FAQ: Häufig gestellte Fragen zu Penetrationstests
- Warum sollten wir einen Penetrationstest durchführen lassen?
- Gibt es rechtliche Gründe für Penetrationstests?
- Wie läuft ein Penetrationstest ab?
- Mit welchem Aufwand müssen wir rechnen?
- Wieviele Informationen braucht RedTeam Pentesting von uns?
- Was sind Blackbox- und Whitebox-Tests?
- Warum sollte bei einem Netzwerktest auch von innen und nicht nur von außen getestet werden?
- Welche Arten von Systemen testet RedTeam Pentesting?
- Kann unseren Produktivsystemen während des Tests etwas passieren?
- Werden auch Denial-of-Service-Angriffe getestet?
- Führt RedTeam Pentesting Social-Engineering-Angriffe durch?
- Was geschieht mit vertraulichen Daten, welche in die Hände von RedTeam Pentesting fallen?
- Werden die Ergebnisse schriftlich festgehalten?
- Welche weiteren Dienstleistungen und Produkte bietet RedTeam Pentesting an?
- Können wir eine Liste mit Referenzen von RedTeam Pentesting erhalten?
- Was unterscheidet RedTeam Pentesting von anderen Firmen, die Penetrationstests anbieten?
- In welchen Ländern bietet RedTeam Pentesting Penetrationstests an?
- Heißt es nicht Penetrationtest statt Penetrationstest?
Warum sollten wir einen Penetrationstest durchführen lassen?
IT ist heute ein nicht mehr wegzudenkender Teil eines jeden Unternehmens.
Hiermit wächst jedoch auch die Anzahl unternehmenskritischer Daten, welche
in IT-Systemen gespeichert sind, sowie die Abhängigkeit davon, dass die
eingesetzten IT-Systeme auch funktionieren. Darum häufen sich zunehmend
Angriffe auf Unternehmens-IT in Form von Industriespionage, Unterbrechung
der Verfügbarkeit von Systemen und sonstigen Möglichkeiten, einem
Unternehmen signifikant schaden zu können. Wichtige Firmengeheimnisse werden
ausspioniert und an die Konkurrenz verkauft. Die Verfügbarkeit von
Systemen wird gestört, da Ausfälle immer schlechter kompensiert werden
können. Aufträge bleiben aus, weil die Konkurrenz mysteriöserweise
grundsätzlich das bessere Angebot hat. Ein Penetrationstest gibt Auskunft darüber, wie verwundbar
Ihre Systeme sind, wie wahrscheinlich ein erfolgreicher Angriff auf Ihre
Strukturen ist und gibt Handlungsempfehlungen, wie Sie sich in Zukunft besser vor potentiellen
Kompromittierungen schützen können. Eine Übersicht über die Vorteile von
Penetrationstests finden Sie unter
Vorteile.
- Nach oben -
Gibt es rechtliche Gründe für Penetrationstests?
Es wird zwar vom
Gesetzgeber nicht explizit ein Penetrationstest für Firmen vorgeschrieben, jedoch finden
sich in vielen
Gesetzestexten Stellen, welche die Durchführung eines
Penetrationstests zur Umsetzung dieser Vorschriften notwendig erscheinen lassen. Das
Handelsgesetzbuch (HGB)
schreibt zum Beispiel in den »Grundsätzen
ordnungsmäßiger DV-gestützter Buchführungssysteme
(GoBS)« ein internes Kontrollsystem vor: »Als IKS
wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und
miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet,
die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen
Vermögens und vorhandener Informationen vor Verlusten aller Art.
[...]« (Rd-Nr. 4.1 GoBS). Andere Textstellen schreiben die Datensicherheit
vor: »Die starke Abhängigkeit der Unternehmung von ihren
gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept
für das Erfüllen der GoBS unabdingbar. [...]« (Rd-Nr. 5.1),
»Diese Informationen sind gegen Verlust und gegen unberechtigte
Veränderung zu schützen. [...]« (Rd-Nr. 5.3) oder »Der Schutz der
Informationen gegen unberechtigte Veränderungen ist durch wirksame
Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...]« (Rd-Nr.
5.5.1). Weitere Stellen finden sich auch im Datenschutzgesetz (z.B. Datenschutzgesetz NRW, § 10).
