Penetrationstests, oft als Pen-Testing bezeichnet, sind ein entscheidendes Instrument in der Welt der Cybersicherheit. Sie simulieren Cyberangriffe auf Computersysteme, Netzwerke oder Webanwendungen, um Schwachstellen und Sicherheitslücken zu identifizieren und zu beheben.
Warum ist Pen-Testing so wichtig?
Im Bereich der IT-Sicherheit gibt es viele komplexe und sich ständig verändernde Aspekte. Jedes Unternehmen ist täglich den Gefahren stiller oder lauter Cyber-Angriffe ausgesetzt, die schwerwiegende Schäden bis hin zur kompletten Zerstörung anrichten können. Unser Kooperationspartner HanseSecure GmbH tritt als unterstützender Herausforderer auf und bietet maßgeschneiderte Angebote und Ziele an. Ihre Kunden kommen aus verschiedenen Branchen und Unternehmensgrößen. Durch die Kombination verschiedener Sicherheitskompetenzen bietet HanseSecure GmbH ein umfassendes Leistungsspektrum an. Dieses vielseitige Portfolio reicht von Penetrationstests bis hin zu Strategieberatung.
Wie läuft ein Pen-Test ab?
Ein Penetrationstest, der in der Branche nur „Pen-Test“ genannt wird, ist ein Sicherheitstest, den der Auftragnehmer im Namen des Auftraggebers und/oder dessen Kunden an kritischen Systemen durchführt. Ein Penetrationstest ist ein kontrollierter Versuch seitens des Auftragnehmers, sich von innerhalb oder außerhalb der IT-Infrastruktur des Auftraggebers und/oder dessen Kunden Zugang zu einer vom Auftraggeber und/oder dessen Kunden betriebenen oder genutzten Datenverarbeitungsanlage (im Folgenden als „kritisches System“ bezeichnet) zu verschaffen.
Es erfolgen dabei keine lateralen Bewegungen auf dem kritischen System. Das Ziel besteht darin, Schwachstellen im kritischen System aufzudecken. Der Auftragnehmer bedient sich hierbei verschiedener Techniken, die auch bei einem realen Angriff auf das kritische System angewendet würden, wie in seiner Expertise festgestellt wurde. Auch der Einsatz von Vulnerability-Scannern unterliegt den Regelungen für Penetrationstests. Durch die Identifikation dieser Schwachstellen im kritischen System wird es dem Auftraggeber und/oder seinem Kunden ermöglicht, diese zu schließen, bevor sie von Dritten mit böswilligen Absichten ausgenutzt werden können.
Was ist eigentlich Red Teaming oder Purple Teaming?
Beim Red Teaming unternimmt der Auftragnehmer Phishing-Angriffe und/oder physische Angriffe und/oder Maßnahmen eines Penetrationstests, um von außen oder innen auf das kritische System zuzugreifen. Dabei werden auch laterale Bewegungen durchgeführt, um die Schwachstellen des Systems aufzudecken. Im Gegensatz zu herkömmlichen Penetrationstests führt der Auftragnehmer beim Red Teaming ebenfalls laterale Bewegungen innerhalb des kritischen Systems aus. Purple Teaming ist in Bezug auf die Angriffsmethoden mit dem Red Teaming identisch; jedoch werden im Rahmen des Angriffs Mitarbeiter des Auftraggebers und/oder dessen Kunden für IT-Sicherheit als „Blue Team“ einbezogen und während des Angriffs in den Verteidigungstechniken geschult. Das Blue Team erhält eine realistische Schulung basierend auf seiner eigenen IT-Infrastruktur und erlernt Strategien zur Abwehr bösartiger Angreifer. Durch das Identifizieren der Schwachstellen im kritischen System wird dem Auftraggeber bzw. seinen Kunden ermöglicht, diese zu beheben, bevor sie von einem Dritten mit böswilligen Absichten ausgenutzt werden können.
Was ist eine professionelle Phishing-Kampagne?
Ein Phishing-Angriff bezeichnet den Versuch des Auftragnehmers, über gefälschte Webseiten, E-Mails oder Kurznachrichten bzw. durch gezielte Manipulationen des Zielobjekts (genannt „Social Engineering“) an Zugangsdaten von Dritten zuzugreifen. Diese Dritten können Mitarbeiter des Auftraggebers und/oder dessen Kunden sein. Wenn dieser Angriff erfolgreich ist und Teil des Vertragsinhalts ist, kann der Auftragnehmer mit den erhaltenen Zugangsdaten auf kritische Systeme zugreifen. Dadurch wird dem Auftraggeber und/oder seinem Kunden ermöglicht, die Schwachstellen im menschlichen Verhalten zu beseitigen (z.B. durch Schulungen und Sensibilisierung) und das Risiko einer Ausnutzung dieser Schwachstellen durch einen böswilligen Angreifer zu reduzieren.
Best Practice: CISO as a Service
HanseSecure bietet mit dem CISO as a Service einen hochkompetenten Partner für Unternehmen, der den gesamten Bereich der Informationssicherheit verantwortet. Durch die Kombination von tiefgreifendem Fachwissen und langjähriger Erfahrung übernimmt HanseSecure als technisch versierter CISO die Rolle eines hochspezialisierten Managers und verknüpft erfolgreich Theorie und Praxis. Der CISO ist verantwortlich für die Schaffung und kontinuierliche Entwicklung einer effektiven Informationssicherheitsstrategie im Unternehmen. Ziel ist es, durch die Implementierung eines spezialisierten Verantwortlichen für den Bereich Informationssicherheit den IT Security Bereich nachhaltig auszubauen.
Das Outsourcing-Modell „CISOaaS“ bietet Organisationen die Möglichkeit, einen virtuellen oder Teilzeit-CISO zu engagieren, der die Verwaltung ihrer Informations-Sicherheitsstrategie und -Operationen übernimmt. HanseSecure steht dabei als verlässlicher und kompetenter Partner zur Seite und garantiert höchste Sicherheitsstandards und effektive Maßnahmen.
Ihr Ansprechpartner
Florian Hansemann ist der Gründer und Geschäftsführer der HanseSecure GmbH, eines renommierten Unternehmens im Bereich IT-Sicherheit und Cybersecurity-Beratung. Hansemann und sein Team beraten Unternehmen zu komplexen Themen der Informationssicherheit und Cybersecurity.
Jetzt Kontakt aufnehmen.
Unsere Beratungsfelder
Als „Cyberrechtsanwälte“ arbeiten wir in einem hochspezialisierten Team aus Rechtsanwälten und IT-Partnern in Kooperation zusammen. Wir bieten Ihnen daher anwaltliche Beratung, hand-in-hand mit den Lösungen unserer Hacker, Forensiker oder Ermittler. Unser Anwaltsteam aus Deutschland, Österreich und aus der Schweiz freut sich darauf, Sie u.a. in diesen Rechtsbereichen zu beraten:
Mehr erfahren
Krypto-Forensik
Mehr erfahren