Penetrationstests

Inhalt

Sicherheitslücken rechtzeitig erkennen und wertvolle Daten schützen.

Die fortschreitende Digitalisierung ist in jeder Branche und in jeder Unternehmensgröße bemerkbar. Egal, ob in der Chemie- und Pharmaindustrie, Automobilindustrie, in der Finanz- und Versicherungsbranche oder in kleinen und mittelständischen Unternehmen (KMUs), die Veränderungen sind gleich: Prozesse werden digitalisiert und Systeme miteinander verbunden, kritische Geschäftsanwendungen erfolgen immer häufiger web- und/oder mobilbasiert und immer mehr Anwendungen und Daten werden in die Cloud verlagert.

Für Cyberkriminelle ergeben sich dadurch neue Angriffsoptionen. Diese Entwicklung bestätigen auch die Ergebnisse unserer Cybersecurity Trends 2020. Die Trends zeigen, dass intelligente Lieferketten, Fahrzeuge und der Zugriff auf personenbezogene Daten beliebte Ziele für Cyberangriffe sind. Daten haben sich zu einem neuen und äußerst wertvollen Wirtschaftsgut entwickelt, das es zu schützen gilt.

Der digitale Wandel erfordert bei der Unternehmensführung und bei IT-Verantwortlichen neue Denkanstöße im puncto Cybersecurity- und Datenschutzmaßnahmen. Insbesondere, da Cyberattacken eine nicht zu unterschätzende Herausforderung im Unternehmensalltag darstellen.

Fakten zum Penetrationstest | TÜV Rheinland

Identifizieren Sie daher mittels eines Penetrationstests potentielle Schwachstellen in Ihrer IT-Infrastruktur, prüfen Sie die Wirksamkeit von bestehenden Schutzmaßnahmen und erfahren Sie wo Systeme den Sicherheitsanforderungen nicht genügen.

Erhalten Sie eine objektive Einschätzung Ihrer IT-Sicherheit und entdecken Sie Ihre Schwachstellen bevor kriminelle Hacker sie finden.

Sprechen Sie uns an!

Sicherheitslücken erkennen dank Pentests

Allgemeiner Ablauf eines Penetrationstests | TÜV Rheinland

Mithilfe des Penetrationstests, kurz Pentests, überprüfen wir unter anderem Ihre bestehende IT-Infrastruktur (Netzwerke und IT-Systeme) sowie Webapplikationen (z.B. Onlineshops, Kundenportale, Online-Banking ) auf potenzielle Schwachstellen, die Kriminellen eine Angriffsfläche für Cyberattacken bieten könnten. Um Schwachstellen und Sicherheitslücken aufzudecken und Gefährdungspotenziale optimal einzuschätzen, gehen unsere IT-Experten wie folgt vor:

Vorgespräch und Bedarfsanalyse
Aufnahme des Status quo, um Ziel und Umfang des Penetrationstests, gemäß Ihrer Situation und Gefährdungslage zu ermitteln.
Informationssammlung
Erhebung aller für den Angriff relevanten Informationen und Betrachtung des Unternehmens aus der Sicht eines Angreifers.
Identifikation von Schwachstellen
Entdeckung möglicher Schwachstellen durch gezielte automatische und manuelle Tests. Dabei wenden wir ähnliche Methoden an, die auch kriminelle Hacker nutzen.
Ausnutzung von Schwachstellen
Nachweis von Schwachstellen, indem unsere Tester Sicherheitslücken bewusst ausnutzen und versuchen auf geschützte Unternehmensdaten, wie z.B. Kundendaten, zuzugreifen.
Berichterstellung
Zusammenfassung der Penetrationstestergebnisse und aller gefundenen Schwachstellen sowie Handlungsempfehlungen zu deren Behebung.

Im Finanzsektor als auch in der Automobilindustrie sind Penetrationstests bereits Bestandteil regulatorischer Anforderungen. Es ist zu erwarten, dass andere Branchen nachziehen, denn unabhängig vom Industriezweig und der Unternehmensgröße gilt es, sensible Daten zu schützen. Daher empfehlen wir, die Sicherheit Ihrer IT regelmäßig zu überprüfen.

Unverbindlich anfragen

Verschiedene Varianten eines Penetrationstests

Zur Identifizierung der Schwachstellen können verschiedene Methoden angewendet werden. Welche Variante für Ihr Unternehmen die Richtige ist, hängt von Ihrer bestehenden IT-Infrastruktur ab. In einem persönlichen Gespräch ermitteln wir Ihren Bedarf und analysieren die vorhandenen Systeme, um die passende Penetrationstest-Methode für Sie zu finden. Werfen Sie einen Blick auf unser Pentesting-Portfolio.