- Nach oben -
Wie läuft ein Penetrationstest ab?
Vor jedem Penetrationstest findet grundsätzlich ein persönliches Vorgespräch statt. In diesem
Vorgespräch werden die Möglichkeiten des Penetrationstests in Bezug auf die Kundensysteme vorgestellt.
Ein Penetrationstest ergibt nur Sinn, wenn er individualisiert und kundenorientiert durchgeführt wird.
Genauere Informationen über die einzelnen Phasen eines Penetrationstests finden sich unter Pentest.
- Nach oben -
Mit welchem Aufwand müssen wir rechnen?
Der zeitliche Aufwand für einen Penetrationstest unterscheidet sich aufgrund der sehr unterschiedlichen IT-Strukturen und den individuellen Anforderungen an einen Penetrationstest von Fall zu Fall. Im Allgemeinen bewegt sich der Aufwand zwischen ein paar Tagen und einigen Wochen. Die Abklärung des genauen zeitlichen Rahmens ist unter anderem Teil des Vorgesprächs.
Personelle Ressourcen auf Seiten des Auftraggebers werden normalerweise nur in geringem Maße gebunden. Benötigt wird
vor allem ein Ansprechpartner als Kontaktperson für auftretende
Fragen in der Phase der Exploitation.
- Nach oben -
Wieviele Informationen braucht RedTeam Pentesting von uns?
Art und Umfang von bereits zu Anfang vorliegenden Informationen variieren mit der Art des gewünschten Penetrationstests. Hierzu findet man unterschiedliche Begrifflichkeiten, deren Definition leider nicht festgelegt ist und somit je nach Unternehmen unterschiedlich verstanden werden. Oft genannt werden hier Blackbox- und Whitebox-Tests, RedTeam Pentestings Verständnis dieser Begriffe finden sich in dieser FAQ.
RedTeam Pentesting empfiehlt normalerweise die Durchführung eines
Whitebox-Tests. Komplett als Blackbox-Test durchgeführte Penetrationstests leiden
unter der Problematik, eventuell Dritte ohne deren
Einverständnis mit einzubeziehen. Die Bereitstellung technischer Details
bereits vor dem Penetrationstest im Rahmen eines Whitebox-Tests ermöglicht den
Testern zudem, schneller und effizienter die für die Sicherheit eines
Unternehmen relevanten Schwachstellen aufzudecken. Hier sollte immer davon
ausgegangen werden, dass echte, ernstzunehmende Angreifer sich die nötigen
Informationen schon im Vorfeld beschafft haben oder mit gegebener
Vorlaufzeit beschaffen können. Eine genaue Festlegung, welche
Informationen für die Durchführung eines effizienten Tests nötig sind,
wird individuell in einem Vorgespräch vorgenommen.
- Nach oben -
Was sind Blackbox- und Whitebox-Tests?
Als Blackbox-Test werden normalerweise Tests definiert, bei denen die Penetrationstester nicht mehr Informationen erhalten, als Angreifer ohne interne Detailkenntnisse sie auch hätten. Die Idee ist herauszufinden, wie weit potentielle Angreifer ohne jegliche interne Informationen kommen können. Die komplette Wissensbeschaffung über Organisationsinterna muss also erst durch klassische Reconnaissance (das Herausfinden von möglichst vielen Informationen über das Ziel) und Enumeration (die nähere Betrachtung einzelner Systeme) geschehen. Trotz der Vorgabe, möglichst wenig Informationen über die zu testenden Systeme zu haben, ist jedoch die Angabe gewisser Rahmeninformationen unumgänglich. Ansonsten besteht die Gefahr, während des Penetrationstests unbeteiligte Dritte zu treffen. Für echte Angreifer stellt dies natürlich kein Hindernis dar, für ein seriöses Unternehmen sollte jedoch selbstverständlich sein, dass alle Durchführungsschritte eines Penetrationstests nur dort stattfinden, wo die explizite Erlaubnis gegeben wurde. Dies ist nicht der Fall für Drittsysteme, welche zum Beispiel bei einem Portscan über eine Anzahl von Systemen, welche nach ersten Auswertungen vermutlich dem Kunden gehören, ebenfalls betroffen wären.
