> FAQ vertical divider

FAQ: Häufig gestellte Fragen zu Penetrationstests

Warum sollten wir einen Penetrationstest durchführen lassen?

IT ist heute ein nicht mehr wegzudenkender Teil eines jeden Unternehmens. Hiermit wächst jedoch auch die Anzahl unternehmenskritischer Daten, welche in IT-Systemen gespeichert sind, sowie die Abhängigkeit davon, dass die eingesetzten IT-Systeme auch funktionieren. Darum häufen sich zunehmend Angriffe auf Unternehmens-IT in Form von Industriespionage, Unterbrechung der Verfügbarkeit von Systemen und sonstigen Möglichkeiten, einem Unternehmen signifikant schaden zu können. Wichtige Firmengeheimnisse werden ausspioniert und an die Konkurrenz verkauft. Die Verfügbarkeit von Systemen wird gestört, da Ausfälle immer schlechter kompensiert werden können. Aufträge bleiben aus, weil die Konkurrenz mysteriöserweise grundsätzlich das bessere Angebot hat. Ein Penetrationstest gibt Auskunft darüber, wie verwundbar Ihre Systeme sind, wie wahrscheinlich ein erfolgreicher Angriff auf Ihre Strukturen ist und gibt Handlungsempfehlungen, wie Sie sich in Zukunft besser vor potentiellen Kompromittierungen schützen können. Eine Übersicht über die Vorteile von Penetrationstests finden Sie unter Vorteile.
- Nach oben -

Gibt es rechtliche Gründe für Penetrationstests?

Es wird zwar vom Gesetzgeber nicht explizit ein Penetrationstest für Firmen vorgeschrieben, jedoch finden sich in vielen Gesetzestexten Stellen, welche die Durchführung eines Penetrationstests zur Umsetzung dieser Vorschriften notwendig erscheinen lassen. Das Externer VerweisHandelsgesetzbuch (HGB) schreibt zum Beispiel in den »Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)« ein internes Kontrollsystem vor: »Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art. [...]« (Rd-Nr. 4.1 GoBS). Andere Textstellen schreiben die Datensicherheit vor: »Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. [...]« (Rd-Nr. 5.1), »Diese Informationen sind gegen Verlust und gegen unberechtigte Veränderung zu schützen. [...]« (Rd-Nr. 5.3) oder »Der Schutz der Informationen gegen unberechtigte Veränderungen ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...]« (Rd-Nr. 5.5.1). Weitere Stellen finden sich auch im Datenschutzgesetz (z.B. Externer VerweisDatenschutzgesetz NRW, § 10).
- Nach oben -

Wie läuft ein Penetrationstest ab?

Vor jedem Penetrationstest findet grundsätzlich ein persönliches Vorgespräch statt. In diesem Vorgespräch werden die Möglichkeiten des Penetrationstests in Bezug auf die Kundensysteme vorgestellt. Ein Penetrationstest ergibt nur Sinn, wenn er individualisiert und kundenorientiert durchgeführt wird. Genauere Informationen über die einzelnen Phasen eines Penetrationstests finden sich unter Pentest.
- Nach oben -

Mit welchem Aufwand müssen wir rechnen?

Der zeitliche Aufwand für einen Penetrationstest unterscheidet sich aufgrund der sehr unterschiedlichen IT-Strukturen und den individuellen Anforderungen an einen Penetrationstest von Fall zu Fall. Im Allgemeinen bewegt sich der Aufwand zwischen ein paar Tagen und einigen Wochen. Die Abklärung des genauen zeitlichen Rahmens ist unter anderem Teil des Vorgesprächs.

Personelle Ressourcen auf Seiten des Auftraggebers werden normalerweise nur in geringem Maße gebunden. Benötigt wird vor allem ein Ansprechpartner als Kontaktperson für auftretende Fragen in der Phase der Exploitation.
- Nach oben -

Wieviele Informationen braucht RedTeam Pentesting von uns?

Art und Umfang von bereits zu Anfang vorliegenden Informationen variieren mit der Art des gewünschten Penetrationstests. Hierzu findet man unterschiedliche Begrifflichkeiten, deren Definition leider nicht festgelegt ist und somit je nach Unternehmen unterschiedlich verstanden werden. Oft genannt werden hier Blackbox- und Whitebox-Tests, RedTeam Pentestings Verständnis dieser Begriffe finden sich in dieser FAQ.