Externer Penetrationstest

Interner Penetrationstest

Adversary Simulation (Red-Team-Kampagne)

IoT-Penetrationstest

Webapplikation-Testing

Remote-Penetrationstest (Hack Box)

Der externe Penetrationstest symbolisiert den „klassischen“ Cyberangriff von außen. Dabei versucht unser IT-Security-Experte über die aus dem Internet erreichbaren Systeme in das unternehmensinterne Netzwerk einzudringen. Im Fokus der Untersuchung liegen die Firewall und Systeme der Demilitarisierten Zone (DMZ – ein Netzwerk, das als Pufferzone fungiert und von der Firewall überwacht wird, wie z.B. Web- oder Mailserver), um anschließend die Möglichkeiten eines Datenzugriffs- oder Diebstahls aufzudecken. Unsere Experten versuchen auch – sofern erlaubt – von der DMZ in das interne Netzwerk vorzudringen.

Bei einem internen Penetrationstest liegt der Ausgangspunkt innerhalb des Unternehmensnetzwerks, d.h. der Angreifer hat bereits Zugang zum internen Netzwerk erhalten. Dies simuliert den Fall, dass ein Angreifer sich bereits auf dem Gerät eines Mitarbeiters befindet. Somit ist das Ziel des internen Pentests festzustellen, welche Schäden erfolgen können, wenn Unternehmenszugänge kriminell missbraucht werden. Ein Angriff von innen heraus kann oft einen größeren Schaden in kürzerer Zeit anrichten als ein externer Angriff, da einige Schutzsysteme bereits umgangen oder überwunden wurden.

Bei dieser Methode simulieren unsere Experten einen Cyberangriff unter Verwendung von Taktiken, Techniken und Vorgehen echter Angreifer. Den Fokus und die Ziele der Red-Team-Kampagne bestimmen wir mit Ihnen gemeinsam im Vorfeld. Bei Bedarf erarbeiten wir mit Ihnen die für Sie kritischsten Angriffsvektoren – in Bezug auf Ihre Cyber-Resilienz, bevor wir in eine Angriffssimulation übergehen.

Im Vergleich zu einem Penetrationstest ist das Ziel einer Red-Team-Kampagne nicht, möglichst viele Schwachstellen aufzudecken, sondern mit einer gezielten Ausnutzung von relevanten Schwachstellen das festgelegte Kampagnenziele zu erreichen. Die Ergebnisse liefern Ihnen Aufschluss über die Widerstandsfähigkeit Ihres Unternehmens oder Unternehmensbereichs hinsichtlich Cyberangriffen. Darüber hinaus helfen die Ergebnisse Ihren eigenen Experten die internen Überwachungssysteme und Abläufe im Unternehmen zu optimieren, um Angriffe früher zu erkennen. Somit wird das Risiko eines größeren Schadens für Ihr Unternehmen minimiert.

Weiterführende Informationen zur Adversary Simulation finden Sie hier in unserem Informationsflyer.

Bei dem IoT-Penetrationstest überprüfen unsere Experten Ihr IoT-Ecosystem aus der Perspektive eines Hackers und spüren dabei Schwachstellen und Sicherheitslücken auf. Für einen umfassenden Schutz testen wir dabei das gesamte IoT-Ecosystem. Bei Bedarf untersuchen wir auch nur einzelne Komponenten und unterstützen Sie mit folgende Einzelleistungen:

Sicherheitsanalyse der IoT-Geräte
Sicherheitsanalyse der mobilen Applikationen
Sicherheitsanalyse des Backends
Security-Assessment des Backends

Lesen Sie detaillierte Informationen zum IoT-Penetrationstest in unserem dazugehörigen Flyer. Mehr erfahren.

Bei dem Webapplikation-Testing handelt es sich um einen Penetrationstest auf Basis des Open Web Application Security Project (OWASP) Testing Guide. Die Identifizierung von den OWASP Top 10 Schwachstellen sind dabei im Fokus der Untersuchung. Unsere Experten suchen aber auch nach weniger verbreiteten applikationsspezifischen Schwachstellen, um somit das bestmögliche Schutzniveau Ihrer Webapplikation zu erreichen. Im Anschluss fassen wir Ihnen die Analyseergebnisse sowie Handlungsempfehlungen zur Behebung der Schwachstellen in einem Bericht zusammen.

