current language
Österreich verfügbar in folgenden Sprachen:
oder wählen Sie Ihr TÜV Rheinland Land / Ihre Region aus:

Penetrationstests

Penetrationstest | TÜV Rheinland

Sicherheitslücken rechtzeitig erkennen und wertvolle Daten schützen.

Die fortschreitende Digitalisierung ist in jeder Branche und in jeder Unternehmensgröße bemerkbar. Egal, ob in der Chemie- und Pharmaindustrie, Automobilindustrie, in der Finanz- und Versicherungsbranche oder in kleinen und mittelständischen Unternehmen (KMUs), die Veränderungen sind gleich: Prozesse werden digitalisiert und Systeme miteinander verbunden, kritische Geschäftsanwendungen erfolgen immer häufiger web- und/oder mobilbasiert und immer mehr Anwendungen und Daten werden in die Cloud verlagert.

Für Cyberkriminelle ergeben sich dadurch neue Angriffsoptionen. Diese Entwicklung bestätigen auch die Ergebnisse unserer Cybersecurity Trends 2020. Die Trends zeigen, dass intelligente Lieferketten, Fahrzeuge und der Zugriff auf personenbezogene Daten beliebte Ziele für Cyberangriffe sind. Daten haben sich zu einem neuen und äußerst wertvollen Wirtschaftsgut entwickelt, das es zu schützen gilt.

Der digitale Wandel erfordert bei der Unternehmensführung und bei IT-Verantwortlichen neue Denkanstöße im puncto Cybersecurity- und Datenschutzmaßnahmen. Insbesondere, da Cyberattacken eine nicht zu unterschätzende Herausforderung im Unternehmensalltag darstellen.

Fakten zum Penetrationstest | TÜV Rheinland

Identifizieren Sie daher mittels eines Penetrationstests potentielle Schwachstellen in Ihrer IT-Infrastruktur, prüfen Sie die Wirksamkeit von bestehenden Schutzmaßnahmen und erfahren Sie wo Systeme den Sicherheitsanforderungen nicht genügen.

Erhalten Sie eine objektive Einschätzung Ihrer IT-Sicherheit und entdecken Sie Ihre Schwachstellen bevor kriminelle Hacker sie finden.

Sicherheitslücken erkennen dank Pentests

Allgemeiner Ablauf eines Penetrationstests | TÜV Rheinland

Mithilfe des Penetrationstests, kurz Pentests, überprüfen wir unter anderem Ihre bestehende IT-Infrastruktur (Netzwerke und IT-Systeme) sowie Webapplikationen (z.B. Onlineshops, Kundenportale, Online-Banking ) auf potenzielle Schwachstellen, die Kriminellen eine Angriffsfläche für Cyberattacken bieten könnten. Um Schwachstellen und Sicherheitslücken aufzudecken und Gefährdungspotenziale optimal einzuschätzen, gehen unsere IT-Experten wie folgt vor:

  1. Vorgespräch und Bedarfsanalyse
    Aufnahme des Status quo, um Ziel und Umfang des Penetrationstests, gemäß Ihrer Situation und Gefährdungslage zu ermitteln.
  2. Informationssammlung
    Erhebung aller für den Angriff relevanten Informationen und Betrachtung des Unternehmens aus der Sicht eines Angreifers.
  3. Identifikation von Schwachstellen
    Entdeckung möglicher Schwachstellen durch gezielte automatische und manuelle Tests. Dabei wenden wir ähnliche Methoden an, die auch kriminelle Hacker nutzen.
  4. Ausnutzung von Schwachstellen
    Nachweis von Schwachstellen, indem unsere Tester Sicherheitslücken bewusst ausnutzen und versuchen auf geschützte Unternehmensdaten, wie z.B. Kundendaten, zuzugreifen.
  5. Berichterstellung
    Zusammenfassung der Penetrationstestergebnisse und aller gefundenen Schwachstellen sowie Handlungsempfehlungen zu deren Behebung.

Im Finanzsektor als auch in der Automobilindustrie sind Penetrationstests bereits Bestandteil regulatorischer Anforderungen. Es ist zu erwarten, dass andere Branchen nachziehen, denn unabhängig vom Industriezweig und der Unternehmensgröße gilt es, sensible Daten zu schützen. Daher empfehlen wir, die Sicherheit Ihrer IT regelmäßig zu überprüfen.

Interne und externe Penetrationstests

Bei einem Penetrationstest gibt es zwei verschiedene Herangehensweisen bzw. Ausgangspunkte. Je nach Ausgangspunkt des Penetrationstesters, unserem IT-Experten, erfolgt ein interner oder externer Penetrationstest.

