Pentest

Ein Penetrationstest ist eine Methode zur Überprüfung der Sicherheit eines Systems. Dabei nehmen wir gezielt ein bestimmtes System unter die Lupe, um Schwachstellen und Sicherheitslücken zu identifizieren. Diese Überprüfung wird empirisch durchgeführt, d.h. wir simulieren tatsächliche Angriffe auf das System, um die Widerstandsfähigkeit zu testen.

Unsere Spezialitäten bei einem Penetrationstest liegen in der Untersuchung von Schnittstellen, Web- oder Mobilen-Applikationen. Diese Bereiche stellen wir aufgrund ihrer Bedeutung für die Funktionsfähigkeit eines Systems und ihrer potenziellen Angriffspunkte besonders in den Fokus. Durch einen erfolgreichen Penetrationstest können Sicherheitslücken identifiziert und beseitigt werden, bevor sie von Angreifern ausgenutzt werden können.

Codepurple kontaktieren

Was bedeutet Pentesting?

Bei einem Penetration-Test auch Pentest oder auf Deutsch Schwachstellen-Audit genannt, wird eine Software spezifisch auf Schwachstellen untersucht. Unsere Spezialitäten dabei sind Webapplikationen, mobile Applikationen der Plattformen iOS und Android sowie jegliche Schnittstellen zum Austausch von Daten.

Wie funktioniert ein Penetrationstest?

Zu Beginn des Pentests wird definiert welchen Scope/Umfang der Test haben soll und welche Systeme genau getestet werden. Danach wird versucht von aussen in das System einzudringen oder geschützte Daten zu erhalten. Nach der Durchführung des Pentests erhält der Kunde eine detaillierte Beschreibung der gefundenen Schwachstellen sowie ein Protokoll, welches aufzeigt was und wie alles getestet wurde.

Was kostet es?

Die Kosten eines Pentests hängen immer vom Umfang des zu testenden Systems ab. Vor einer Durchführung werden die Kosten in einer Offerte geschätzt.

Durch die Identifikation von Sicherheitslücken können Unternehmen frühzeitig reagieren und gegebenenfalls erforderliche Massnahmen ergreifen, um potenzielle Angriffe sowie ein Reputationsverlust zu verhindern. Die Kosten für einen Penetrationstest sollten daher als Investition in die Sicherheit des eigenen Systems betrachtet werden, die sich langfristig auszahlt.

Unsere Regeln

Grundsätzlich gilt: Alles ist erlaubt, ausser:

  • Keine Social-Engineering-Angriffe
  • Keine Phishing-Versuche
  • Keine DDoS-Attacken
  • Keine Zerstörung von Daten / Systemen

Whitebox- oder Blackbox-Testing

Bei Whitebox-Tests ist uns der Sourcecode bekannt, bei Blackbox-Testing nicht. Gemeinsam mit unserem Kunden definieren wir, ob für das zu untersuchende System ein Blackbox- oder Whitebox-Test sinnvoller ist.

Whitebox- oder Blackbox-Testing

Bei Whitebox-Tests ist uns der Sourcecode bekannt, bei Blackbox-Testing nicht. Gemeinsam mit unserem Kunden definieren wir, ob für das zu untersuchende System ein Blackbox- oder Whitebox-Test sinnvoller ist.

Pentesting aus der Schweiz

Unser Team von Security-Experten arbeitet aus der Schweiz und verfügt über ein hervorragendes Sprachverständnis in Deutsch und Englisch. Mit jahrelanger Erfahrung im Bereich der Cybersicherheit sowie in der Softwareentwicklung bringen wir eine fundierte Expertise in diesem Bereich mit, die wir erfolgreich in unsere Arbeit einbringen.

Vorteile

  • Kostenstruktur
  • Out of the Box Denken
  • Detaillierte Schritt-für-Schritt Dokumentation
  • Mehr Zeit an einem interessanten Angriffsvektor
  • Sicherheit von eigenem Produkt/Service erhöhen
  • Vertrauen in eigenes Produkt/Service erhöhen

Pentest als Standardelement im Sicherheitsmanagement

Ein Penetrationstest ist ein wesentlicher Bestandteil des Sicherheitsmanagements (Cybersecurity-Management) eines Systems, mit dem Zweck die Integrität und Vertraulichkeit von Daten und Systemen sicherzustellen.

Was ist der Umfang?

In der Regel sind alle von aussen erreichbaren Systeme im Umfang enthalten. Social-Engineering-Angriff oder Phishing-Versuche werden von Codepurple nicht durchgeführt. Wenn es Systeme gibt, welche nicht analysiert werden dürfen, so können diese vom Kunden ausgeschlossen werden. Im Grundsatz gilt, je weniger ausgeschlossen wird, desto aussagekräftiger ist das Ergebnis.

Wiederkehrend oder einmalig?

Ein einmaliger Penetrationstest reicht nicht aus, um das System auf Dauer zu schützen. Regelmässige Tests sind erforderlich, um sicherzustellen, dass die Sicherheitslücken, die sich durch Änderungen am System oder auch durch neue Bedrohungen ergeben, identifiziert werden. Dies unterstützt das Unternehmen dabei, immer auf dem neuesten Stand der Sicherheit zu bleiben.

Wie gross ist das Risiko?

Sowohl Ihr finanzielles Risiko, wie auch das Risiko, dass Ihre IT-Systeme nicht mehr verfügbar sind, ist klein. Dank abgesteckten Umfangs sind die Kosten klar definiert.
Hacker gehen wie Chirurgen vor, dabei geht es nicht darum Schaden anzurichten, sondern Lücken zu finden und die IT-Systeme nicht zu beeinträchtigen.

Sind Hacker böse?

Der Begriff Hacker ist oft negativ konnotiert. Dies zu Unrecht. Den die meisten Hacker haben keine bösen oder kriminellen Absichten. So hat sich der Begriff "Ethische Hacker" oder "Whitehat-Hacker" etabliert für die freundlichen Hacker etabliert.

Codepurple kontaktieren

Nach jedem neuen Release einer Software, sollte man einen Pentest durchführen, um zu prüfen, ob versehentlich Lücken eingebaut wurden.

Quelle: Codepurple