Penetrationstests

Die Probe aufs Exempel für Ihre IT-Sicherheitslandschaft.

Gezielte Schwachstellenanalyse durch realistische Angriffssimulationen

Individuelle Berichte mit klaren Handlungsempfehlungen

Nachhaltige Optimierung der IT-Sicherheitslandschaft

Können wir unterstützen? Kontaktieren Sie uns!

Eine der effektivsten Methoden zur Überprüfung der Sicherheitslage eines Unternehmens ist das sogenannte Penetrationtesting – eine gezielte Sicherheitsprüfung, die durch Experten durchgeführt wird, um potenzielle Lücken in IT-Infrastrukturen aufzudecken.

Unsere Experten prüfen Ihr Unternehmen auf Schwachstellen – sowohl mit denselben Tools, Taktiken und Prozeduren wie reale Angreifer, als auch mittels strategischer Prüfung und Beratung. Aufgrund unserer langjährigen Erfahrung und Kompetenz auf den Gebieten der offensiven und defensiven Sicherheit bieten wir Ihnen maßgeschneiderte Empfehlungen und Lösungen zur Identifizierung und Minimierung Ihrer Angriffsfläche.

Welche Lücken weist Ihre IT-Infrastruktur auf?

SECURITY FACTORY | IDENTIFY | PENETRATIONSTEST

Was kann getestet werden?

Test der externen Umgebung

Überprüfung der aus dem Internet erreichbaren Ressourcen

Website, Shop, Portal, Mobile Applikationen, API Schnittstellen

Test des Angriffsvektors E-Mail

Test der Sicherheitsmaßnahmen gegen bösartige E-Mails

Phishing und Spear Phishing

Provozieren einer Benutzerhandlung

Test der internen Umgebung

Assume Breach-Ansatz (z.B. mittels Ransomware)

Überprüfung der intern erreichbaren Ressourcen mit unprivilegiertem Benutzerkontext

Ein zentraler Bestandteil vieler Sicherheitslücken bleibt der Mensch. Innerhalb von Penetrationstests prüfen wir nicht nur technische Schwachstellen, sondern auch die Sicherheit Ihrer Mitarbeitenden im Umgang mit digitalen Bedrohungen. Durch kontrollierte Phishing- und Spear-Phishing-Kampagnen lassen sich reale Angriffsszenarien simulieren, um das Sicherheitsbewusstsein zu messen und gezielt zu stärken. So identifizieren wir Schwächen in Prozessen und Kommunikationswegen – bevor es ein echter Angreifer tut.

Der Faktor Mensch

Was erhalten Sie am Ende des Assessments?

Detaillierte Übersicht Ihrer Schwachstellen (u.a. zu Software, Konfiguration und Design)

Praxiserprobte Empfehlungen zu geeigneten Gegenmaßnahmen

Pentesting-Ablauf

1 |

Kick-Off-Gespräch

Aufnahme des Status quo, unser Team stimmt mit Ihnen Ziel und Umfang des Pentests ab.

| 2

Reconnaissance / Intelligence Gathering

Informationsbeschaffung; Ziel ist ein vollständiger Überblick über die digitale Angriffsfläche.

3 |

Vulnerability Assessment

Wir führen Scans durch und prüfen die identifizierten Schwachstellen.

| 4

Exploitation

Der eigentliche Angriff in Ihr IT-System startet. Die vorher identifizierten Schwachstellen werden aktiv genutzt, um breit in das System einzudringen und erweiterte Rechte zu erhalten.

5 |

Report & Dokumentation

Die gefunden Schwachstellen werden entsprechend ihres Risikos klassifiziert, sowie ein Maßnahmenkatalog zur Behebung der Schwachstellen erstellt.

Verschiedene Testmethoden für verschiedene Bedarfe

Black-Box

Die realistischste Simulation eines Cyberangriffs durch unbekannte Angreifer.

Zugangsebene: Kein Zugang und keine internen Informationen werden zur Verfügung gestellt.

