FAQ - Frequently Asked Questions

Ein Penetrationtest oder Pentest ist ein umfassender Sicherheitstest eines Systems (Server, Webanwendung, Netzwerk, Gebäude etc.). Das Besondere daran ist, dass ein Pentest keine theoretische Überprüfung darstellt sondern einem tatsächlichen Angriff ziemlich nahekommt. Allerdings mit dem kleinen aber feinen Unterschied, dass erbeutete Daten oder Zugänge nicht gegen das Unternehmen eingesetzt werden. Ein Penetrationtest ermöglicht auf diese Weise ein akkurates Bild der Effektivität der Sicherheit eines Systems, zeigt auf wo diese noch verbesserungswürdig ist und hilft dadurch dabei, die Systemsicherheit zu verbessern.

Bei einem Whitebox Penetrationtest bekommt der Tester umfangreiche Informationen über das zu testende System, beispielsweise Accounts in verschiedenen Berechtigungsstufen oder Zugriff auf den Sourcecode einer Webanwendung. Der Vorteil dieser Art von Test ist, dass der Tester nicht bei 0 anfangen muss, sondern man beispielsweise gezielt testen kann was möglich wäre wenn sich Angreifer erst einmal einen Zugriff auf das System verschafft hat. Bei einem Blackbox Test erhält der Tester dagegen sehr viel weniger Informationen, in der Regel lediglich die Adressen (IP bzw. URL) der zu testenden Systeme. Der Vorteil dieses Tests ist, dass der Tester genauso vorgeht wie es auch ein Angreifer machen würde, ohne den Vorteil zusätzlichen Wissens. Ein Blackbox Test zeichnet deshalb typischerweise ein akkurateres Bild, ist dafür aber auch aufwendiger und dauert in der Regel länger.

Bei einem Greybox Pentest verschwimmen die Grenzen zwischen Blackbox und Whitebox. So bekommt der Pentester beispielsweise mehr Informationen zur Verfügung gestellt als bei einem Blackbox Test (z.B. einen User Account zum Testen) aber nicht so viele Informationen wie bei einem Whitebox Test (z.B. keine Informationen über verwendete Abwehrmechanismen wie IDS/IPS).

Im Leistungsschein werden die Parameter des Penetrationtest festgelegt. Beispielsweise ob der Penetrationtest eher passiv und vorsichtig durchgeführt werden soll oder mit hoher Aggressivität. Zudem können Sie sich hier für bestimmte Zusatzleistungen (z.B. Social Engineering Angriffe) entscheiden. Außerdem werden im Leistungsschein die zu testenden Systeme festgelegt und festgehalten ob es irgendwelche Einschränkungen gibt (z.B. rechtlicher Art oder Tests nur innerhalb bestimmter Uhrzeiten).

Ein Proof of Concept ist ein Beweis, dass eine Schwachstelle existiert. Jede in unseren Reports dokumentierte Schwachstelle verfügt über einen Proof of Concept. Dabei zeigen wir mittels Screenshots welche Schritte wir unternommen haben und zu welchem Ergebnis wir dabei gekommen sind (z.B. wir haben mit Tool A diese Schwachstelle identifiziert, dann mit Tool B die Schwachstelle ausgenutzt und konnten dann auf die Daten von Kunde X zugreifen). Auf diese Weise können Sie sicher sein, dass eine Schwachstelle tatsächlich ein Problem darstellt und nicht nur in der Theorie existiert. Zudem helfen die einzelnen Schritte Ihren Entwicklern oder IT-Dienstleistern dabei das Problem gegebenenfalls nachzuvollziehen.

OSINT steht für Open Source Intelligence. Dabei untersuchen wir öffentlich verfügbare Informationen aus diversen Quellen auf mögliche Angriffsvektoren. Wer beispielsweise öfters Bilder aus dem Home-Office bei Instagram postet vergisst dabei vielleicht, dass in einigen Fällen Dinge auf dem Bildschirm zu sehen sind (Emailadressen, Post Its mit Passwörter, verwendete Software), die besser nicht sichtbar wären. Im Rahmen von OSINT Maßnahmen untersuchen wir diverse Quellen wie soziale Netzwerke, Karrierenetzwerke, Unternehmensdatenbanken, Zeitungsberichte, Domaininformationen etc. auf mögliche Angriffsvektoren gegenüber Ihrem Unternehmen.

Im Scope wird definiert welche Systeme im Rahmen des Penetrationtest getestet werden. Beispielsweise können Sie sich entschließen bestimmte Systeme vom Penetrationtest auszuschließen. Etwa weil diese bekannte Schwachstellen aufweisen und hier keine Zeit vergeudet werden soll.