Externer Penetrationstest
Interner Penetrationstest

Der externe Penetrationstest symbolisiert den „klassischen“ Cyberangriff von außen. Dabei versucht unser IT-Security-Experte über die aus dem Internet erreichbaren Systeme in das unternehmensinterne Netzwerk einzudringen. Im Fokus der Untersuchung liegen die Firewall und Systeme der Demilitarisierten Zone (DMZ – ein Netzwerk, das als Pufferzone fungiert und von der Firewall überwacht wird, wie z.B. Web- oder Mailserver), um anschließend die Möglichkeiten eines Datenzugriffs- oder Diebstahls aufzudecken. Unsere Experten versuchen auch – sofern erlaubt – von der DMZ in das interne Netzwerk vorzudringen.

Bei einem internen Penetrationstest liegt der Ausgangspunkt innerhalb des Unternehmensnetzwerks, d.h. der Angreifer hat bereits Zugang zum internen Netzwerk erhalten. Dies simuliert den Fall, dass ein Angreifer sich bereits auf dem Gerät eines Mitarbeiters befindet. Somit ist das Ziel des internen Pentests festzustellen, welche Schäden erfolgen können, wenn Unternehmenszugänge kriminell missbraucht werden. Ein Angriff von innen heraus kann oft einen größeren Schaden in kürzerer Zeit anrichten als ein externer Angriff, da einige Schutzsysteme bereits umgangen oder überwunden wurden.

Vertrauen Sie auf unsere Expertise im Bereich Penetrationtests

Unsere Dienstleistungen im Bereich der Penetratrationstests sind auf viele Bereiche der IT-Infrastruktur anwendbar. Dazu gehören Applikationen, Netzwerke und Infrastrukturen, eingebettete Systeme, Onlineshops, das Intranet, IoT-Geräte und selbstprogrammierte Software. Da wir die IT-Sicherheit in Ihrem Unternehmen ganzheitlich betrachten, bieten wir auch Test an, die sich nicht nur auf die Technik fokussieren, sondern auf organisatorische, prozessuale und menschliche Schwachstellen. Tests mit einem nicht ausschließlich technischen Fokus sind beispielweise Phishing-Angriffe, Red Team Kampagnen oder technische Security Assessments.

Die IT-Sicherheit Ihres Unternehmens liegt uns am Herzen. Daher identifizieren wir mit unseren Cybersecurity Testing Services jegliche Art von Schwachstellen und Sicherheitslücken, bevor andere sie ausnutzen. Somit geben wir Ihnen einen objektiven Überblick über Ihre Defizite und stehen Ihnen auch im Anschluss mit den passenden Empfehlungen zur Behebung zur Seite. Greifen Sie bei Cybersecurityprüfungen auf unsere Fach- und Branchenexpertise zurück, denn unseren Prüfern liegt das Testen im Blut. Wir ersetzen Unsicherheit mit Sicherheit und verhelfen Ihnen damit zielgerichtet Ihre Werte und das Vertrauen Ihrer Kunden zu schützen. TÜV Rheinland – mit Sicherheit getestet.

FAQ - Erfahren Sie mehr zum Thema Penetration Testing

Sie möchten mehr zum Thema Penetrationstest erfahren? Unsere Experten haben für Sie die wichtigsten Fragen beantwortet.

Alle anzeigen Ausblenden

Welche Testmethoden werden bei einem Penetrationstest angewendet?

Unsere Methoden für einen Penetrationstest werden auf den Reifegrad Ihrer IT-Sicherheit zugeschnitten.

Für Unternehmen mit geringem IT-Sicherheitsreifegrad ist unsere Empfehlung, ein Vulnerability Assessment durchzuführen, in dem die bekannten und automatisch ausnutzbaren Sicherheitslücken in Ihren Systemen größtenteils automatisch aufgedeckt werden.

Weist Ihr Unternehmen einen durchschnittlichen IT-Sicherheitsreifegrad auf, so ist unsere Empfehlung, einen Penetrationstest auf Ihren Systeme vorzunehmen. Bei dem Penetrationstest werden durch manuelle und automatische Tests Schwachstellen und Sicherheitslücken identifiziert und ausgenutzt. Dies ermöglicht unseren IT-Sicherheitsexperten einen tieferen Einblick in die Verwundbarkeit Ihrer Systeme und Netzwerke.

