschiedlichen Formen von Pentests unterschieden sich lediglich durch den innerhalb des Pentests erbrachten Nachweis, dass Angreifer*innen eine bestimmte Information selbstständig erlangen können. Eine Erläuterung zu den von RedTeam Pentesting benötigten Informationen ist in dieser FAQ zu finden.
Welche Arten von Systemen testet RedTeam Pentesting?
RedTeam Pentesting testet prinzipiell alle Arten von Systemen. Dabei beschränkt sich RedTeam Pentesting nicht ausschließlich auf Netzwerktests oder Pentests von Webanwendungen. Auch neu entwickelte Hardware oder sonstige Produkte werden untersucht. Unter Was wir testen wird genauer ausgeführt, welche Art von Penetrationstests von RedTeam Pentesting durchgeführt werden. Zudem, sind viele Schwachstellenklassen unabhängig von der genauen Art von Soft- oder Hardware. Unsere umfangreiche Expertise lässt sich so auch auf uns bisher unbekannte Systeme übertragen.
Warum sollte bei einem Netzwerktest auch von innen und nicht nur von außen getestet werden?
Im Unterschied zu einem Penetrationstest bei dem nur extern erreichbare Systeme untersucht werden, wird bei einem Test von ausschließlich in dem jeweiligen Unternehmensnetzwerk erreichbaren Systemen angenommen, dass der Zugriff auf das interne Netzwerk bereits erlangt wurde. In vielen Fällen ist dafür nicht das Ausnutzen von technischen Schwachstellen oder das Erlangen von physischem Zugriff auf das Netzwerk erforderlich, da von realen Angreifer*innen auch Social-Engineering-Angriffe gegen die Mitarbeitenden durchgeführt werden, um dieses Ziel zu erreichen. Zudem werden in internen Netzen meist zu wenige Vorsichtsmaßnahmen ergriffen, da diese ja vermeintlich nur vertrauenswürdigen Personen zugänglich sind. Es kann fatale Konsequenzen haben, wenn durch das bloße Eindringen in das interne Netzwerk bereits sämtliche Sicherheitsvorkehrungen überwunden sind.
Daher ist bei Penetrationstests der IT-Infrastruktur in den meisten Fällen sowohl ein Test der extern als auch der intern erreichbaren Systeme sinnvoll. Häufig bietet sich ein Test an, der direkt beide Perspektiven berücksichtigt.
Führt RedTeam Pentesting Social-Engineering-Angriffe durch?
Eine spezielle Art von Angriff ist Social-Engineering. Als Erweiterung zu den Angriffen auf rein technischer Ebene wird hier versucht menschliche Schwächen auszunutzen. Dieser Ansatz ist überraschend effektiv, da der menschliche Faktor oft das schwächste Glied in der Sicherheitskette eines Unternehmens darstellt.
Die Durchführung von Social-Engineering-Angriffen im Rahmen von Penetrationstest sind jedoch umstritten. Auch wenn die Erfolgsaussichten eines solchen Angriffs sehr groß sind, ist der Lerneffekt meist begrenzt auf die unmittelbare Umgebung der betroffenen Mitarbeitenden. Nicht betroffene Mitarbeitende können sich in der Regel nicht in die Lage versetzen, selbst von diesen Angriffen betroffen zu sein. Aus der eigenen Perspektive erscheinen die Social-Engineering-Angriffe zu einfach, um erfolgreich zu sein. Außerdem kann die Durchführung von Social-Engineering-Angriffen potenziell das Betriebsklima des Kunden schädigen, da die direkt betroffenen Mitarbeitenden sich mit diesem Vorgehen hintergangen fühlen könnten. Aus diesem Grund führt RedTeam Pentesting keine Social-Engineering-Angriffe durch. Für die Durchführung von Penetrationstest wird jedoch im Allgemeinen angenommen, dass Social-Engineering-Angriffe erfolgreich sein können, sodass unter dieser Annahme ein Test des internen Netzwerks eines Unternehmens durchgeführt werden kann.
Kann unseren Produktivsystemen während des Tests etwas passieren?
Im Unterschied zu echten Angreifer*innen geht RedTeam Pentesting sehr sorgsam mit Kundensystemen um, um mögliche Produktionsausfälle zu vermeiden. RedTeam Pentesting bemüht sich stets, die Systeme unbeschadet zu lassen. Angriffe, bei welchen die Gefahr für einen Systemausfall besteht, werden nur nach Absprache mit dem Kunden durchgeführt.
Insgesamt lässt sich natürlich nicht ausschließen, dass ein Produktivsystem einmal von einem Ausfall durch einen Angriff betroffen ist. Für solche Fälle werden im Vorhinein Notfallkontakte vereinbart, um möglichst schnell reagieren zu können.
Werden auch Denial-of-Service-Angriffe getestet?
Denial-of-Service-Angriffe (DoS) werden immer nur nach vorheriger Absprache mit dem jeweiligen Kunden untersucht. Im Rahmen eines Penetrationstest werden zudem nur solche Denial-of-Service-Angriffe betrachtet, die potenziell eine Möglichkeit darstellen, mit geringem Aufwand die Verfügbarkeit des zu testenden Systems zu gefährden. Dies kann etwa an einer Fehlkonfiguration liegen oder an einem Programmfehler. Diese Art von Angriffen werden nach Absprache durchgeführt, um zu verifizieren, ob sie tatsächlich möglich sind.
Hingegen werden Angriffe, bei denen die zur Verfügung stehende Netzwerkkapazität des Kunden komplett ausgelastet wird, nicht getestet. Diese Angriffe sind für Angreifer*innen mit entsprechenden Ressourcen immer möglich und könnten potenziell Drittsysteme überlasten. Demnach sind auch Distributed-Denial-of-Service-Angriffe (DDoS) nicht Teil eines Penetrationstests.
Mit welchem Aufwand müssen wir rechnen?
Der zeitliche Aufwand für einen Penetrationstest unterscheidet sich aufgrund der sehr unterschiedlichen IT-Strukturen und den individuellen Anforderungen an einen Penetrationstest von Fall zu Fall. Im Allgemeinen bewegt sich der Aufwand zwischen ein paar Tagen und einigen Wochen. Die Abklärung des genauen zeitlichen Rahmens ist unter anderem Teil des Vorgesprächs.
Personelle Ressourcen auf Seiten des Auftraggebers werden normalerweise nur in geringem Maße gebunden. Benötigt wird vor allem eine Kontaktperson für auftretende Fragen während des Penetrationstests.
Was geschieht mit vertraulichen Daten, welche in die Hände von RedTeam Pentesting fallen?
RedTeam Pentesting verpflichtet sich zu absoluter Verschwiegenheit, was vertrauliche Daten des Kunden anbelangt. Ein Non-Disclosure-Agreement (NDA), in welchem festgelegt wird, dass RedTeam Pentesting Kundeninformationen vertraulich behandelt, ist bereits Teil jedes Auftrags. Auch Daten, welche zur Angebotserstellung genutzt werden, unterliegen bei RedTeam Pentesting der gleichen Verschwiegenheitspflicht, die generell für alle Kundendaten angewendet wird. Am Ende eines Penetrationstests werden zudem alle angefallenen Daten oder Datenträger entweder sicher vernichtet oder an den Kunden zurückgegeben, etwa gedruckte Handbücher oder getestete Geräte.
Werden die Ergebnisse schriftlich festgehalten?
Jeder Kunde erhält einen ausführlichen Bericht nach Beendigung des Penetrationstests. Ein typischer Bericht beinhaltet eine nichttechnische Zusammenfassung aller Ergebnisse für das Management, um diesem einen knappen und präzisen Überblick über die Sicherheitslage des getesteten Systems zu geben. Danach folgt der ausführliche technische Bericht für Administrator*innen, Entwickler*innen und andere technisch Verantwortliche. Der technische Teil beinhaltet für jede gefundene Schwachstelle eine detaillierte Beschreibung, wie diese gefunden und ausgenutzt werden kann sowie jeweils eine Risikoanalyse und Lösungsvorschläge.
Können wir eine Liste mit Referenzen von RedTeam Pentesting erhalten?
Zu den Kunden von RedTeam Pentesting zählen nationale wie internationale Unternehmen. Folgende Branchen gehören unter anderem zu RedTeam Pentestings Kunden:
- Industrie & Handel
- Banken & Versicherungen
- Öffentliche Verwaltung & Behörden
- IT-Dienstleister & Rechenzentrumsbetreiber
Da unsere Kunden sehr großen Wert auf Vertraulichkeit legen, veröffentlicht RedTeam Pentesting keine Referenzliste. Einen ersten Eindruck können Sie sich mit Hilfe der veröffentlichten Kundenstimmen verschaffen, in denen eine Auswahl von Kunden über ihre Erfahrungen mit RedTeam Pentesting berichten.
Gibt es rechtliche Gründe für Penetrationstests?
Es wird zwar vom Gesetzgeber nicht explizit ein Penetrationstest für Firmen vorgeschrieben, jedoch finden sich in vielen Gesetzestexten Stellen, welche die Durchführung eines Penetrationstests zur Umsetzung dieser Vorschriften notwendig erscheinen lassen.
Zum Beispiel können Datenschutzbestimmungen wie die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union oder branchenspezifische Vorschriften wie die Zahlungskartenindustrie-Datensicherheitsstandards (PCI DSS) Anforderungen für regelmäßige Sicherheitsprüfungen und Penetrationstests enthalten.
Die Notwendigkeit von Penetrationstests kann auch aus anderen rechtlichen Anforderungen resultieren, wie beispielsweise aus Haftungs- oder Sorgfaltspflichten. Unternehmen, die sensible Daten verarbeiten oder kritische Infrastrukturen betreiben, sind oft bestrebt, Penetrationstests durchzuführen, um potenzielle Sicherheitslücken zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.
Insgesamt ist es wichtig für Unternehmen, die rechtlichen Anforderungen und Branchenstandards zu kennen, die für sie gelten, und sicherzustellen, dass sie angemessene Sicherheitsmaßnahmen implementieren, zu denen auch Penetrationstests gehören können.
In welchen Ländern bietet RedTeam Pentesting Penetrationstests an?
Zu den Kunden von RedTeam Pentesting zählen zahlreiche nationale sowie internationale Unternehmen aus allen Bereichen. Penetrationstests werden in den Projektsprachen Englisch oder Deutsch durchgeführt. Abhängig von den genauen Anforderungen kann dies weltweit sowohl vor Ort bei den Kunden, als auch über das Internet erfolgen.