Demgegenüber steht der Whitebox-Test (manchmal auch unter dem Begriff
Crystal-Box-Test zu finden). Dieser bedeutet für die Penetrationstester,
bereits Wissen über die zu testenden Systeme zu haben (zum Beispiel
Netzwerkpläne oder Quelltexte von Webapplikationen) und eventuell schon
gewisse Berechtigungen zugesprochen zu bekommen. Letzteres kann
etwa ein unprivilegiertes Benutzerkonto sein, wie es auch Mitarbeiter
im Firmennetz haben, oder Zugangsdaten für eine Webanwendung, wie sie
normale Kunden besitzen. So kann getestet werden, inwiefern Benutzer mit
Zugang zu einem System ihre Berechtigungen missbrauchen können. Zudem werden
den Penetrationstestern eventuell noch interne Informationen gegeben, die auch jedem
Mitarbeiter zur Verfügung stehen, wie zum Beispiel im Firmennetz
benutzbare Dienste (Webserver, E-Mail, LDAP etc.) oder auch interne
Organisationsstrukturen (welche Mitarbeiter sind wofür verantwortlich und
haben welche Position...). Werden nur Teilinformationen preisgegeben,
spricht man häufig auch von einem Graybox-Test.
- Nach oben -
Warum sollte bei einem Netzwerktest auch von innen und nicht nur von außen getestet werden?
Ist Ihr Unternehmensnetz nach außen soweit abgesichert, dass bei einem externen Penetrationstest
kein nennenswerter Erfolg beim Eindringen in
interne Systeme möglich war, so ergibt
ein Test von innen in jedem Fall Sinn, auch wenn das Netz erstmal gut
geschützt erscheint. Nur weil die Sicherheit der Perimetersysteme
gegeben ist, muss das nicht heißen, dass von innen dieselbe Vorsicht
angewendet wird. Meist werden in internen Netzen zu wenige
Vorsichtsmaßnahmen ergriffen, da diese ja vermeintlich nur
vertrauenswürdigen Personen zugänglich sind. Gerade in größeren
Unternehmen ist jedoch nicht jeder Mitarbeiter bezüglich der benötigten
Zugriffsberechtigungen gleichgestellt. So sollte der Praktikant, welcher
für zwei Monate im Unternehmen ist, nicht die gleichen
Zugriffsberechtigungen haben wie der Geschäftsführer. Es ist darum fatal,
wenn durch das bloße Eindringen in das interne Netzwerk bereits sämtliche
Sicherheitsvorkehrungen überwunden sind. Ist der finanzielle Anreiz groß
genug, so stellt es normalerweise für einen Angreifer (Konkurrenten,
Mitbewerber) kein Problem dar, einen Mitarbeiter zu bestechen, oder einen
eigenen Mitarbeiter einzuschleusen, um so direkt an alle Daten zu
gelangen, die von außen gut geschützt erscheinen.
- Nach oben -
Welche Arten von Systemen testet RedTeam Pentesting?
RedTeam Pentesting testet prinzipiell alle Arten von Systemen. Häufig sind zudem die für die Gesamtsicherheit relevanten Schwachstellen systemunabhängig, sodass auch bei bis zu diesem Zeitpunkt unbekannten Systemen erfolgreich getestet werden kann. Zusätzlich gehört zum Aufgabenbereich eines jeden Penetrationstesters, sich sehr schnell in neue Bereiche einarbeiten zu können.
Dabei beschränkt sich RedTeam Pentesting nicht ausschließlich
auf klassische Netzwerk- oder Webapplikations-Penetrationstests. Auch
neu entwickelte Hardware oder sonstige Produkte werden getestet, genauso
wie aktuell erst als Konzept vorhandene Entwürfe zur Systemsicherheit. Zudem
kann in Einzelfällen beispielsweise ein als Reaktion auf einen
Sicherheitsvorfall durchgeführter Penetrationstest helfen, die ausgenutzten
Schwachstellen aufzeigen und diese zeitnah zu schließen. Bei Fragen
hierzu ist RedTeam Pentesting jederzeit telefonisch erreichbar.
- Nach oben -
Kann unseren Produktivsystemen während des Tests etwas passieren?
