Penetrationstest

Ein Pentest ist ein simulierter Angriff auf ein Computersystem oder Netzwerk, der die Sicherheitslücken und Schwachstellen aufdeckt, die von echten Hacker:innen ausgenutzt werden könnten. Ziel ist die Identifikation von Sicherheitslücken, eine Risikobewertung nach Priorität und Verbesserung von Sicherheitsmassnahmen.

Warum sollte ein Pentest auf kritische Systeme durchgeführt werden?
Warum kosten Penetrationstests so unterschiedlich?
Was geschieht nach der Beauftragung von SIDD

Warum sollte ein Pentest auf kritischen Systemen durchgeführt werden?

Ein Pentest kann helfen, die folgenden Vorteile für jedes Unternehmen zu erzielen:

  • Erhöhte Sicherheit — Ein Pentest identifiziert und priorisiert die Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit der kritischen Systeme bedrohen, und schlägt geeignete Abhilfemassnahmen vor, um sie zu beheben.
  • Vermeidung von Datenverlusten und Reputationsrisiken — Ein Pentest kann verhindern, dass sensible Daten wie Kundeninformationen, Finanzdaten oder Geschäftsgeheimnisse durch Hackerangriffe gestohlen, manipuliert oder zerstört werden, was zu hohen Geldstrafen, rechtlichen Konsequenzen oder einem Vertrauensverlust bei den Stakeholdern führen könnte.
  • Compliance mit Standards und Vorschriften — Ein Pentest kann nachweisen, dass das Unternehmen die geltenden Sicherheitsanforderungen und Best Practices einhält, wie z. B. ISO 27001, PCI DSS, GDPR, NIST oder DORA. Dies kann das Vertrauen der Kund:innen und Partner:innen stärken und mögliche Sanktionen vermeiden.
  • Verbesserte Effizienz und Performance — Ein Pentest kann die Leistung und Funktionalität der kritischen Systeme verbessern, indem er Engpässe, Fehler oder Konfigurationsprobleme aufdeckt, die die Geschäftsabläufe beeinträchtigen oder verlangsamen könnten.

Warum automatisierte Penetrationstests nicht genügen

Der Preis eines Pentest hängt von mehreren Faktoren ab, wie z. B. dem Umfang, der Tiefe, dem Ziel, der Dauer und der Methode des Tests. Einfache, günstige Penetrationstests sind oft automatisiert oder teilautomatisiert und verwenden vorgefertigte Tools oder Skripte, um nach bekannten Schwachstellen oder häufigen Fehlern zu suchen. Diese Art von Test kann zwar einige Oberflächenprobleme identifizieren, aber nicht die komplexen oder massgeschneiderten Angriffe simulieren, die echte Hacker:innen ausführen würden. Ausserdem können automatisierte Tests viele falsche positive oder falsche negative Ergebnisse liefern, die eine manuelle Überprüfung erfordern.

Zugeschnittene, manuelle Penetrationstests sind teurer, weil sie einen höheren Grad an Fachwissen, Erfahrung, Kreativität und Zeit erfordern. Diese Art von Test wird von qualifizierten und zertifizierten Pentester:innen durchgeführt, die massgeschneiderte Angriffsszenarien entwerfen und anwenden, die auf die spezifischen Ziele, Bedrohungen und Schwachstellen der Kund:innen zugeschnitten sind. Manuelle Penetrationstests können tiefer in die Systeme eindringen und logische Fehler, Geschäftslogik-Fehler, Designfehler oder Zero-Day-Schwachstellen aufdecken, die automatisierte Tests übersehen würden. Ausserdem können manuelle Penetrationstester:innen konkrete Empfehlungen geben, wie die Sicherheitslücken behoben werden können, und einen vollständigen Bericht über die Ergebnisse, Erkenntnisse und Lektionen erstellen.

Zusammenfassend kann gesagt werden, dass der Unterschied zwischen einfachen, günstigen Penetrationstests und zugeschnittenen, manuellen Penetrationstests in der Qualität, Genauigkeit, Tiefe und Relevanz der Tests liegt. Einfache, günstige Penetrationstests können für einige grundlegende Sicherheitsprüfungen ausreichen, aber zugeschnittene, manuelle Penetrationstests bieten einen viel besseren Wert und Schutz für das Unternehmen.

Für einfache, grundlegende Prüfungen empfehlen wir den Schwachstellen Scan.

Was geschieht nach der Beauftragung von SIDD?

Nach der Beauftragung von SIDD für einen Pentest erfolgt der Prozess wie folgt:

Vertragsunterzeichnung

Wir schliessen einen Dienstleistungsvertrag ab, der die Rahmenbedingungen und den Leistungsumfang unserer Tätigkeit enthält. Natürlich digital 😉

Kick-off Meeting

Die Ziele, der Umfang, die Methodik und der Zeitplan des Penetrationstests werden mit Ihnen besprochen und festgelegt. Sie müssen auch die notwendigen Berechtigungen für den Penetrationstest erteilen und eventuelle Einschränkungen oder Anforderungen angeben.

Informationsbeschaffung

Das Penetrationstest-Team sammelt Informationen über das Ziel, z. B. IP-Adressen, Domänennamen, Betriebssysteme, Anwendungen, Netzwerktopologie, Sicherheitsmassnahmen usw. Diese Informationen dienen dazu, mögliche Angriffsvektoren zu identifizieren und die Teststrategie zu definieren.

Schwachstellenanalyse

Automatisierte und manuelle Techniken werden verwendet, um die identifizierten Angriffsvektoren zu testen und Schwachstellen zu finden, die ausgenutzt werden können. Die Schwachstellen werden nach ihrer Schwere, ihrem Risiko und ihrer Auswirkung bewertet und priorisiert.

Exploitation

In diesem Schritt werden die gefundenen Schwachstellen ausgenutzt, um Zugriff auf das Ziel zu erlangen, Daten zu extrahieren, Privilegien zu eskalieren, Persistenz zu erlangen usw. Das Penetrationstest-Team dokumentiert alle Schritte und Beweise für die erfolgreiche Exploitation.

Berichterstattung

Das Penetrationstest-Team erstellt einen detaillierten Bericht über die Ergebnisse des Penetrationstests, einschliesslich der Beschreibung, Bewertung und Belegung der Schwachstellen, der Empfehlungen zur Behebung der Schwachstellen, der Lessons Learned und der Best Practices. Der Bericht wird mit Ihnen geteilt und diskutiert, um Fragen zu klären und Massnahmen zu vereinbaren.