Penetration Test
Den Angreifern einen Schritt voraus!
Angriffe auf Systeme unterschiedlichster Art nehmen von Jahr zu Jahr zu und bringen Unternehmen mehr und mehr unter Druck. Ausgefeilte Security Maßnahmen sollten permanent auf ihre Wirksamkeit und Lücken untersucht werden. Dazu dienen Penetrationtests!
Phishing
Gezielte Phishing Angriffe werden gerade in Zeiten von Corona und Home-office und dem damit verstärkten Informationsbedarf von Mitarbeitern zu einem immer größeren Problem für Unternehmen.
Trojaner
Ransomware und Viren für unterschiedlichste Plattformen und Devices suchen sich über verschiedenste Schwachstellen Zugang zu Unternehmen, um dort größtmöglichen Schaden anzurichten oder Geld zu erpressen.
Hackerangriffe
Gezielte Hackingangriffe auf Unternehmen mit dem Ziel an sensible Daten zu gelangen oder dem Unternehmen auf andere Weise zu schaden, zählen zu den am schwierigsten abzuwehrenden Angriffen.
Ziele, Zielsetzung und generelle Bedingungen werden im Scopinggespräch definiert.
Informationen über das Ziel werden passiv gesammelt und verwendet, um mögliche Angriffsvektoren zu identifizieren.
Die gesammelten Informationen werden konsolidiert und verwendet um ein Angriffsmodell zu erstellen, welches der Kunden im „Letter of Authorization“ frei gibt.
Aktive Informationssammlung durch manuelle und automatisierte Analyse von Schwachstellen und Systemeigenschaften.
Maßgeschneiderte Exploits werden teilweise entwickelt, ausgeführt und die Ergebnisse dokumentiert.
Die Ergebnisse werden analysiert, dokumentiert und bewertet, und alle Spuren unserer Aktivitäten beseitigt.
Die Reports werden übergeben und die Ergebnisse und Empfehlungen in einem persönlichen Debriefing besprochen.
Was kostet ein hochwertiges Pentesting?
Eine genaue Preis-Indikation eines Penetrationtests anhand bestimmter Kriterien im Vorab festzulegen, noch ohne über das entsprechende Vorhaben und den geplanten Umfang gesprochen zu haben, ist vorab nicht seriös möglich. Um Ihnen dennoch eine ungefähre Vorstellung davon zu geben, was ein hochqualitatives Pentesting kosten kann, haben wir nachfolgend drei Preisbeispiele mit den ungefähren Kosten und Rahmenbedingungen angeführt.
Öffentliche Angriffsfläche
Ausgangssituation
- 6 IPs
- 3 Fokussysteme, zum Beispiel:
⏵ Mail-System
⏵ File-Exchange
⏵ Lieferantenportal
Vorgangsweise
- Blackbox Ansatz⠀⠀⠀⠀⠀⠀⠀Bei einem Black Box Test stehen dem Angreifer keine Informationen über das System, wie in etwa Architektur, Versionen, verwendete Frameworks oder Technologien, zur Verfügung und es wird der möglichst realitätsnahe Angriff durch eine externe Partei ohne Detailinformationen über das Ziel simuliert.
- Red Flag Assessment Ein “Red Flag Assessment” bedient sich in erster Linie automatisierten Testverfahren (Vulnerability Scans, Überprüfung durch Spezialtools, …) und vermeidet weitgehend manuelle Überprüfungen sowie das Ausnutzen (Exploit) von Schwachstellen. Das primäre Ziel ist es eine gute Übersicht hinsichtlich der Sicherheit eines Systems zu geben und offensichtliche Probleme und Schwachstellen aufzuzeigen (wie sie zum Beispiel ein Angreifer auch mit einem Scan bzw. anderen Tools automatisch findet). Je nach Ziel werden geeignete Tools, je nach Verfügbar- und Anwendbarkeit, ausgewählt und verwendet.
- Inklusive Retest nach Behebung
Deliverables
- Technischer Detailreport
- Management Summary
- Persönliches Debriefing
ab 7.500 €
Webshop + API
Ausgangssituation
- Leichte bis mittlere Komplexität
Vorgangsweise
- Greybox TestMit einem Grey Box Test soll simuliert werden, dass ein Angreifer bei einem zielgerichteten Angriff oft versucht über verschiedene Wege Informationen über das Ziel zu erlangen, welche es ihm erleichtern, Schutzmechanismen zu umgehen.