Im Unterschied zu echten Angreifern geht RedTeam Pentesting sehr sorgsam mit Kundensystemen um, um mögliche Produktionsausfälle zu vermeiden. RedTeam Pentesting bemüht sich stets, die Systeme unbeschadet zu lassen. Angriffe, bei welchen die Gefahr für einen Systemausfall besonders hoch ist, werden nur nach Absprache mit dem Kunden durchgeführt.
Insgesamt lässt sich natürlich nicht ausschließen, dass ein
Produktivsystem einmal von einem Ausfall durch einen Angriff betroffen
ist. Für solche Fälle werden etwa Notfallrufnummern vereinbart, um
möglichst schnell reagieren zu können.
- Nach oben -
Werden auch Denial-of-Service-Angriffe getestet?
Denial-of-Service-Angriffe (DoS) werden normalerweise nur untersucht, wenn bereits mit geringem Aufwand die Verfügbarkeit des zu testenden Systems gefährdet werden kann. Dies kann etwa an einer Fehlkonfiguration liegen oder an einem Programmfehler (zum Beispiel, wenn ein Dienst abstürzt, weil eine zu lange Anfrage gesendet wird). Solche Angriffe werden nach Absprache durchgeführt, um zu verifizieren, ob sie tatsächlich möglich sind.
Hingegen werden Angriffe, bei denen die zur Verfügung stehende
Netzwerkkapazität des Kunden komplett ausgelastet wird, nicht getestet,
da diese für Angreifer mit entsprechenden Ressourcen immer möglich sind
und außerdem durch einen Angriff Drittsysteme überlastet werden. Eine
echte Distributed-Denial-of-Service-Attacke (DDoS), welche
normalerweise hunderte von Zombierechnern (Rechner, welche
kompromittiert wurden und nun unter dem Kommando eines Angreifers
stehen) involviert, lässt sich außerdem nur schwerlich nachahmen.
- Nach oben -
Führt RedTeam Pentesting Social-Engineering-Angriffe durch?
Bei Penetrationstests können auch Social-Engineering-Techniken genutzt
werden. Allerdings sind diese Techniken nicht unumstritten. Genauere
Informationen zu der Problematik von Social-Engineering-Angriffen im
Rahmen von Penetrationstests finden sich unter Exploitation. Als Schutz vor
Social-Engineering bieten sich eventuell auch Schulungen in diesem Bereich an.
- Nach oben -
Was geschieht mit vertraulichen Daten, welche in die Hände von RedTeam Pentesting fallen?
RedTeam Pentesting verpflichtet sich zu absoluter Verschwiegenheit, was
vertrauliche Daten des Kunden anbelangt. Ein
Non-Disclosure-Agreement (NDA), in welchem
festgelegt wird, dass RedTeam Pentesting Kundeninformationen vertraulich
behandelt, ist bereits Teil jedes Auftrags. Auch Daten, welche zur
Angebotserstellung genutzt werden, unterliegen bei RedTeam Pentesting der
gleichen Verschwiegenheitspflicht, die generell für alle Kundendaten
angewendet wird. Am Ende eines Penetrationstests werden zudem alle
angefallenen Daten oder Datenträger entweder sicher vernichtet oder an den Kunden
zurückgegeben, etwa gedruckte Handbücher oder getestete Geräte.
- Nach oben -
Werden die Ergebnisse schriftlich festgehalten?
Jeder Kunde erhält einen ausführlichen
Abschlussbericht nach Beendigung des
Penetrationstests. Ein typischer Bericht beinhaltet eine nichttechnische Zusammenfassung
aller Ergebnisse für das Management, um diesem einen knappen und
präzisen Überblick über die Lage zu geben.
Danach folgt der ausführliche technische Bericht für
Administratoren, Entwickler und andere technisch Verantwortliche. Die einzelnen Punkte werden
in eine detaillierte Beschreibung des Problems, eine Risikoanalyse
und einen Lösungsvorschlag aufgeteilt, um direkt konstruktive
Verbesserungsvorschläge zu machen.
- Nach oben -
Welche weiteren Dienstleistungen und Produkte bietet RedTeam Pentesting an?