Weitere Informationen finden Sie in unserem Flyer Sicherheit für Ihre Webapplikation.

Die Hack Box ermöglicht unseren Experten, Penetrationstest aus der Ferne durchzuführen. Die Remote-Lösung ist besonders von Vorteil, wenn die Anwesenheit unserer Kollegen aus verschiedenen Gründen herausfordernd ist (beispielsweise bei Home-Office Arbeitsplätzen oder großen geografischen Distanzen). Die Hack-Box ist ein speziell konfigurierter und geschützter Computer, der via Post zugestellt wird. Die Installation der Hack-Box in das interne Netzwerk ist auf Einfachheit ausgelegt und erfordert keine speziellen Vorkenntnisse, was die Zusammenarbeit zwischen uns und den Anwendern einfach macht.

Alle Details zum Ablauf und Umgang mit der Hack-Box erfahren Sie hier.

Vertrauen Sie auf unsere Expertise im Bereich Penetrationtests

Unsere Dienstleistungen im Bereich der Penetratrationstests sind auf viele Bereiche der IT-Infrastruktur anwendbar. Dazu gehören Applikationen, Netzwerke und Infrastrukturen, eingebettete Systeme, Onlineshops, das Intranet, IoT-Geräte und selbstprogrammierte Software. Da wir die IT-Sicherheit in Ihrem Unternehmen ganzheitlich betrachten, bieten wir auch Test an, die sich nicht nur auf die Technik fokussieren, sondern auf organisatorische, prozessuale und menschliche Schwachstellen. Tests mit einem nicht ausschließlich technischen Fokus sind beispielweise Phishing-Angriffe, Red Team Kampagnen oder technische Security Assessments.

Die IT-Sicherheit Ihres Unternehmens liegt uns am Herzen. Daher identifizieren wir mit unseren Cybersecurity Testing Services jegliche Art von Schwachstellen und Sicherheitslücken, bevor andere sie ausnutzen. Somit geben wir Ihnen einen objektiven Überblick über Ihre Defizite und stehen Ihnen auch im Anschluss mit den passenden Empfehlungen zur Behebung zur Seite. Greifen Sie bei Cybersecurityprüfungen auf unsere Fach- und Branchenexpertise zurück, denn unseren Prüfern liegt das Testen im Blut. Wir ersetzen Unsicherheit mit Sicherheit und verhelfen Ihnen damit zielgerichtet Ihre Werte und das Vertrauen Ihrer Kunden zu schützen. TÜV Rheinland – mit Sicherheit getestet.

FAQ - Erfahren Sie mehr zum Thema Penetration Testing

Sie möchten mehr zum Thema Penetrationstest erfahren? Unsere Experten haben für Sie die wichtigsten Fragen beantwortet.

Allgemeine Fragen & Antworten
Penetrationstest für Industrieunternehmen

Alle anzeigen Ausblenden

Welche Testmethoden werden bei einem Penetrationstest angewendet?

Unsere Methoden für einen Penetrationstest werden auf den Reifegrad Ihrer IT-Sicherheit zugeschnitten.

Für Unternehmen mit geringem IT-Sicherheitsreifegrad ist unsere Empfehlung, ein Vulnerability Assessment durchzuführen, in dem die bekannten und automatisch ausnutzbaren Sicherheitslücken in Ihren Systemen größtenteils automatisch aufgedeckt werden.

Weist Ihr Unternehmen einen durchschnittlichen IT-Sicherheitsreifegrad auf, so ist unsere Empfehlung, einen Penetrationstest auf Ihren Systeme vorzunehmen. Bei dem Penetrationstest werden durch manuelle und automatische Tests Schwachstellen und Sicherheitslücken identifiziert und ausgenutzt. Dies ermöglicht unseren IT-Sicherheitsexperten einen tieferen Einblick in die Verwundbarkeit Ihrer Systeme und Netzwerke.

Ist der Reifegrad Ihrer IT-Sicherheit durch hochwertige Sicherheitssysteme und -Prozesse entsprechend hoch, führen unsere IT-Sicherheitsexperten eine Adversary Simulation (Red Team Kampagne) durch, die einen realen gezielten Angriff auf Ihr Unternehmen simuliert. Die Ergebnisse liefern Ihnen Einblicke in die Widerstandsfähigkeit Ihres Unternehmens gegen einen Cyberangriff und geben unter anderem Antworten auf die folgenden Fragen:

Ist mein Unternehmen in der Lage, einen gezielten Angriff zu entdecken?
Ist mein Unternehmen in der Lage, angemessen auf einen Cyberangriff zu reagieren?
Ist ein Angreifer in der Lage, unbemerkt meine wichtigen Assets zu stehlen?