- Orientierung an OWASP (Top 10, Web Security Testing…)Die OWASP Top 10 sind ein Ranking der bedeutendsten Sicherheitsrisiken, Angriffsvektoren und Schwachstellen, die in der Entwicklung von Online-Anwendungen berücksichtigt werden sollten. Die darin aufgeführten Risiken mitsamt Best Practices zur Behebung derselben dienen in erster Linie zur Sensibilisierung von Webentwicklern.
- Inklusive Retest nach Behebung
Deliverables
- Technischer Detailreport
- Management Summary
- Persönliches Debriefing
ab 10.000 €
Interner Angreifer
Ausgangssituation
- Interne Infrastruktur
- Clients zentral verwaltet
- 100 interne Server
- 5 Fokussysteme, zum Beispiel:
⏵ Active Directory
⏵ CRM-File-Server
Vorgangsweise
- Überprüfung vom Client lokal & remote
- Überprüfung Peripherie LAN, zum Beispiel:
⏵ Video-LAN
⏵ Telefonie- LAN mit ungefähr 50 IPs
- Inklusive Retest nach Behebung
Deliverables
- Technischer Detailreport
- Management Summary
- Persönliches Debriefing
ab 16.000 €
More than a pentest
Mit unserem “Advanced Threat Inspection” Service erhalten Sie eine externe Überprüfung der Sicherheit Ihrer digitalen Produkte und Services, Ihres Unternehmens und der Ihrer Daten. Dabei gehen wir weit über den Umfang eines klassischen Schwachstellen-Scans hinaus und Sie profitieren mit Ihren Teams unter anderem von folgenden Ergebnissen.
Technical Report (20+ pages)
Umfassender und technisch, detaillierter Report und Analyse zu Risiken und Schwachstellen, sowie spezifische Empfehlungen und Verbesserungsvorschläge.
Custom Exploit
Entwicklung von individuellen Exploits zur realistischen und kundenspezifischen Schwachstellenanalyse.
Individual Debriefing
Individuelles und persönliches Debriefing mit Auftraggeber, System- oder Security Verantwortlichen und spezifischen Kundengruppen.
Kennen Sie Ihre Schwach- stellen und verstärken Sie gezielt Ihren Schutz vor Angreifern!
Ein Penetrationtest, kurz Pentest, hilft Ihnen dabei Schwachstellen zu entdecken und einem potentiellen Angreifer zuvorzukommen. Durch einen Penetrationtest bekommen Sie einen Überblick über die Wirksamkeit Ihrer implementierten Sicherheitsmaßnahmen und finden heraus, wo Ihr Unternehmen am anfälligsten für reale Bedrohungen ist.
Sie erfüllen damit verschiedenste regulatorische und organisatorische Anforderungen und können Verbesserungsmaßnahmen zur Erhöhung ihres Schutzes, gezielt und effizient durchführen. Letztendlich ist es auch eine Maßnahme, die sie Nachts wieder ruhig schlafen lässt, und die sie deshalb von einem vertrauensvollen und erfahrenen Partner wie uns, durchführen lassen sollten.
Hochqualifiziert
Unsere OSCP zertifizierten Pentester verfügen über langjährige, praktische Erfahrung und müssen höch-sten ethischen Anforderungen erfüllen.
30 Jahre Erfahrung
Wir blicken auf über 30 Jahre Erfahrung im Bereich Cyber Security, IT Infrastrukturen und Software Entwicklung zurück.
Security mit System
Wir arbeiten nach Standards (OWASP, etc.) und mit unserem praxiserprobten 7-Stufen Modell, das größtmögliche Sicherheit und Transparenz für unsere Kunden gewährleistet.
Verlässlicher Partner
Wir sind verlässliche und vertrauenswürdige Partner an der Seite von Unternehmen verschiedenster Größenordnungen und den unterschiedlichsten Branchen. Und das über Jahre hinweg.
Österreich und darüberhinaus
Mit unseren mehr als 400 Spezialisten am Technologiestandort bei Graz sind wir Teil eines europäischen Technologie Beratungsunternehmen mit über 5.000 Mitarbeitern in ganz Europa.
Zertifiziert
Wir lassen uns regelmäßig extern auditieren und sind am österreichischen Standort ISO 9000, ISO 27001 und TiSAX zertifiziert.
Alle News & Events
auf einen Blick
Hier finden Sie News und aktuelle Themen rund um die Themen Cybersecurity, IT-Sicherheit und vieles mehr.