RedTeam Pentesting empfiehlt normalerweise die Durchführung eines Whitebox-Tests. Komplett als Blackbox-Test durchgeführte Penetrationstests leiden unter der Problematik, eventuell Dritte ohne deren Einverständnis mit einzubeziehen. Die Bereitstellung technischer Details bereits vor dem Penetrationstest im Rahmen eines Whitebox-Tests ermöglicht den Testern zudem, schneller und effizienter die für die Sicherheit eines Unternehmen relevanten Schwachstellen aufzudecken. Hier sollte immer davon ausgegangen werden, dass echte, ernstzunehmende Angreifer sich die nötigen Informationen schon im Vorfeld beschafft haben oder mit gegebener Vorlaufzeit beschaffen können. Eine genaue Festlegung, welche Informationen für die Durchführung eines effizienten Tests nötig sind, wird individuell in einem Vorgespräch vorgenommen.
- Nach oben -

Was sind Blackbox- und Whitebox-Tests?

Als Blackbox-Test werden normalerweise Tests definiert, bei denen die Penetrationstester nicht mehr Informationen erhalten, als Angreifer ohne interne Detailkenntnisse sie auch hätten. Die Idee ist herauszufinden, wie weit potentielle Angreifer ohne jegliche interne Informationen kommen können. Die komplette Wissensbeschaffung über Organisationsinterna muss also erst durch klassische Reconnaissance (das Herausfinden von möglichst vielen Informationen über das Ziel) und Enumeration (die nähere Betrachtung einzelner Systeme) geschehen. Trotz der Vorgabe, möglichst wenig Informationen über die zu testenden Systeme zu haben, ist jedoch die Angabe gewisser Rahmeninformationen unumgänglich. Ansonsten besteht die Gefahr, während des Penetrationstests unbeteiligte Dritte zu treffen. Für echte Angreifer stellt dies natürlich kein Hindernis dar, für ein seriöses Unternehmen sollte jedoch selbstverständlich sein, dass alle Durchführungsschritte eines Penetrationstests nur dort stattfinden, wo die explizite Erlaubnis gegeben wurde. Dies ist nicht der Fall für Drittsysteme, welche zum Beispiel bei einem Portscan über eine Anzahl von Systemen, welche nach ersten Auswertungen vermutlich dem Kunden gehören, ebenfalls betroffen wären.

Demgegenüber steht der Whitebox-Test (manchmal auch unter dem Begriff Crystal-Box-Test zu finden). Dieser bedeutet für die Penetrationstester, bereits Wissen über die zu testenden Systeme zu haben (zum Beispiel Netzwerkpläne oder Quelltexte von Webapplikationen) und eventuell schon gewisse Berechtigungen zugesprochen zu bekommen. Letzteres kann etwa ein unprivilegiertes Benutzerkonto sein, wie es auch Mitarbeiter im Firmennetz haben, oder Zugangsdaten für eine Webanwendung, wie sie normale Kunden besitzen. So kann getestet werden, inwiefern Benutzer mit Zugang zu einem System ihre Berechtigungen missbrauchen können. Zudem werden den Penetrationstestern eventuell noch interne Informationen gegeben, die auch jedem Mitarbeiter zur Verfügung stehen, wie zum Beispiel im Firmennetz benutzbare Dienste (Webserver, E-Mail, LDAP etc.) oder auch interne Organisationsstrukturen (welche Mitarbeiter sind wofür verantwortlich und haben welche Position...). Werden nur Teilinformationen preisgegeben, spricht man häufig auch von einem Graybox-Test.
- Nach oben -

Warum sollte bei einem Netzwerktest auch von innen und nicht nur von außen getestet werden?

Ist Ihr Unternehmensnetz nach außen soweit abgesichert, dass bei einem externen Penetrationstest kein nennenswerter Erfolg beim Eindringen in interne Systeme möglich war, so ergibt ein Test von innen in jedem Fall Sinn, auch wenn das Netz erstmal gut geschützt erscheint. Nur weil die Sicherheit der Perimetersysteme gegeben ist, muss das nicht heißen, dass von innen dieselbe Vorsicht angewendet wird. Meist werden in internen Netzen zu wenige Vorsichtsmaßnahmen ergriffen, da diese ja vermeintlich nur vertrauenswürdigen Personen zugänglich sind. Gerade in größeren Unternehmen ist jedoch nicht jeder Mitarbeiter bezüglich der benötigten Zugriffsberechtigungen gleichgestellt. So sollte der Praktikant, welcher für zwei Monate im Unternehmen ist, nicht die gleichen Zugriffsberechtigungen haben wie der Geschäftsführer. Es ist darum fatal, wenn durch das bloße Eindringen in das interne Netzwerk bereits sämtliche Sicherheitsvorkehrungen überwunden sind. Ist der finanzielle Anreiz groß genug, so stellt es normalerweise für einen Angreifer (Konkurrenten, Mitbewerber) kein Problem dar, einen Mitarbeiter zu bestechen, oder einen eigenen Mitarbeiter einzuschleusen, um so direkt an alle Daten zu gelangen, die von außen gut geschützt erscheinen.
- Nach oben -

Welche Arten von Systemen testet RedTeam Pentesting?