RedTeam Pentesting bietet ausschließlich Penetrationstests an. Insbesondere
werden im Anschluss an den Penetrationstest keine weiteren Produkte oder
Dienstleistungen verkauft, sodass die Unabhängigkeit
und Objektivität der Testergebnisse sichergestellt ist. Durch die
Spezialisierung ist zudem gewährleistet, dass RedTeam Pentestings
Mitarbeiter viel Erfahrung und entsprechendes Spezialwissen für
Penetrationstests vorweisen können.
- Nach oben -
Können wir eine Liste mit Referenzen von RedTeam Pentesting erhalten?
Zu den Kunden von RedTeam Pentesting zählen nationale wie internationale Unternehmen. Folgende Branchen gehören unter anderem zu RedTeam Pentestings Kunden:
- Industrie & Handel
- Banken & Versicherungen
- Öffentliche Verwaltung & Behörden
- IT-Dienstleister & Rechenzentrumsbetreiber
Da unsere Kunden sehr großen Wert auf Vertraulichkeit legen, kann RedTeam
Pentesting keine Referenzliste veröffentlichen. Einen ersten Eindruck über
unsere Leistungsfähigkeit können Sie sich mit Hilfe der veröffentlichten Testimonials verschaffen, in denen
eine Auswahl von Kunden über ihre Erfahrungen mit RedTeam Pentesting
berichten.
- Nach oben -
Was unterscheidet RedTeam Pentesting von anderen Firmen, die Penetrationstests anbieten?
RedTeam Pentesting ist ausschließlich auf Penetrationstests spezialisiert, im Gegensatz zu vielen anderen Unternehmen der IT-Sicherheitsbranche, welche Penetrationstests zusätzlich in ihr Portfolio aufnehmen, um auch in diesem Marktsegment vertreten zu sein. Da hier häufig die nötige Expertise für einen durch spezialisierte Sicherheitsexperten durchgeführten Test fehlt, werden oft automatisierte Sicherheitsscans mit Schwachstellenscannern als Penetrationstest verkauft. Die Kunden solcher Sicherheitsdienstleister erhalten dann meistens nur einen Ausdruck der Programmausgaben als Ergebnis eines solchen »Penetrationstests«. Bei RedTeam Pentesting arbeiten stattdessen Sicherheitsspezialisten in enger Teamarbeit, um so praxisnahe Ergebnisse erzielen zu können. Unsere Ergebnisse werden ausführlich von den durchführenden Penetrationstestern dokumentiert, mit dem Anspruch, das nötige Wissen über die Schwachstellen verständlich zu vermitteln. Unsere Kunden können so gefundene Schwachstellen besser nachvollziehen und effizient beheben. Insbesondere verkauft RedTeam Pentesting keine weiteren IT-Dienstleistungen vor oder nach einem Penetrationstest. Der Penetrationstest soll nicht dem Verkauf weiterer Dienstleistungen dienen, sondern eine unabhängige Sicherheitsüberprüfung sein.
Desweiteren sind alle Mitarbeiter von RedTeam Pentesting öffentlich
bekannt und fest angestellt. Auch bei Auftragsspitzen wird nicht auf
andere Subunternehmen oder Freelancer zurückgegriffen, um sowohl die konstant
hohe Qualität der Tests als auch die Vertraulichkeit sicherzustellen.
- Nach oben -
In welchen Ländern bietet RedTeam Pentesting Penetrationstests an?
Zu den Kunden von RedTeam Pentesting zählen zahlreiche nationale sowie
internationale Unternehmen aus allen Bereichen. Penetrationstests werden in den
Projektsprachen Englisch oder Deutsch durchgeführt. Abhängig von den genauen
Anforderungen kann dies weltweit sowohl vor Ort bei den Kunden, als auch über
das Internet oder andere Fernzugänge erfolgen. Selbstverständlich ist es auch
möglich Testsysteme im Labor von RedTeam Pentesting durch einen Penetrationstest
überprüfen zu lassen, z.B. bei Produktpentests.
- Nach oben -
Heißt es nicht Penetrationtest statt Penetrationstest?
Der Begriff »Penetrationtest« (englisch ausgesprochen) wurde früher
häufiger benutzt, als das englische »Penetration Test« noch kein
wirkliches deutsches Äquivalent hatte. Mittlerweile hat sich im Deutschen
allerdings der Begriff »Penetrationstest« (deutsch ausgesprochen)
durchgesetzt.
- Nach oben -