Ist der Reifegrad Ihrer IT-Sicherheit durch hochwertige Sicherheitssysteme und -Prozesse entsprechend hoch, führen unsere IT-Sicherheitsexperten eine Adversary Simulation (Red Team Kampagne) durch, die einen realen gezielten Angriff auf Ihr Unternehmen simuliert. Die Ergebnisse liefern Ihnen Einblicke in die Widerstandsfähigkeit Ihres Unternehmens gegen einen Cyberangriff und geben unter anderem Antworten auf die folgenden Fragen:

  • Ist mein Unternehmen in der Lage, einen gezielten Angriff zu entdecken?
  • Ist mein Unternehmen in der Lage, angemessen auf einen Cyberangriff zu reagieren?
  • Ist ein Angreifer in der Lage, unbemerkt meine wichtigen Assets zu stehlen?

Unabhängig von den genannten Testmethoden empfehlen wir ein Security Assessment durch unsere IT-Sicherheitsexperten vorzunehmen. Bei einem Security Assessment werden über strukturierte Interviews Schwachstellen und Sicherheitslücken identifiziert, die üblicherweise nicht durch die klassischen Methoden eines Penetrationstests aufgedeckt werden können.

Was wird bei einem Penetrationstest getestet?

Ein Penetrationstest kann flexibel angewendet werden. Bestandteil des Tests kann das gesamte Unternehmensnetzwerk (intern wie extern) sein, aber auch nur Teilbereiche wie beispielsweise Ihr Onlineshop. Des Weiteren können auch (I)IoT-Geräte, eingebettete Systeme und/oder Steuergeräte im Automobil im Fokus eines Penetrationstests stehen.

Wir helfen Ihnen, den richtigen Ansatz für Ihren Zweck zu wählen. Sprechen Sie uns für eine individuelle Bedarfsanalyse an.

Werden Web-Applikationen nach OWASP getestet?

Bei einem Penetrationstest für eine Web-Applikation, z. B. Ihrem Onlineshop, gehen wir nach dem OWASP (Open Web Application Security Project) Testing Guide vor und decken damit auch die OWASP Top 10 ab. Die OWASP Top 10 gibt Auskunft über die am häufigsten identifizierten Schwachstellen in Web-Applikationen.

Werden CVSSv3-Scores verwendet?

Für die Bewertung von Schwachstellen verwenden wir das Common Vulnerability Scoring System (CVSS), das aus den wesentlichen Eigenschaften einer Sicherheitslücke ein Kritikalitätsmaß ableitet. Natürlich geben wir neben dem CVSSv3-Score auch den sogenannten CVSS-Vektor an.

Benötige ich als kleines/mittelständisches oder großes Unternehmen einen Schutz vor Cyberattacken und Netzwerkangriffen?

Ja, jedes Unternehmen bietet ein lohnendes Ziel für Angreifer. Insbesondere bei kleineren und mittelständischen Betrieben gehen Hacker von weniger großen Sicherheits- und Schutzmaßnahmen aus und greifen diese deshalb bevorzugt an.

Reicht ein einmaliger Penetrationstest aus?

Ein Penetrationstest ist immer eine Momentaufnahme. Sowohl die Angriffe als auch die getestete Infrastruktur oder Anwendung entwickeln sich weiter, sodass die Ergebnisse eines Tests mit der Zeit an Aussagekraft verlieren. Daher sollten solche Tests regelmäßig durchgeführt werden. Es müssen dabei nicht immer alle Aspekte gleichermaßen getestet werden, sondern man kann sich bei einer regelmäßigen Überprüfung auf die Änderungen fokussieren. Nach spätestens zwei Jahren sollte aber in der Regel ein kompletter Retest durchgeführt werden.

Blogbeiträge zu dem Thema

IT-Sicherheitslücken: Schwachstellen beim WLAN-Router

IT-Sicherheitslücken: Transparenz muss sein

Kontakt

Fordern Sie ein Angebot an!

Fordern Sie ein Angebot an!

Nehmen Sie Kontakt zu uns auf!

Das könnte Sie auch interessieren

Advanced Persistent Threat

Advanced Persistent Threat

Effektives Threat Management als Schutz vor Cyberkriminalität.

mehr

Business Continuity Management System (BCMS)

Business Continuity Management Systeme | TÜV Rheinland

Mit effektivem BCM, IT-Notfallmanagement und Krisenmanagement die Produktivität sichern.

mehr

Information Security Management System (ISMS)

Information Security Management System (ISMS)

Verbesserte und systematische Steuerung der Informationssicherheit in Ihrem Unternehmen.

mehr

Managed Security Services für Ihre IT-Sicherheit

Managed Security Services für Ihre IT-Sicherheit

Ihre IT-Sicherheit ist mit Managed Security Services bei uns in den richtigen Händen.

mehr

Zuletzt besuchte Dienstleistungsseiten