RedTeam Pentesting testet prinzipiell alle Arten von Systemen. Häufig sind zudem die für die Gesamtsicherheit relevanten Schwachstellen systemunabhängig, sodass auch bei bis zu diesem Zeitpunkt unbekannten Systemen erfolgreich getestet werden kann. Zusätzlich gehört zum Aufgabenbereich eines jeden Penetrationstesters, sich sehr schnell in neue Bereiche einarbeiten zu können.

Dabei beschränkt sich RedTeam Pentesting nicht ausschließlich auf klassische Netzwerk- oder Webapplikations-Penetrationstests. Auch neu entwickelte Hardware oder sonstige Produkte werden getestet, genauso wie aktuell erst als Konzept vorhandene Entwürfe zur Systemsicherheit. Zudem kann in Einzelfällen beispielsweise ein als Reaktion auf einen Sicherheitsvorfall durchgeführter Penetrationstest helfen, die ausgenutzten Schwachstellen aufzeigen und diese zeitnah zu schließen. Bei Fragen hierzu ist RedTeam Pentesting jederzeit telefonisch erreichbar.
- Nach oben -

Kann unseren Produktivsystemen während des Tests etwas passieren?

Im Unterschied zu echten Angreifern geht RedTeam Pentesting sehr sorgsam mit Kundensystemen um, um mögliche Produktionsausfälle zu vermeiden. RedTeam Pentesting bemüht sich stets, die Systeme unbeschadet zu lassen. Angriffe, bei welchen die Gefahr für einen Systemausfall besonders hoch ist, werden nur nach Absprache mit dem Kunden durchgeführt.

Insgesamt lässt sich natürlich nicht ausschließen, dass ein Produktivsystem einmal von einem Ausfall durch einen Angriff betroffen ist. Für solche Fälle werden etwa Notfallrufnummern vereinbart, um möglichst schnell reagieren zu können.
- Nach oben -

Werden auch Denial-of-Service-Angriffe getestet?

Denial-of-Service-Angriffe (DoS) werden normalerweise nur untersucht, wenn bereits mit geringem Aufwand die Verfügbarkeit des zu testenden Systems gefährdet werden kann. Dies kann etwa an einer Fehlkonfiguration liegen oder an einem Programmfehler (zum Beispiel, wenn ein Dienst abstürzt, weil eine zu lange Anfrage gesendet wird). Solche Angriffe werden nach Absprache durchgeführt, um zu verifizieren, sie tatsächlich möglich sind.

Hingegen werden Angriffe, bei denen die zur Verfügung stehende Netzwerkkapazität des Kunden komplett ausgelastet wird, nicht getestet, da dies für Angreifer mit entsprechenden Ressourcen immer möglich sind und außerdem durch einen Angriff Drittsysteme überlastet werden. Eine echte Distributed-Denial-of-Service-Attacke (DDoS), welche normalerweise hunderte von Zombierechnern (Rechner, welche kompromittiert wurden und nun unter dem Kommando eines Angreifers stehen) involviert, lässt sich außerdem nur schwerlich nachahmen.
- Nach oben -

Führt RedTeam Pentesting Social-Engineering-Angriffe durch?

Bei Penetrationstests können auch Social-Engineering-Techniken genutzt werden. Allerdings sind diese Techniken nicht unumstritten. Genauere Informationen zu der Problematik von Social-Engineering-Angriffen im Rahmen von Penetrationstests finden sich unter Exploitation. Als Schutz vor Social-Engineering bieten sich eventuell auch Schulungen in diesem Bereich an.
- Nach oben -

Was geschieht mit vertraulichen Daten, welche in die Hände von RedTeam Pentesting fallen?

RedTeam Pentesting verpflichtet sich zu absoluter Verschwiegenheit, was vertrauliche Daten des Kunden anbelangt. Ein Non-Disclosure-Agreement (NDA), in welchem festgelegt wird, dass RedTeam Pentesting Kundeninformationen vertraulich behandelt, ist bereits Teil jedes Auftrags. Auch Daten, welche zur Angebotserstellung genutzt werden, unterliegen bei RedTeam Pentesting der gleichen Verschwiegenheitspflicht, die generell für alle Kundendaten angewendet wird. Am Ende eines Penetrationstests werden zudem alle angefallenen Daten oder Datenträger entweder sicher vernichtet oder an den Kunden zurückgegeben, etwa gedruckte Handbücher oder getestete Geräte.
- Nach oben -

Werden die Ergebnisse schriftlich festgehalten?

