Penetrationstest
Zweck eines Penetrationstests
Der Zweck des Penetrationstests ist die Prüfung des IT-Systems auf mögliche Mängel und Schwachstellen. Um möglichen Gefährdungen entgegenzuwirken und vorzubeugen, sind Maßnahmen zur kontinuierlichen Verbesserung der IT-Sicherheit zu ergreifen. Sicherheit definiert sich durch Sicherheitsorganisation und Eskalationsvorschriften, technischen und organsiatorischen Maßnahmen, wie Zugriffsschutzmechanismen und Mitarbeitersensibilisierung, Verschlüsselung und Firewallsystemen, mit dem Ziel, ein bestimmtes IT-Sicherheitsniveau zu etablieren. Diese und weitere Aspeke sollten in einer unternehmensweiten IT-Sicherheitsleitlinie ("IT-Security Policy") in einem organisationsweiten IT-Sicherheitskonzept zusammengeführt werden.
Voraussetzungen für einen Penetrationstest
Falls die zu prüfende Organisation kein Sicherheitskonzept bzw. keine Sicherheitsleitlinien erstellt hat, ist es insbesondere bei einer komplexen IT-Landschaft fragwürdig, ob die Durchführung eines Penetrationstests überhaupt sinnvoll ist. Vermutlich wäre es für eine Steigerung der IT-Sicherheit viel effizienter, zunächst ein geeignetes Sicherheitskonzept zu erarbeiten und umzusetzen.
Vorgehensweise und Instrumente
- Verdeckte und offensichtliche Verifikation von Schwachstellen
- Verifikation tatsächlicher Schwachstellen in Anwendungsschnittstellen
- Verdeckter und offensichtlicher Test der Router
- Test von Vertrauensbeziehungen zwischen Systemen
- Verdeckter und offensichtlicher Test der Firewall von außen
- Test des IDS-Systems
- Brute-Force-Attacken
- Abhören von Passwörtern
- Test von Passwörtern
- Test von "Denial-of-Service" Anfälligkeit
- Direktes und Indirektes, persönliches Social-Engineering mit physischem Zutritt
- Indirektes, persönliches Social-Engineering ohne physischen Zutritt
- Überprüfung der drahtlosen Kommunikation (z. B. W-LAN)
- Test der administrativen Zugänge zur Telefonanlage
- Test des Voicemailsystems
- Test der administrativen Zugänge zum Faxsystem
- Test von Modems
- Aktiver Test der Zutrittskontrollen
- Überprüfung der Eskalationsprozeduren
- Test der vorhandenen VPN-Schnittstellen
Darüber hinaus werden auf Wunsch aggressive Scans durchgeführt - sowohl solche, bei denen es ein Absturzrisiko gibt als auch solche, deren Ziel der Absturz des jeweiligen Systems ist.
In gegenseitiger Absprache kann in Abhängigkeit der Penetrationstestergebnisse eine tiefergehende Analyse durchgeführt werden.
Das Angebot der UIMC
- Systemadministration (Server-Systeme, etc.)
- Datenbanken (SQL, MSDE, MS Access)
- Netzwerktechniken
- Programmiersprachen (Visual Basic, Pascal, etc.)
- IT-Sicherheitsprodukte (Firewall, Intrusion-Detection-Systeme)
- Handhabung von Hackertools und Schwachstellen-Scanner
- Systemexperten mit Kenntnissen in den Bereichen:
- Black-Box-Test (Eingriff ohne jegliches Hintergrundwissen)
- White-Box-Test (Eingriff mit bestimmten Detailkenntnissen)
- Umfangreiche, eigenentwickelte Testmethoden
- Umfassende Dokumentation des Penetrationstests und sämtlicher Ergebnisse
- Einbringung von Know-How aus themenverwandten Projekten, z. B. Aspekte des Datenschutzes, Notfall- und Risikomanagement, Business-Continuity-Management, etc.
- Erstellung eines Maßnahmenkatalogs sowie ein auf das Unternehmen angepasstes IT-Sicherheits- und Datenschutz-Konzept.
Bitte beachten Sie auch unser "Produktblatt zu Penetrationstests".