Grey-Box

Es wird ein gewisses Maß an internem Zugang und Wissen gewährt.

Zugangsebene: Hintergrundinformationen wie bspw. IP-Bereiche oder Identitäten werden vorab übergeben.

White-Box

Es wird ein Angriff simuliert, bei dem der Angreifer Zugang zu Unternehmensinterna hat.

Zugangsebene: Vollumfänglicher Zugang zu Anwendungen und Systemen.

Vorteile unserer Pentesting-Reports

Klar strukturierter und übersichtlicher Umfang

Intuitive Gliederung für schnelle Orientierung

Prägnante Management Summary für Entscheider

Keine Standardberichte – individuell und manuell erstellt

Ausfertigung in Deutsch oder Englisch – je nach individuellem Bedarf

Segmentierung z. B. nach Standorten oder Unternehmensbereichen

Zu jeder Schwachstelle: konkrete, umsetzbare Handlungsempfehlungen

Flexibel nach individuellem Bedarf erweiterbar

Während ein Pentest das Ziel hat, generelle Sicherheitslücken aufzudecken, ist ein Red-Team Assessment häufig an ein spezielles Ziel geknüpft. Bei einem Pentest wird festgelegt, auf welchem Weg die Sicherheitsüberprüfung erfolgt, um spezielle Bereiche eines Unternehmens zu testen. Beim Red Teaming wird das Ziel genannt und das Possehl Secure Pentesting Team evaluiert eigenständig, in welcher Reihenfolge, welche Angriffe am besten zum gewünschten Ergebnis führen können und setzt diese autonom um.

Wichtig dabei ist: Red Teaming eignet sich nicht als erster Schritt, um den allgemeinen Stand der IT-Sicherheit in einem Unternehmen zu bewerten. Es ist vielmehr als fortgeschrittener Test zu verstehen, der sinnvoll auf bereits durchgeführte Penetrationstests aufbaut. Erst wenn grundlegende Sicherheitslücken bekannt und behoben wurden, kann ein Red Teaming Assessment gezielt die Effektivität bestehender Schutzmaßnahmen und Reaktionsfähigkeiten prüfen – insbesondere im Hinblick auf reale Angriffsszenarien und die Leistungsfähigkeit des Blue Teams.

Eine spezifische Art der Red Teaming Operationen wurde im europäischen Umfeld von der Europäischen Zentralbank und im nationalen Umfeld von der Deutschen Bundesbank definiert: TIBER-EU bzw. TIBER-DE. Innerhalb der dort aufgestellten Rahmenwerke werden Anforderungen definiert, die das Ziel haben, die Resilienz von Finanzunternehmen gegen erweiterte Angriffskampagnen speziell im und auf den Finanzsektor zu stärken.

Der Unterschied zwischen Red Teaming und Pentesting

Unser Team für offensive Sicherheit hilft Ihnen, einen Blick durch die Augen eines Angreifers auf Ihr Unternehmen zu werfen und deckt dabei potenzielle Verwundbarkeiten auf. Dabei dokumentieren wir unser Vorgehen und aufgedeckte Sicherheitslücken in einem Abschlussbericht. Wir unterstützen Sie mit lösungsorientierten Gegenmaßnahmen als konkrete Handlungsempfehlungen. Eine Red Teaming Operation ist nicht zuletzt auch eine gute Möglichkeit, zu überprüfen, ob Ihr Sicherheitsteam (Blue Team) in der Lage ist, professionelle Angriffe zu erkennen und abzuwehren.

Das Ergebnis

Die Methoden

Ein mögliches Szenario für eine Red Teaming Operation ist beispielsweise die Beschaffung einer bestimmten Personalakte oder das Aufspüren eines Betriebsgeheimnisses. Dabei macht unser Team von allen zur Verfügung stehenden Mitteln Gebrauch und stellt gewissermaßen Ihr Unternehmen auf die Probe. Als vertraulicher Partner an Ihrer Seite beeinträchtigen wir dabei selbstverständlich nicht die Infrastruktur Ihres Unternehmens.