Jeder Kunde erhält einen ausführlichen Abschlussbericht nach Beendigung des Penetrationstests. Ein typischer Bericht beinhaltet eine nichttechnische Zusammenfassung aller Ergebnisse für das Management, um diesem einen knappen und präzisen Überblick über die Lage zu geben. Danach folgt der ausführliche technische Bericht für Administratoren, Entwickler und andere technisch Verantwortliche. Die einzelnen Punkte werden in eine detaillierte Beschreibung des Problems, eine Risikoanalyse und einen Lösungsvorschlag aufgeteilt, um direkt konstruktive Verbesserungsvorschläge zu machen.
- Nach oben -

Welche weiteren Dienstleistungen und Produkte bietet RedTeam Pentesting an?

RedTeam Pentesting bietet ausschließlich Penetrationstests an. Insbesondere werden im Anschluss an den Penetrationstest keine weiteren Produkte oder Dienstleistungen verkauft, sodass die Unabhängigkeit und Objektivität der Testergebnisse sichergestellt ist. Durch die Spezialisierung ist zudem gewährleistet, dass RedTeam Pentestings Mitarbeiter viel Erfahrung und entsprechendes Spezialwissen für Penetrationstests vorweisen können.
- Nach oben -

Können wir eine Liste mit Referenzen von RedTeam Pentesting erhalten?

Zu den Kunden von RedTeam Pentesting zählen nationale wie internationale Unternehmen. Folgende Branchen gehören unter anderem zu RedTeam Pentestings Kunden:

  • Industrie & Handel
  • Banken & Versicherungen
  • Öffentliche Verwaltung & Behörden
  • IT-Dienstleister & Rechenzentrumsbetreiber

Da unsere Kunden sehr großen Wert auf Vertraulichkeit legen, kann RedTeam Pentesting keine Referenzliste veröffentlichen. Einen ersten Eindruck über unsere Leistungsfähigkeit können Sie sich mit Hilfe der veröffentlichten Testimonials verschaffen, in denen eine Auswahl von Kunden über ihre Erfahrungen mit RedTeam Pentesting berichten.
- Nach oben -

Was unterscheidet RedTeam Pentesting von anderen Firmen, die Penetrationstests anbieten?

RedTeam Pentesting ist ausschließlich auf Penetrationstests spezialisiert, im Gegensatz zu vielen anderen Unternehmen der IT-Sicherheitsbranche, welche Penetrationstests zusätzlich in ihr Portfolio aufnehmen, um auch in diesem Marktsegment vertreten zu sein. Da hier häufig die nötige Expertise für einen durch spezialisierte Sicherheitsexperten durchgeführten Test fehlt, werden oft automatisierte Sicherheitsscans mit Schwachstellenscannern als Penetrationstest verkauft. Die Kunden solcher Sicherheitsdienstleister erhalten dann meistens nur einen Ausdruck der Programmausgaben als Ergebnis eines solchen »Penetrationstests«. Bei RedTeam Pentesting arbeiten stattdessen Sicherheitsspezialisten in enger Teamarbeit, um so praxisnahe Ergebnisse erzielen zu können. Unsere Ergebnisse werden ausführlich von den durchführenden Penetrationstestern dokumentiert, mit dem Anspruch, das nötige Wissen über die Schwachstellen verständlich zu vermitteln. Unsere Kunden können so gefundene Schwachstellen besser nachvollziehen und effizient beheben. Insbesondere verkauft RedTeam Pentesting keine weiteren IT-Dienstleistungen vor oder nach einem Penetrationstest. Der Penetrationstest soll nicht dem Verkauf weiterer Dienstleistungen dienen, sondern eine unabhängige Sicherheitsüberprüfung sein.

Desweiteren sind alle Mitarbeiter von RedTeam Pentesting öffentlich bekannt und fest angestellt. Auch bei Auftragsspitzen wird nicht auf andere Subunternehmen oder Freelancer zurückgegriffen, um sowohl die konstant hohe Qualität der Tests als auch die Vertraulichkeit sicherzustellen.
- Nach oben -

In welchen Ländern bietet RedTeam Pentesting Penetrationstests an?

Zu den Kunden von RedTeam Pentesting zählen zahlreiche nationale sowie internationale Unternehmen aus allen Bereichen. Penetrationstests werden in den Projektsprachen Englisch oder Deutsch durchgeführt. Abhängig von den genauen Anforderungen kann dies weltweit sowohl vor Ort bei den Kunden, als auch über das Internet oder andere Fernzugänge erfolgen. Selbstverständlich ist es auch möglich Testsysteme im Labor von RedTeam Pentesting durch einen Penetrationstest überprüfen zu lassen, z.B. bei Produktpentests.
- Nach oben -

Heißt es nicht Penetrationtest statt Penetrationstest?

Der Begriff »Penetrationtest« (englisch ausgesprochen) wurde früher häufiger benutzt, als das englische »Penetration Test« noch kein wirkliches deutsches Äquivalent hatte. Mittlerweile hat sich im Deutschen allerdings der Begriff »Penetrationstest« (deutsch ausgesprochen) durchgesetzt.
- Nach oben -