Unabhängig von den genannten Testmethoden empfehlen wir ein Security Assessment durch unsere IT-Sicherheitsexperten vorzunehmen. Bei einem Security Assessment werden über strukturierte Interviews Schwachstellen und Sicherheitslücken identifiziert, die üblicherweise nicht durch die klassischen Methoden eines Penetrationstests aufgedeckt werden können.

Was wird bei einem Penetrationstest getestet?

Ein Penetrationstest kann flexibel angewendet werden. Bestandteil des Tests kann das gesamte Unternehmensnetzwerk (intern wie extern) sein, aber auch nur Teilbereiche wie beispielsweise Ihr Onlineshop. Des Weiteren können auch (I)IoT-Geräte, eingebettete Systeme und/oder Steuergeräte im Automobil im Fokus eines Penetrationstests stehen.

Wir helfen Ihnen, den richtigen Ansatz für Ihren Zweck zu wählen. Sprechen Sie uns für eine individuelle Bedarfsanalyse an.

Werden Web-Applikationen nach OWASP getestet?

Bei einem Penetrationstest für eine Web-Applikation, z. B. Ihrem Onlineshop, gehen wir nach dem OWASP (Open Web Application Security Project) Testing Guide vor und decken damit auch die OWASP Top 10 ab. Die OWASP Top 10 gibt Auskunft über die am häufigsten identifizierten Schwachstellen in Web-Applikationen.

Werden CVSSv3-Scores verwendet?

Für die Bewertung von Schwachstellen verwenden wir das Common Vulnerability Scoring System (CVSS), das aus den wesentlichen Eigenschaften einer Sicherheitslücke ein Kritikalitätsmaß ableitet. Natürlich geben wir neben dem CVSSv3-Score auch den sogenannten CVSS-Vektor an.

Benötige ich als kleines/mittelständisches oder großes Unternehmen einen Schutz vor Cyberattacken und Netzwerkangriffen?

Ja, jedes Unternehmen bietet ein lohnendes Ziel für Angreifer. Insbesondere bei kleineren und mittelständischen Betrieben gehen Hacker von weniger großen Sicherheits- und Schutzmaßnahmen aus und greifen diese deshalb bevorzugt an.

Reicht ein einmaliger Penetrationstest aus?

Ein Penetrationstest ist immer eine Momentaufnahme. Sowohl die Angriffe als auch die getestete Infrastruktur oder Anwendung entwickeln sich weiter, sodass die Ergebnisse eines Tests mit der Zeit an Aussagekraft verlieren. Daher sollten solche Tests regelmäßig durchgeführt werden. Es müssen dabei nicht immer alle Aspekte gleichermaßen getestet werden, sondern man kann sich bei einer regelmäßigen Überprüfung auf die Änderungen fokussieren. Nach spätestens zwei Jahren sollte aber in der Regel ein kompletter Retest durchgeführt werden.

Welche Vorteile bietet der Penetrationstest für mein Unternehmen?

Immer mehr Geschäftsprozesse werden in Unternehmen digitalisiert und Systeme mit einander verbunden. Durch diese Digitalisierung ergeben sich für Hacker Chancen, in Ihre Systeme einzudringen. Ein Penetrationstest hilft Ihnen, potenzielle Einstiegspunkte für Hacker zu identifizieren und im zweiten Schritt die aufgedeckten Sicherheitslücken mit entsprechenden Maßnahmen zu schließen. Mithilfe des Penetrationstests entdecken Sie Sicherheitslücken in Ihrer IT-Infrastruktur, bevor Hacker sie finden und ausnutzen. Sie schützen somit nicht nur Ihre Unternehmenswerte, sondern auch Ihre Reputation und das Kundenvertrauen in Ihre Marke.

Für welche Anwendungen können Penetrationstests durchgeführt werden?

Penetrationstests können in nahezu allen digitalen Systemen durchgeführt werden. Unsere Expert*innen führen eine Vielzahl von Penetrationstests durch, z. B. in B2B-Portalen, Cloud-Anwendungen, aber auch eingebetteten Systemen wie zum Beispiel Steuergeräte. Die Vorgehensweise und der Geltungsbereich hängen stark von dem Unternehmen und dessen Reifegrad bzgl. Cybersecurity ab. Ein interner und externer Penetrationstest ist häufig ein guter Einstieg, um einen Einblick in die Verwundbarkeiten der eigenen IT-Systeme zu erhalten.