Das Szenario

Ausnutzen von Sicherheitslücken

Einschleusen von Schadsoftware

Phishing

Open Source Intelligence

Ausspionieren von Zugangskennungen

Umgehen von Zugangskontrollen und -sperren

Zugangsversuche zu bestimmten Räumlichkeiten

Angriffe auf Netzwerkebene und unautorisierte Netzwerkzugriffe

Ausnutzen der Schwachstelle Mensch (Social Engineering)

Unlegitimierte Rechteerweiterung

Einsatz von Malware und Backdoors

Hardware Backdoors

Reverse Engineering

Hardware Traps

Pentesting ist ein stetiger Kreislauf, der ein Unternehmen begleitet. Neue Schwachstellen können jederzeit und überall auftreten. Die stetige Entwicklung im Sicherheitsbereich erfordert eine wiederkehrende Überprüfung der IT Systemlandschaft. Zudem kann auch der Faktor Mensch eine große Sicherheitslücke darstellen. Weiter erhalten Sie mehr Klarheit über die Sicherheit Ihres Unternehmens im Falle eines Angriffes. Zudem werden wichtige Anforderungen aus Frameworks (bspw. CIS Control 18) und Regulatorik (bspw. NIS2 und DORA) adressiert.

Durch den Pentest ist eine detaillierte Abbildung der digitalen Angriffsfläche möglich und somit kann gezielt die IT-Sicherheit verbessert werden. Das Ergebnis kann als Investitionsentscheidungsgrundlage dienen, so können anhand der Ergebnisse gezielt Investitionen getätigt werden.

Warum Pentesting?

Pentesting ohne Pentester?

Im Gegensatz zu manuellen Tests läuft autonomes Pentesting kontinuierlich, automatisiert und ohne externe Pentester. Sicherheitslücken werden schnell erkannt, priorisiert und behoben – ideal zur Überbrückung zwischen klassischen Pentests. So minimieren Sie stetig Ihre Angriffsfläche und sind schneller als der Angreifer.

Mehr Informationen zu Autonomen Pentests

SECURITY FACTORY

Kennen Sie Ihre digitale Angriffsfläche? Sind Sie gerüstet für Cybervorfälle? Risiken, kritische Ressourcen und Schwachstellen identifizieren und analysieren.

IDENTIFY

Zum IDENTIFY Leistungsportfolio

PROTECT

SECURITY FACTORY

Unsere digitalen Umgebungen und Werte sind im Wandel. Ihre Schutzmaßnahmen auch? Sicherheitsmaßnahmen zur Angriffsabwehr etablieren.

Zum PROTECT Leistungsportfolio

DETECT

SECURITY FACTORY

Vorbeugen ist wichtig, Erkennen und Kontrollieren von Angriffen und Vorfällen ein Muss. Bedrohungen frühzeitig aufspüren.

Zum DETECT Leistungsportfolio

RESPOND

SECURITY FACTORY

Bewusst und bereit. In Notfällen durch Vorbereitung einen kühlen Kopf bewahren. Vorfälle schnell und effektiv bewältigen.

Zum RESPOND Leistungsportfolio

RECOVER

SECURITY FACTORY

Unveränderbar, unabhängig, isoliert und verifiziert: die Wiederherstellung muss zur unanfechtbaren Basis werden. Den sicheren Hafen definieren.

Zum RECOVER Leistungsportfolio

GOVERN

SECURITY FACTORY

Kontinuierliches Risikomanagement unterstützt Sie nicht nur bei der Erfüllung der immer herausfordernden Regulatorik. Risikomanagement definieren und etablieren.

Zum GOVERN Leistungsportfolio

Können wir Sie unterstützen?

Unsere Experten beraten Sie gerne. Melden Sie sich bei uns!

Zum Kontaktformular