Penetration Testing – wie dringen Hacker in mein Netzwerk ein?

“Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten.” Sun Tzu, Die Kunst des Krieges

Bei einem Penetration Test wird ein Hacker-Angriff auf Ihre Unternehmensinfrastruktur simuliert. Unterschieden wird dabei zwischen externen und internen Penetration Tests.

Bei einem externen Szenario werden sämtliche Angriffe ausschließlich über das Internet ausgeführt. Je nachdem können die Tests rein technischer (Finden und Ausnützen von Schwachstellen in der Infrastruktur) oder organisatorischer (Social Engineering, Phishing Mails, …) Art sein bzw.  eine Kombination davon. Durch diese Vorgangsweise werden Angriffe ohne physischen Zugang zur Unternehmensinfrastruktur simuliert.

Bei einem internen Szenario verfügt der “Angreifer” über physischen Zugang zum Unternehmen. Er kann präparierte USB-Sticks platzieren, an ungeschützten Netzwerkports den Datenverkehr mitlesen, schlecht verschlüsselte WLANs attackieren, usw. und somit auch die von extern nicht erreichbaren Infrastrukturkomponenten in die Analyse mit einbeziehen.

Welchen Service biete ich an?
Je nach Kundenwunsch führe ich simulierte Angriffe eigenständig, in Abstimmung oder zusammen mit ihrem Team durch. Dabei halte ich den gesamten Ablauf, von der Informationsbeschaffung bis hin zum erfolgreichen Eindringen in die Unternehmensinfrastruktur, chronologisch fest. In der abschließenden Dokumentation erhalten Sie neben dieser “Roadmap” eine Auflistung über die gefundenen Schwachstellen sowie Tipps zu deren Behebung. Gerne unterstütze ich Sie bereits bei der Definition des Anwendungsbereichs und des Testumfangs. Dies gilt natürlich auch für die Implementierung der sich aus dem Penetration Test erarbeiteten Maßnahmen zur Behebung der Schwachstellen.

Unternehmenskritische Systeme im Einsatz, die unter keinen Umständen vom Test beeinträchtigt werden dürfen?
Während des gesamten Vorgangs ist durch die vorher exakte Definition des Anwendungsbereichs sichergestellt, dass unternehmenskritische Systeme nicht oder nur zu abgestimmten Zeiten in den Test mit einbezogen werden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.