Pentest
Ein Penetrationstest ist eine Methode zur Überprüfung der Sicherheit eines Systems. Dabei nehmen wir gezielt ein bestimmtes System unter die Lupe, um Schwachstellen und Sicherheitslücken zu identifizieren. Diese Überprüfung wird empirisch durchgeführt, d.h. wir simulieren tatsächliche Angriffe auf das System, um die Widerstandsfähigkeit zu testen. Bei dieser Angriffssimulation gehen wir genau gleich vor, wie dies bösartige Angreifer tun.
Unsere Spezialitäten bei einem Penetrationstest liegen in der Untersuchung von Schnittstellen, Web- oder Mobilen-Applikationen und Softwaresystemen. Diese Bereiche stellen wir aufgrund ihrer Bedeutung für die Funktionsfähigkeit eines Systems und ihrer potenziellen Angriffspunkte besonders in den Fokus. Durch einen Penetrationstest können Sicherheitslücken identifiziert und beseitigt werden, bevor sie von Angreifern ausgenutzt werden können. So sinkt das Risiko für einen erfolgreichen Angriff auf die eigene Firma.
Was bedeutet Pentesting?
Bei einem Penetration-Test auch Pentest oder auf Deutsch Schwachstellen-Audit genannt, wird eine Software spezifisch auf Schwachstellen untersucht. Unsere Spezialitäten dabei sind Webapplikationen, mobile Applikationen der Plattformen iOS und Android sowie jegliche Schnittstellen und Software-Systeme zum Austausch von Daten.
Wie funktioniert ein Penetrationstest?
Zu Beginn des Pentests wird definiert welchen Scope/Umfang der Test haben soll und welche Systeme genau getestet werden. Danach wird versucht von aussen in das System einzudringen oder geschützte Daten zu erhalten. Nach der Durchführung des Pentests erhält der Kunde eine detaillierte Beschreibung der gefundenen Schwachstellen sowie ein Protokoll, welches aufzeigt was und wie alles getestet wurde.
Was kostet ein Penetrationtest?
Die Kosten eines Pentests hängen immer vom Umfang des zu testenden Systems ab. Vor einer Durchführung werden die Kosten in einer Offerte geschätzt.
Durch die Identifikation von Sicherheitslücken können Unternehmen frühzeitig reagieren und gegebenenfalls erforderliche Massnahmen ergreifen, um potenzielle Angriffe sowie ein Reputationsverlust zu verhindern. Die Kosten für einen Penetrationstest sollten daher als Investition in die Sicherheit des eigenen Systems betrachtet werden, die sich langfristig auszahlt.
Wiederkehrend oder einmalig?
Ein einmaliger Penetrationstest reicht nicht aus, um das System auf Dauer zu schützen. Regelmässige Tests sind erforderlich, um sicherzustellen, dass die Sicherheitslücken, die sich durch Änderungen am System oder auch durch neue Bedrohungen ergeben, identifiziert werden. Dies unterstützt das Unternehmen dabei, immer auf dem neuesten Stand der Sicherheit zu bleiben. Regelmässige Pentests sind wichtiger Bestandteil des Risikomanagements, um Cyber-Risiken zu reduzieren.
Unsere Regeln
Grundsätzlich gilt: Alles ist erlaubt, ausser:
- Keine Social-Engineering-Angriffe
- Keine Phishing-Versuche
- Keine DDoS-Attacken
- Keine Zerstörung von Daten / Systemen
Pentesting aus der Schweiz
Unser Team von Security-Experten arbeitet aus der Schweiz und verfügt über ein hervorragendes Sprachverständnis in Deutsch und Englisch. Mit jahrelanger Erfahrung im Bereich der Cybersicherheit sowie in der Softwareentwicklung bringen wir eine fundierte Expertise in diesem Bereich mit, die wir erfolgreich in unsere Arbeit einbringen.
Vorteile
- Kostenstruktur
- Out of the Box Denken
- Risikoreduzierung von Cybersecurity-Risiken
- Detaillierte Schritt-für-Schritt Dokumentation
- Mehr Zeit an einem interessanten Angriffsvektor
- Sicherheit von eigenem Produkt/Service erhöhen
- Vertrauen in eigenes Produkt/Service erhöhen
Angriffssimulation
Einer Angriffssimulation ist ein strukturiertes Vorgehen, bei welcher alle Komponenten eines Systems untersucht werden. Zuerst betrachten wir die einzelnen Komponenten und danach die kompletten Prozesse. Daraus leiten wir verschiedene Angriffsszenarien ab, welche wir durchführen und die Resultate analysieren.
Pentest als Standardelement im Sicherheitsmanagement
Ein Penetrationstest ist eine wesentliche Massnahme im Information-Security-Management-System (ISMS), mit dem Zweck die Integrität und Vertraulichkeit von Daten und Systemen sicherzustellen.
Was ist der Umfang?
In der Regel sind alle von aussen erreichbaren Systeme im Umfang enthalten. Social-Engineering-Angriff oder Phishing-Versuche werden von Codepurple nicht durchgeführt. Wenn es Systeme gibt, welche nicht analysiert werden dürfen, so können diese vom Kunden ausgeschlossen werden. Im Grundsatz gilt, je weniger ausgeschlossen wird, desto aussagekräftiger ist das Ergebnis.
Wie gross ist das Risiko?
Sowohl Ihr finanzielles Risiko wie auch das Risiko, dass Ihre IT-Systeme nicht mehr verfügbar sind, ist klein. Dank abgesteckten Umfangs sind die Kosten klar definiert.
Hacker gehen wie Chirurgen vor, dabei geht es nicht darum Schaden anzurichten, sondern Lücken zu finden und die IT-Systeme nicht zu beeinträchtigen.
Whitebox- oder Blackbox-Testing
Bei Whitebox-Tests ist uns der Sourcecode bekannt, bei Blackbox-Testing nicht. Gemeinsam mit unserem Kunden definieren wir, ob für das zu untersuchende System ein Blackbox- oder Whitebox-Test sinnvoller ist.
Sind Hacker böse?
Der Begriff Hacker ist oft negativ konnotiert. Dies zu Unrecht. Den die meisten Hacker haben keine bösen oder kriminellen Absichten. So hat sich der Begriff "Ethische Hacker" oder "Whitehat-Hacker" etabliert für die freundlichen Hacker etabliert.
Spannende Blog-Beiträge zum Thema Cybersecurity
Nach jedem neuen Release einer Software, sollte man einen Pentest durchführen, um zu prüfen, ob versehentlich Lücken eingebaut wurden.
Quelle: Codepurple
Guten Tag
X
Haben Sie Fragen? Möchten Sie uns kennenlernen?
Kontaktieren Sie uns unverbindlich:
