Organisatorisches
Wenn Sie möchten können Sie uns im Rahmen eines Whitebox Tests auch den Sourcecode einer Anwendung zur Verfügung stellen. Dies ist allerdings kein Muss.
Definitiv. Aber auch wenn Sie sich gegen einen Pentest entscheiden sollten Sie regemäßig Backups Ihrer relevanten Daten anfertigen und diese auch auf Ihre Funktionalität testen.
Alle Schwachstellen zu finden ist vermutlich nicht möglich bzw. selbst wenn ist dieser Zustand dann nur von kurzer Dauer da die meiste Software regelmäßig geupdatet wird, wodurch zwar ältere Schwachstellen beseitigt werden, aber auch immer die Möglichkeit besteht, dass neue geschaffen werden.
Eindeutig ja. Es ist sogar so, dass ein Pentest wenig Sinn macht, wenn noch keinerlei Sicherheitsmechanismen implementiert sind. Falls Sie also noch keine Firewall, kein Intrusion Detection System o.ä. haben, dann macht ein Pentest noch nicht viel Sinn. Wenn Sie allerdings bereits Maßnahmen umgesetzt haben, dann ist ein Pentest sinnvoll um zu testen wie wirksam diese sind und wo vielleicht noch Lücken zu finden sind bzw. welches Verbesserungspotenzial es noch gibt.
Wenn Sie bereits wissen, dass eines Ihrer Systeme verwundbar ist (etwa ältere Software in Produktionsumgebungen die nur auf veralteten Betriebssystemen läuft), können Sie diese Systeme in der Scope Definition explizit ausschließen. Das hat den Vorteil, dass wir unsere Zeit und Ressourcen nicht dafür verwenden Ihnen am Ende etwas mitzuteilen, dass Sie bereits wissen.
Zum einen weil externe Pentester sich tagtäglich mit IT-Sicherheit beschäftigen. Ein Softwareentwickler hat dagegen im Rahmen seines Studiums gewisse Grundlagen der IT-Sicherheit gelernt, wenn er diese allerdings nicht täglich anwendet und sich über neue Angriffsmethoden auf dem Laufenden hält, ist dieses Wissen bald veraltet. Zum anderen besteht bei internen Tests auch ein gewisses Risiko, dass unerfreuliche Ergebnisse unter den Teppich gekehrt werden, weil niemand dumm dastehen möchte. Wenn ein Systemadministrator etwa die Wirksamkeit der Firewall testet und dabei feststellt, dass diese diverse Sicherheitslücken aufweist, wird er vermutlich nicht unbedingt zu seinem Chef gehen und ihm mitteilen, was er verbockt hat sondern eher die Einstellungen auf eigene Faust ändern. Bei einem externen Test besteht dagegen eine deutlich größere Transparenz, da der Tester alle gefundenen Schwachstellen auch melden kann.
Ein Pentest ermöglicht Ihnen eine Sicht auf Ihre Systeme und Sicherheitsmaßnahmen aus der Sicht eines Angreifers. Auf diese Weise lässt sich feststellen wo noch Sicherheitslücken existieren und welche Auswirkungen diese potenziell haben könnten.
Falls Sie sich für einen Whitebox Test entschieden haben, benötigen wie mindestens zwei Accounts um die Anwendung zu testen. Zudem können Sie uns gerne auch noch weitere Informationen bereitstellen, je nachdem wie umfangreich wir Ihre Systeme testen sollen.
Wenn wir gravierende Schwachstellen finden, informieren wir Sie sofort darüber. Unabhängig von möglicherweise vereinbarten Zwischenterminen. Wenn wir Anzeichen eines echten Angreifers in Ihrem System finden, informieren wir Sie ebenfalls darüber, in diesem Fall ist eventuell eine zusätzliche forensische Analyse notwendig um herauszufinden, was der Angreifer in Ihrem System gemacht hat und ob er möglicherweise immer noch einen Zugang hat. Wenn im Rahmen des Penetrationtest eines ihrer Systeme in seiner Funktionalität beeinträchtigt wird, müssen Sie es gegebenenfalls mittels Ihrer Backups wieder neu aufsetzen.
Selbstverständlich verwenden wir etwaige erbeutete Daten (Kundendaten, Mitarbeiterinformationen, Passwörter etc.) nicht um Ihnen zu schaden, sondern lediglich im Rahmen des Reports als Proof of Concept um deutlich zu machen, welche Auswirkung eine Schwachstelle hat. Mit Abschluss des Pentests werden alle Daten gelöscht.
Zunächst sollten Sie Backups anlegen und auch testen ob diese funktioniere d.h. ob sich alle relevanten Daten wiederherstellen lassen. Selbstverständlich sollte das sowieso regelmäßig erledigt werden, unabhängig davon ob ein Pentest ansteht. Da bei einem Pentest aber ein gewisses Risiko besteht, dass Daten oder Systeme beschädigt werden, sollte Ihr Backup zum Zeitpunkt des Pentests möglichst aktuell sein. Zudem sollten Sie Ihren Hostinganbieter darüber informieren, dass Sie einen Pentest durchführen lassen.
Das hängt ganz von unserer aktuellen Auftragslage ab. Falls Sie regelmäßige Pentests benötigen (beispielsweise jedes Jahr) können Sie diese natürlich auf einen bestimmten Zeitraum festlegen lassen.
Auf unserer Webseite finden Sie eine kleine Auswahl unserer Kunden. Beachten Sie allerdings, dass diese Liste nicht vollständig ist, da es viele Kunden vorziehen das Thema IT-Sicherheit diskret zu behandeln.
Das hängt ganz von Ihnen ab. Wenn Sie sich für einen Blackbox Test entscheiden, benötigen wir lediglich die URL bzw. IP-Adresse der zu testenden Webseiten bzw. Server. Im Falle eines Whitebox Tests sind die Grenzen nach oben dagegen offen, so können Sie sich beispielsweise auch dafür entscheiden uns den Sourcecode einer Anwendung zur Verfügung zu stellen, das ist aber natürlich kein Muss.