Organisatorisches

Category: Organisatorisches
Sie können im Leistungsschein auswählen wie aggressiv der Pentest ablaufen soll. Wenn Sie sich etwa für eine passive Überprüfung entscheiden, ist die Stabilität Ihres Systems in der Regel nicht beeinträchtigt. Wenn Sie dagegen auch auf Denial of Service Schwachstellen testen wollen, kann eine Beeinträchtigung des Systems durchaus vorkommen.
Category: Organisatorisches

Wenn Sie möchten können Sie uns im Rahmen eines Whitebox Tests auch den Sourcecode einer Anwendung zur Verfügung stellen. Dies ist allerdings kein Muss.

Category: Organisatorisches

Definitiv. Aber auch wenn Sie sich gegen einen Pentest entscheiden sollten Sie regemäßig Backups Ihrer relevanten Daten anfertigen und diese auch auf Ihre Funktionalität testen.

Category: Organisatorisches

Alle Schwachstellen zu finden ist vermutlich nicht möglich bzw. selbst wenn ist dieser Zustand dann nur von kurzer Dauer da die meiste Software regelmäßig geupdatet wird, wodurch zwar ältere Schwachstellen beseitigt werden, aber auch immer die Möglichkeit besteht, dass neue geschaffen werden.

Category: Organisatorisches

Eindeutig ja. Es ist sogar so, dass ein Pentest wenig Sinn macht, wenn noch keinerlei Sicherheitsmechanismen implementiert sind. Falls Sie also noch keine Firewall, kein Intrusion Detection System o.ä. haben, dann macht ein Pentest noch nicht viel Sinn. Wenn Sie allerdings bereits Maßnahmen umgesetzt haben, dann ist ein Pentest sinnvoll um zu testen wie wirksam diese sind und wo vielleicht noch Lücken zu finden sind bzw. welches Verbesserungspotenzial es noch gibt.

Category: Organisatorisches

Wenn Sie bereits wissen, dass eines Ihrer Systeme verwundbar ist (etwa ältere Software in Produktionsumgebungen die nur auf veralteten Betriebssystemen läuft), können Sie diese Systeme in der Scope Definition explizit ausschließen. Das hat den Vorteil, dass wir unsere Zeit und Ressourcen nicht dafür verwenden Ihnen am Ende etwas mitzuteilen, dass Sie bereits wissen.

Category: Organisatorisches

Zum einen weil externe Pentester sich tagtäglich mit IT-Sicherheit beschäftigen. Ein Softwareentwickler hat dagegen im Rahmen seines Studiums gewisse Grundlagen der IT-Sicherheit gelernt, wenn er diese allerdings nicht täglich anwendet und sich über neue Angriffsmethoden auf dem Laufenden hält, ist dieses Wissen bald veraltet. Zum anderen besteht bei internen Tests auch ein gewisses Risiko, dass unerfreuliche Ergebnisse unter den Teppich gekehrt werden, weil niemand dumm dastehen möchte. Wenn ein Systemadministrator etwa die Wirksamkeit der Firewall testet und dabei feststellt, dass diese diverse Sicherheitslücken aufweist, wird er vermutlich nicht unbedingt zu seinem Chef gehen und ihm mitteilen, was er verbockt hat sondern eher die Einstellungen auf eigene Faust ändern. Bei einem externen Test besteht dagegen eine deutlich größere Transparenz, da der Tester alle gefundenen Schwachstellen auch melden kann.

Category: Organisatorisches

Ein Pentest ermöglicht Ihnen eine Sicht auf Ihre Systeme und Sicherheitsmaßnahmen aus der Sicht eines Angreifers. Auf diese Weise lässt sich feststellen wo noch Sicherheitslücken existieren und welche Auswirkungen diese potenziell haben könnten.

Category: Organisatorisches

Falls Sie sich für einen Whitebox Test entschieden haben, benötigen wie mindestens zwei Accounts um die Anwendung zu testen. Zudem können Sie uns gerne auch noch weitere Informationen bereitstellen, je nachdem wie umfangreich wir Ihre Systeme testen sollen.

Category: Organisatorisches

Wenn wir gravierende Schwachstellen finden, informieren wir Sie sofort darüber. Unabhängig von möglicherweise vereinbarten Zwischenterminen. Wenn wir Anzeichen eines echten Angreifers in Ihrem System finden, informieren wir Sie ebenfalls darüber, in diesem Fall ist eventuell eine zusätzliche forensische Analyse notwendig um herauszufinden, was der Angreifer in Ihrem System gemacht hat und ob er möglicherweise immer noch einen Zugang hat. Wenn im Rahmen des Penetrationtest eines ihrer Systeme in seiner Funktionalität beeinträchtigt wird, müssen Sie es gegebenenfalls mittels Ihrer Backups wieder neu aufsetzen.

Category: Organisatorisches

Selbstverständlich verwenden wir etwaige erbeutete Daten (Kundendaten, Mitarbeiterinformationen, Passwörter etc.) nicht um Ihnen zu schaden, sondern lediglich im Rahmen des Reports als Proof of Concept um deutlich zu machen, welche Auswirkung eine Schwachstelle hat. Mit Abschluss des Pentests werden alle Daten gelöscht.

Category: Organisatorisches

Zunächst sollten Sie Backups anlegen und auch testen ob diese funktioniere d.h. ob sich alle relevanten Daten wiederherstellen lassen. Selbstverständlich sollte das sowieso regelmäßig erledigt werden, unabhängig davon ob ein Pentest ansteht. Da bei einem Pentest aber ein gewisses Risiko besteht, dass Daten oder Systeme beschädigt werden, sollte Ihr Backup zum Zeitpunkt des Pentests möglichst aktuell sein. Zudem sollten Sie Ihren Hostinganbieter darüber informieren, dass Sie einen Pentest durchführen lassen.

Category: Organisatorisches

Das hängt ganz von unserer aktuellen Auftragslage ab. Falls Sie regelmäßige Pentests benötigen (beispielsweise jedes Jahr) können Sie diese natürlich auf einen bestimmten Zeitraum festlegen lassen.

Category: Organisatorisches

Auf unserer Webseite finden Sie eine kleine Auswahl unserer Kunden. Beachten Sie allerdings, dass diese Liste nicht vollständig ist, da es viele Kunden vorziehen das Thema IT-Sicherheit diskret zu behandeln.

Category: Organisatorisches

Das hängt ganz von Ihnen ab. Wenn Sie sich für einen Blackbox Test entscheiden, benötigen wir lediglich die URL bzw. IP-Adresse der zu testenden Webseiten bzw. Server. Im Falle eines Whitebox Tests sind die Grenzen nach oben dagegen offen, so können Sie sich beispielsweise auch dafür entscheiden uns den Sourcecode einer Anwendung zur Verfügung zu stellen, das ist aber natürlich kein Muss.