Umfassende Security Tests für IT-/OT-Systeme, Anwendungen und Cloud

Jedes Unternehmen verfügt über eine einzigartige IT-Infrastruktur und unterschiedliche Anwendungen. Dementsprechend benötigt es eine speziell darauf ausgerichtete Sicherheitsprüfung. Unser Penetration Testing Team beherrscht die modernsten Hacking-Methoden, die auch von Cyber-Kriminellen angewendet werden. Wir lieben die Herausforderung im Cyber-Security-Bereich und analysieren systematisch alles, was vernetzt ist: egal ob Applikation, Cloud, Leit- oder Produktionssystem (ICS: SCADA/DCS), Sicherheitssystem, IoT Device, Flugzeug, Kraftwerk oder Zug.

Bei Penetration Tests, auch Pentests genannt, werden geeignete Mittel und Methoden eingesetzt, um vorhandene Schwachstellen aufzudecken. Ob unbefugtes Eindringen in Systeme, Möglichkeiten zur Datenmanipulation oder unsichere Anwendungen – ein Pentest deckt Sicherheitsmissstände auf. Anschliessend wird ein Bericht erstellt, der zeigt, wo und welche Risiken bestehen.

Bei einem Security Assessment wird zusätzlich zum Penetration Test auch die Konfiguration des Systems sowie der operative Umgang mit dem System bewertet. Während Penetration Tests primär die technischen Aspekte von Systemen oder Applikationen untersuchen, umfassen Security Assessments auch prozessuale und organisatorische Themen. Ein Security Assessment liefert eine umfassendere Sicht über das Sicherheitsniveau der Testobjekte. In einem Bericht werden sämtliche Abweichungen und die damit verbundenen Risiken aufgezeigt.

Beim Configuration Review wird die Konfiguration des Systems auf sicherheitsrelevante Einstellungen geprüft. Dabei werden insbesondere Hardening Guidelines und Standard-Frameworks verwendet, um Soll-Ist-Vergleiche zu erstellen. Es kann aber auch in einer anderen Form wie beispielsweise gemeinsamen Workshops oder Walk Throughs durchgeführt werden. Dabei werden zum Beispiel Abweichungen von Implementierungs- oder Sicherheitskonzepten identifiziert. Anhand eines Berichts werden die Abweichungen und die damit verbundenen Risiken erläutert.

Ihre Vorteile auf einen Blick

  • Sicherheitstests jeglicher vernetzter Komponenten und Systeme sind möglich
  • Systematische Identifizierung von technischen Schwachstellen und Sicherheitslücken
  • Empfehlungen zu konkreten Härtungsmassnahmen und zusätzliche Tipps, um die Cyber-Resilienz zu erhöhen
  • Kombination aus semi-automatischen Schwachstellenscans und manuellem Testing
  • Manuelle Verifikation von Sicherheitslücken
  • Scoping vor Offertenerstellung, um genauen Umfang zu definieren
  • Erfüllung von Compliance-Anforderungen
  • Zielgruppengerechte Dokumentation und Präsentation

Unser Penetration Testing Approach

Mit bewährten und standardisierten Vorgehensweisen sowie optionalen Modulen wird eine hohe Qualität in Penetrationstest-Projekten sichergestellt:

 

Unser Oneconsult Penetration Testing Approach

Kick-off-Meeting: Gemeinsam definieren wir den Ablauf, die Termine, die Voraussetzungen und die Testbereitschaft.

Die weiteren Schritte sind abhängig von der Projektart, dem Projektumfang sowie der Testtiefe. Diese Punkte werden vor der Offertenerstellung in einem gemeinsamen Scoping-Termin definiert.

Dokumentation: Nach Abschluss der Testaktivitäten erhalten Sie einen detaillierten, zielgruppengerechten Schlussbericht. Dieser beinhaltet ein Management Summary, die Projektziele, die Rahmenbedingungen, die Befunde (Sicherheitslücken inkl. Risikokategorisierung) sowie die Massnahmenempfehlungen.

Schlussbesprechung (optional): Bei einer Schlussbesprechung werden die Ergebnisse präsentiert und die Resultate sowie Massnahmen ausführlich erläutert.

