Gefahren identifizieren und beseitigen

Penetrationstest

Penetrationstests werden in Blackbox-Tests und Whitebox-Tests unterteilt. Bei einem Blackbox-Test stehen dabei den Penetrationstestern lediglich die Adressinformationen des Zieles zur Verfügung, weitere Informationen werden ihnen nicht mitgeteilt. Mittels der Vorgehensweise "Blackbox-Test" soll damit der Angriff eines typischen Außentäters mit unvollständigen Kenntnissen über das Zielsystem simuliert werden. Dagegen verfügen Penetrationstester bei einem Whitebox-Test über umfangreiche, für sie notwendige Informationen über die zu testenden Systeme. Dazu gehören beispielsweise Informationen über IP-Adressen, das interne Netz, die eingesetzte Software und Hardware. Erfahren Sie in unserem Informationsblatt Offensive Sicherheit, was Sie zum Penetrationstest wissen sollten, und wie moderne Angreifer vorgehen..

Der erhebliche Teil Ihrer IT Sicherheitsstrategie

Security information zu unseren Leistungen für IT Sicherheit
Sicherheitsberatung und Hacking Defense Planungen

Penetrationstests sind Schlüsselkomponenten

Vor jedem Penetrationstest führen wir generell eine Audit & Analysis durch, um zu untersuchen welche Faktoren von Ihnen vorgegebenen sind und welche Rahmenbedingungen Janotta und Partner zusammen mit Ihnen besprechen wird. Dies kann bei einem Penetrationstest sehr unterschiedlich sein. Ziel ist es, gemeinsam mit Ihnen die Voraussetzungen für den weiteren Projektverlauf und den eigentlichen Penetrationstest zu verstehen und mit Ihnen festlegen zu können. Technische Sicherheitsanalysen und Penetrationstests sind Schlüsselkomponenten einer nachhaltigen IT-Sicherheitsstrategie: Es geht bei einem Pentest darum, Schwachstellen zu finden bevor ein Angreifer sie ausnutzen kann.

Penetrationstest, Studie des BSI     Penetrationstest Preise     Social Engineering Test     Download Schweigepflicht Formular     Kontakt zu uns



Das Penetrationstest Reporting von Janotta & Partner

Der Penetrationstest und die einzelnen Phasen des Pentest
Pentest Report Grafik vergrößern

System und Netzwerk Penetrationstest

Trotz aller Bemühungen der Hersteller enthalten IT-Systeme immer wieder Schwachstellen, die die Sicherheit von IT-Infrastrukturen gefährden. Penetrationstests (auch Pentests genannt) helfen, solche Schwachstellen zu identifizieren. Dazu nehmen unsere Sicherheitsexperten die Rolle eines Hackers ein und führen mit Angreiferwerkzeugen simulierte Angriffe auf Ihre Infrastruktur und IT-Systeme durch. Dabei legen sie ausnutzbare Schwachstellen und unwirksame Schutzmechanismen offen. Im Fokus eines System-Pentests stehen IT-Systeme oder Netzwerkkomponenten, die für den täglichen Geschäftsbetrieb unentbehrlich geworden sind. Dazu zählen bspw. Webserver, E-Mail Systeme, Telefonanlagen oder Internetgateways. Das Ziel besteht unter anderem in der Identifikation offener Ports und fehlerhafter Konfigurationen, um Schwachstellen aufzudecken, die ein unautorisiertes Eindringen, einen Datendiebstahl oder eine Manipulation in Ihren IT-Systemen ermöglichen würden.

Penetrationstest Möglichkeiten

Schwachstellen finden bevor andere Sie ausnutzen

  • Prüfung Ihrer über das Internet erreichbaren Systeme: Wir untersuchen, ob und wie gut Web- und E-Mail-Server, Firewalls und VPN-Gateways gegen Angriffe über das Internet gesichert sind.
  • Prüfung Ihrer internen Systeme: Wir testen Ihre internen Systeme und Netze sowie die Windows-Domänen auf Schwachstellen.
  • Prüfung Ihrer Web-Anwendungen: Wir prüfen Ihre Web-Anwendungen und Web-Services nach etablierten Standards wie dem OWASP Testing Guide (OTG).
  • Prüfung eines Clients: Wir testen die Wirksamkeit der Schutzmaßnahmen auf Ihren Mitarbeiter-Clients für verschiedene Szenarien (interne Nutzung, Außendienst etc.).
  • Bericht: Die Ergebnisse, eine Bewertung und geeignete Maßnahmen werden in einem detaillierten Bericht dargestellt und in einem Management-Summary auf den Punkt gebracht.
  • Abschlusspräsentation: Wir stellen Ihnen unsere Ergebnisse vor und diskutieren mit Ihnen die weiteren Schritte.
  • Nachprüfung: Wir prüfen im Nachgang die wirksame Umsetzung der vorgeschlagenen Maßnahmen.