Müssen bestimmte Vorbereitungen getroffen oder Voraussetzungen im Vorfeld erfüllt sein, um Penetrationstests durchführen zu können?

Für die Durchführung eines Penetrationstests sind keine aufwendigen Planungsvorbereitungen zu treffen. Lediglich eine personelle Ressourcenplanung ist erforderlich, sodass wir mit Ihnen Ihre individuellen Bedürfnisse im Vorfeld besprechen können. Auch während des Penetrationstests sollte uns ein Ansprechpartner für Rückfragen zur Verfügung stehen.

Grundvoraussetzung für die Durchführung ist der Zugriff unserer Expert*innen auf das Unternehmensnetzwerk und auf die zu testenden Systeme. Ob darüber hinaus weitere Informationen und Zugänge bereitgestellt werden müssen, hängt von der Art des Penetrationstests ab.

Bei der Anwendung eines Blackbox-Tests erhalten unsere Expert*innen ausschließlich einen netzwerkseitigen Zugriff auf die zu testenden Systeme. Bei einem Whitebox-Test hingegen handelt es sich um einen Penetrationstest, bei dem unsere Expert*innen einen kompletten Zugriff auf das System benötigen, da für den Test zusätzlich detailliertes Wissen über das System und die Komponenten sowie deren Zusammenspiel erforderlich ist. Ein guter Kompromiss zwischen dem Blackbox- und Whitebox-Test bietet der Graybox-Test. Beim Graybox-Test werden typischerweise (nicht-administrative) Zugänge für das System bereitgestellt.

Wie ist der Test mit dem Datenschutz in Einklang zu bringen?

Auch wir legen großen Wert auf Datenschutz und gehen daher verantwortungsvoll mit Ihren Daten um. Sobald Systeme und/oder Datenbanken mit personenbezogen Daten Bestandteil eines Penetrationstests sind, ist es empfehlenswert, die vertrauliche Handhabung der Daten vertraglich festzuhalten.

Während der Durchführung von Penetrationstests kann es vorkommen, dass wir mit personenbezogen Daten in Kontakt kommen. Das ist beispielweise der Fall, wenn wir durch eine Sicherheitslücke einen vollständigen Zugriff auf eine Datenbank erhalten, in der personenbezogene Daten gespeichert sind. Aus diesem Grund ist das Thema Datenschutz in unseren Penetrationstest-Verträgen ein fester Bestandteil.

Findet der Penetrationstest zuverlässig alle Sicherheitslücken?

Ein Penetrationstest kann prinzipbedingt nicht alle Sicherheitslücken in Systemen aufdecken. Wie auch bei anderen Tests gilt: Je höher die Prüftiefe und je höher der Abdeckungsgrad, desto höher ist die Wahrscheinlichkeit, dass Sicherheitslücken entdeckt werden. Für eine umfassende IT-Sicherheit ist es wichtig, nicht nur Einzelmaßnahmen anzuwenden, sondern ein ganzheitliches Cybersecurity-Konzept zu entwickeln und zu implementieren. Der Penetrationstest ist ein wichtiger Bestandteil, um die gewünschte IT-Sicherheit zu erreichen.

Was passiert, wenn eine Sicherheitslücke gefunden wurde?

Sollte unser Penetrationstest kritische Sicherheitslücken in Ihrer IT-Infrastruktur finden, treten wir schon während des Tests mit Ihnen in Kontakt. Wird geben Ihnen eine erste technische Einschätzung zur gefundenen Sicherheitslücke sowie Empfehlungen zu möglichen Maßnahmen, um diese zu beheben. Inwieweit diese umgesetzt werden, obliegt Ihrer Verantwortung.

Weniger kritische Maßnahmen werden in einem Testbericht zusammengefasst. Nach Abschluss des Penetrationstests lassen wir Ihnen den Bericht inklusive Handlungsempfehlungen zur Behebung der identifizierten Schwachstellen und Sicherheitslücken zukommen.

Welche Folgekosten können daraus entstehen?