Häufig gestellte Fragen
Oftmals auch als PenTest bezeichnet, sind Penetration Tests die geplanten und gestatteten Angriffe auf Systeme zur Simulation von böswilligen Angriffen, um Schwachstellen und mögliche Probleme in Zielsystemen zu identifizieren.
Dabei sollen die Tester wie echte Angreifer denken und handeln, um so realitätsnahe Ergebnisse zu erlangen.
Die Angriffe werden dokumentiert und die Ergebnisse bewertet, um eine Risikoeinschätzung und notwendige Handlungen zur Behebung der identifizierten Schwachstellen zur Verfügung stellen zu können.
Zuerst definieren wir gemeinsam den Umfang und die Art der Tests (Scoping) und legen daraufhin ein entsprechendes Angebot.
Nach der Freigabe starten wir die Tests zum vereinbarten Zeitpunkt, versuchen Schwachstellen zu entdecken, gegebenenfalls diese auszunützen (Exploit) und die möglichen Auswirkungen zu bewerten (Systemübernahme, Datendiebstahl, Manipulation, etc.).
Der Kunde erhält abschließend einen detaillierten technischen Report und eine Management Summary. Beides wird in einer gemeinsamen Debriefing-Session besprochen.
Der Zeitaufwand beim Kunden/Auftraggeber ist in der Regel sehr gering.
Während der Tests handeln die Tester autark und würden lediglich darauf hinweisen, wenn bereits identifizierte Schwachstellen auf Gefahr in Verzug hindeuten.
In Summe ist der Aufwand auf Kundenseite sehr überschaubar und beträgt nur wenige Stunden. Das inkludiert natürlich auch das Debriefing.
In unserem Scoping-Interview das ungefähr 30 Minuten dauert, wird der Umfang des Projekts besprochen.
Welche Szenarien sollen abgedeckt werden? Dazu benötigen wir Informationen, ob wir beispielsweise ihre öffentliche Angriffsfläche überprüfen, den Angreifer im internen Netz simulieren oder gezielt Webservices oder digitale Produkte testen sollen.
Zum einen erhält man einen umfassenden und technisch detaillierten Report zu Risiken und Schwachstellen mit entsprechenden Handlungsempfehlungen, zum anderen bekommt man einen Management Bericht, wo die Ergebnisse weniger technisch zusammengefasst und mit einer Risikobewertung versehen werden.
Wir löschen alle Informationen nach einer definierten Zeitspanne von unseren Systemen.
Dr. Andreas Opelt, Vorstand - Saubermacher Dienstleistungs AG
Die laufende Durchführung von Penetrationstests unserer Produkte ist wesentlich, um unseren Kunden und Partnern die höchstmögliche Datensicherheit, Verfügbarkeit und Stabilität der Lösungen zu gewährleisten. Hierbei unterstützt uns BearingPoint nicht nur in der Planung – durch ein maßgeschneidertes Konzept – sondern vielmehr durch eine sehr professionelle Durchführung und Aufbereitung der Testergebnisse. Die so entdeckten Optimierungspotenziale wurden zusätzlich durch umfangreiches technisches Fachwissen untermauert und mögliche Szenarien aufgezeigt. Mit diesen Erkenntnissen können wir unsere Produkte nun noch besser absichern bzw. zukünftig noch sicherer entwickeln.
Joe Pichlmayr, CEO IKARUS Security Software
Security braucht Vieles. Neben Strategie, Prozessen und Maßnahmen, vor allem geschulte Mitarbeiter und hochqualifizierte Spezialisten. Im Team von BearingPoint finden sich die Top-Player der Austria Cyber Security Challenge – die Besten die aus unserer Nachwuchs- und Exzellenz-Schmiede hervorgegangen sind. Dank Ihrer Qualifikation und Erfahrung können sie den allermeisten Angriffen auf Augenhöhe begegnen und Schlimmeres verhindern. Ohne die langjährige und weitsichtige Unterstützung durch Partner wie BearingPoint würde es die Erfolgsgeschichte der Austrian Cyber Security Challenge nicht geben.
Christian Hofbauer, IT Projektleitung - IGV Austria
Dank professioneller Abwicklung seitens BearingPoint werden Penetrationstests künftig ein Fixpunkt in der IT-Jahresplanung, um weiterhin unseren Maklern und Versicherungspartnern ein höchstmögliches Maß an Datensicherheit, Verfügbarkeit und Stabilität zu gewährleisten. Das umfangreiche Fachwissen des BearingPoint Teams half uns alle PENTEST-Szenarien zu 100% abzudecken.