  • Adrian Janotta

    Adrian Janotta
    Nehmen Sie Kontakt auf

    Weitere Dienste rund um den Penetrationstest


    IT-Sicherheitsaudit für Web-Anwendungen

    In wachsendem Umfang werden Geschäftsprozesse durch Webanwendungen oder Service orientierte Anwendungen (SOA) unterstützt, die lokal oder in der Cloud betrieben werden und über das Internet zugänglich sind. Damit lassen sich Medienbrüche vermeiden und Effizienzgewinne erzielen. Doch durch eine solche Öffnung nach außen entstehen auch neue Risiken. Das liegt nicht zuletzt daran, dass viele Webanwendungen Individualentwicklungen sind.

    Aufgrund ihrer globalen Erreichbarkeit stellen Webanwendungen ein begehrtes Angriffsziel dar. Gerade E-Commerce Plattformen, Kundenportale oder CMS-Systeme zählen zu den beliebtesten Angriffszielen von Hackern. Etablierte Sicherheitsmaßnamen wie bspw. Firewalls bieten gegen das unautorisierte Abgreifen von Informationen keinen ausreichenden Schutz. Aus diesem Grund prüfe ich sowohl Standardsoftware, als auch Individualsoftware auf Schwachstellen und zeige Ihnen nachhaltige Schutzmaßnahmen.

    Vielfach besitzen Webanwendungen Schnittstellen zu anderen IT-Systemen, wie bspw. E-Mail Systemen und Datenbanken. Auch diese IT-Systeme können durch Schwachstellen in der Applikation beeinträchtigt werden. Folglich gilt es auch diese Gefahrenquellen zu untersuchen und zu bewerten, um das Risiko eines unautorisierten Zugriffs auf Ihre sensiblen Informationen zu reduzieren.

  • Bedrohungsanalyse: Eine Bedrohungsanalyse auf Basis der Datenflüsse ist die Voraussetzung für die Realisierung angemessener Schutzmechanismen in einer Webanwendung.
  • Prüfung des Entwurfs: Wir prüfen, ob der Entwurf und die Architektur der Web-Anwendung Ihre Sicherheitsanforderungen erfüllen.
  • Code Review: Wir prüfen den Code kritischer Anwendungsteile auf sichere Implementierung.
  • Prüfung der Webanwendung: Wir prüfen die Webanwendung nach den Vorgaben des als Industriestandard anerkannten OWASP Testing Guides (OTG) zur Identifikation von Schwachstellen.
  • Sicherer Betrieb von Web-Applications: Wir prüfen die Auslieferung, die Härtung von Betriebskomponenten sowie die Betriebsprozesse.

  • Smartphones sind mittlerweile kleine Computer und damit anfällig für Viren und Hackerangriffe. Viele Nutzer machen sich darüber aber keine Gedanken - dabei lässt sich schon mit wenigen Maßnahmen die Sicherheit erhöhen. Smartphones bringen Mobilität in das Unternehmen. Die Stärke der Mobilität und Vernetzungsmöglichkeiten stehen allerindgs oft im Widerspruch zum unsichtbaren Gefahrenpotenzial. So werden sensible Informationen vielfach unverschlüsselt auf dem Smartphone gespeichert oder im Klartext übermittelt.

    Janotta und Partner prüft auf Ihren Mobilen geräten zum Beispiel Clientseitige Angriffe, diese sollen lokale Schutzmaßnahmen beleuchten, während serverseitige Angriffe klassische Schwachstellen, wie bspw. SQL-Injections aufgedeckt werden. Das Ziel dabei ist, Sie vor Spionage zu schützen.



    Benötigen Sie stattdessen Forschungsunterstützung?


    Cybersicherheit von Experten

    Janotta und Partner ist ein deutsches Fachberatungs- und Durchführungsunternehmen für zuverlässige IT-Sicherheit. Seit nunmehr 17 Jahren ist unsere Geschichte ein Spiegel der Arbeit von Menschen verschiedenster Tätigkeiten, Aufgaben und Kompetenzen unter anderem auch im Open Source Bereich. Mit dem stetigen Wandel in einer der Innovationsbranchen unserer Zeit, sind wir durch unsere Zielstrebigkeit und unseren Ehrgeiz gewachsen und sind heute ein Unternehmen das in die Zukunft geht. Die Werte, eines ehemals als Familienbetrieb gegründeten Unternehmens, mit hoher Wertschätzung und Dienstleistungsbereitschaft fordern den engen Dialog mit unseren Kunden – Unternehmen, Behörden und Organisationen.

    Unsere Kunden kommen aus Deutschland, Österreich und der Schweiz.