Sind Sicherheitslücken durch unseren Penetrationstest identifiziert worden, ist es empfehlenswert, diese zu beheben. Die Kosten für die Behebung sind nicht pauschal kalkulierbar, da diese von dem Grad der Sicherheitslücke und den damit verbundenen Maßnahmen abhängen. Der Aufwand kann mit kleineren Änderungen, wie beispielweise in der Programmierung einen Wert von 0 auf 1 zu setzen, relativ klein sein. Es können aber Änderungen von Prozessabläufen notwendig sein, um den IT-Schutz zu wahren. Diese sind teurer und langwieriger. Die konkrete Entscheidung und deren Umsetzung sind nicht Teil eines Penetrationstests und liegen in Ihrem Ermessen. Unsere Expert*innen stehen Ihnen dabei beratend zur Seite.

Welche Folgen sind durch unbemerkte Sicherheitslücken zu befürchten?

Die Folgen von unbemerkten Sicherheitslücken können beträchtlich sein. Je nach Art und Ziel des Angriffs können die Folgen stark variieren. Dies reicht von dem Ausfall eines einzelnen Systems bis hin zu einem Komplettausfall der Produktion, der mehrere Tage anhält. Eine Suche nach dem Begriff „WannaCry“ und „Produktionsausfall“ zeigen bereits einige Beispiele auf. Am Ende ist die Antwort sehr individuell. Ein Unternehmen sollte sich immer fragen, was eine unerlaubte Veröffentlichung und Modifizierung von Daten bzw. der Ausfall von Daten und Systemen für das Unternehmen bedeutet. Am Ende können unerkannte Sicherheitslücken genau zu diesem Worst-Case-Szenario führen.

Wird nach Abschluss ein Zertifikat oder Prüfzeichen vergeben, das auch für Kommunikations- und Marketingmaßnahmen genutzt werden kann?

Ein Penetrationstest hat das Ziel, Sicherheitslücken in Systemen aufzudecken und er ist kein Mittel, um einen Sicherheitsnachweis zu dokumentieren. Die Schlussfolgerung, dass ein Bericht ohne Sicherheitslücken und Schwachstellen bedeutet, dass das System sicher ist, wäre somit nicht korrekt.

Warum sollte ein Penetrationstest durchgeführt werden, obwohl sich unsere IT-Abteilung um die IT-Sicherheit kümmert?

Ein Penetrationstest ist eine spezielle Art des Testens, die bestimmte Fähigkeiten und Erfahrungen benötigt. Dafür ist tiefes technisches Expertenwissen erforderlich, das auf eine intensive Ausbildung zurückzuführen ist. Unsere Mitarbeiter*innen verfügen über eine geeignete Ausbildung gepaart mit der entsprechenden Erfahrung und sie fokussieren sich ausschließlich auf das Thema Penetration-Testing.

Unsere Erfahrung zeigt, dass Mischkonzepte, bei denen Mitarbeiter*innen Penetrationstests als „Nebentätigkeit“ übernehmen, zu keinen belastbaren Ergebnissen führen. Daher empfehlen wir Penetrationstests durch Expert*innen durchführen zu lassen. Dieser Aspekt sollte auch bei der Dienstleisterauswahl bedacht werden, indem Sie darauf achten, dass die Tests durch Personen durchgeführt werden, die sich rein auf das Penetration-Testing fokussieren. Wir bei TÜV Rheinland können diese Expertise gewährleisten.

Es gibt auch Unternehmen, die ihr eigenes Team von Penetrationstester beschäftigen, das die oben genannten Kriterien erfüllt. Auch in diesen Fällen unterstützen wir Sie. Ihr Vorteil dabei ist, dass wir einen unabhängigen und neutralen Blick auf das Unternehmen und die Systeme haben, weswegen wir andere Sicherheitslücken gezielter identifizieren können, als ein Penetrationstester, der das Unternehmen und die Systeme bereits kennt.

Schmälert ein positives Testergebnis der Penetration nicht die Arbeit unserer IT-Abteilung?

Gründe für Sicherheitslücken sind vielfältig. Daher kann aus einzelnen Ergebnissen nicht auf die Arbeitsqualität der IT-Abteilung oder deren Dienstleister geschlossen werden. Auch Unternehmen, die einen hervorragenden Ruf in der IT-Branche und Cybersecurity haben, finden Sicherheitslücken in ihren Systemen und das regelmäßig. Das Auffinden und Schließen von Sicherheitslücken gehört zum Alltag in der IT, weswegen die Arbeit der eigenen IT-Abteilung durch einen Befund im Ergebnisbericht nicht geschmälert wird. Die Fähigkeiten und die Qualität der eigenen IT-Abteilung zeigen sich vielmehr darin, wie mit den Ergebnissen eines Penetrationstests umgegangen wird.

Gesprächstermin vereinbaren.