Methoden & Gestaltungs­möglichkeiten eines Penetration Tests

Die Services im Bereich Penetration Testing basieren auf Standards wie OWASP und OSSTMM. Dabei können diverse Ansätze gewählt werden:

  • White-, Grey- oder Blackbox-Ansatz: Sie liefern uns im Vorfeld viele, wenige oder (fast) keine Informationen zum Untersuchungsobjekt.
  • Authentifiziert/Unauthentifiziert: Test aus interner Perspektive mit Zugangsdaten (authentifiziert) oder aus der externen Perspektive, ohne Zugangsdaten.
  •  Outside/Inside: Tests vom Internet aus (Outside) oder aus dem internen Netzwerk (Inside).
  •  Assume Breach: Dieser Ansatz geht davon aus, dass Angreifer bereits Zugang zu einem System haben. Es wird überprüft, ob sie auf weitere Systeme, sensible Daten oder höherprivilegierte Benutzerkonten zugreifen können.

Darum ist Oneconsult Ihr Spezialist für Penetration Testing

  • Seit über 20 Jahren bieten wir Penetration Testing als unsere Kernkompetenz.
  • Unser Penetration Testing Team sowie unsere Sicherheitsberatende verfügen über anerkannteste Zertifizierungen in der Cyber-Security-Branche: OSCP, PSCP, OPST, OSCE, OSWE, GXPN, OPSA, PECB und weitere!
  • Wir verwenden renommierte Testmethoden zur Identifizierung von Schwachstellen und Sicherheitslücken.
  • Wir orientieren uns an international anerkannten Methoden wie ISECOM OSSTMM, OWASP (OWASP, ASVS, OWASP Top10), CVSS, MITRE Attack Framework, NIST und CIS Benchmarks.
  • Leidenschaft für Cyber Security: Wir brennen für das, was wir tun – arbeiten strukturiert und teilen unser Wissen gerne.
  • Wir setzen uns höchste Qualitätsansprüche und glauben, dass wir nur gemeinsam erfolgreich gegen Cyber-Bedrohungen vorgehen können – together against cyberattacks.

Jetzt Penetration Testing Angebot einholen

Häufig gestellte Fragen (FAQs) zu Penetration Testing

Ein Penetration Test ist wichtig, um die Sicherheit von Anwendungen, IT-Systemen, Netzwerken und vielem mehr zu überprüfen. Durch die Simulation von Angriffsszenarien werden potenzielle Schwachstellen und Sicherheitslücken identifiziert, bevor sie von kriminellen Hackern ausgenutzt werden. Dadurch können Unternehmen gezielte Sicherheitsmassnahmen ergreifen, ihre Cyber-Resilienz verbessern und Risiken minimieren.

Ein Penetration Test beinhaltet in der Regel mehrere Schritte. Nach der Festlegung des zu testenden Systems und dem Kick-off des Projekts, erfolgt zunächst eine umfassende Analyse des Testgegenstandes und der umliegenden Infrastruktur, um potenzielle Angriffspunkte zu identifizieren. Anschliessend werden verschiedene Techniken und Tools eingesetzt, um Schwachstellen zu finden. Die Ergebnisse werden validiert, dokumentiert und in einem Bericht zusammengefasst. Der Schlussbericht enthält die gefundenen Schwachstellen, deren Risikobewertungen und Empfehlungen für Verbesserungsmassnahmen.

Die Häufigkeit von Penetration Tests hängt von verschiedenen Faktoren ab, wie beispielsweise der Art der Infrastruktur, der Grösse des Unternehmens und der sich ändernden Bedrohungslandschaft. In der Regel empfiehlt es sich, Penetration Tests regelmässig durchzuführen, um neue Schwachstellen zu identifizieren und sicherzustellen, dass Sicherheitsmassnahmen effektiv umgesetzt werden. Bei kritischen Systemen wird empfohlen, mindestens einmal im Jahr oder bei wesentlichen Änderungen an der Infrastruktur einen Pentest durchzuführen.

Vereinfacht ausgedrückt, geht es bei einem Penetration Test um die Auffindung von Schwachstellen und beim Red Teaming um die Ausnutzung von Schwachstellen. Zudem beschränken sich Penetration Tests in der Regel auf technische Schwachstellen, wohingegen beim Red Teaming auch organisatorische Schwachstellen relevant sind. Weiterführende Informationen finden Sie in unserem Blogartikel «Die Unterschiede zwischen Penetration Test und Red Teaming».

Das bestätigen unsere Statistiken

Täglich setzen Unternehmen weltweit auf unsere Fachkompetenz. Das bestätigen zusätzlich zu den langjährigen Kunden auch unsere Statistiken.

0

Application (Mobile) 
Penetration Test Projekte

0 +

Penetration Test 
Projekte pro Jahr

0

ICS (SCADA / DCS) 
Penetration Test Projekte

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 12.00 Uhr und 13.00 – 17.30 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen