Penetration Tests

Ist ersteinmal ein Projekt erfolgreich abgeschlossen und alle Anforderungen erfüllt, kann zunächst durchgeatmet werden. Hat ein neuer Dienst hat seinen Platz eingenommen oder ist ein Webprojekt online gegangen?

Alle Neuerungen, aber auch die bestehende Infrastruktur soll Ihnen und Ihren Mitarbeitern und Kunden dienen. Doch die Fertigstellung eines Vorhabens hört nicht zu einem Zeitpunkt auf, zu dem der Dienst benutzbar ist. Unabhängig davon, ob Sie Ihren Mitarbeiter einen neuen Serverdienst zur Verfügung stellen, Ihre Netzwerkinfrastruktur um- und aufgerüstet haben oder ein Webprojekt Ihrem Zielpublikum präsentieren, alle Komponenten der heutigen IT sind angreifbar und es bedarf Wegen und Mitteln, um die Sicherheit der Systeme zu diagnostizieren.

Dabei benutzt man Werkzeuge und Verfahren des stark mit Security Audits verwandten Penetration Testings. Während Security Audits oft passiv durchgeführt werden, d.h. eine bestehende Infrastruktur, die verwendete Software oder auch eine Webapplikation "unter die Lupe" genommen werden (Analyse des Netzwerkverkehrs und des Quellcodes), verwenden wir Penetration Tests als aktive Suche nach Sicherheitslücken in einem System oder in Softwareprodukten.

Um ein System, ein Stück Software oder einen Webdienst auf Sicherheitslücken überprüfen zu können, bedienen wir uns einer Vielzahl von Tools und Methoden, um das zu untersuchende Objekt aus der Sicht eines Angreifers zu betrachten und in einer vorgegebenen Zeit möglichst viele sicherheitsrelevante Tests durchzuführen. Oft fragen wir nicht die zuständigen Systemadministratoren nach den Spezifikationen des Systems, wie bspw. verwendeter Software oder Versionsnummern, sondern abstrahieren das System in Form einer Black Box. Wie es auch ein realer Angreifer tun würde.

Im Gegensatz zu einem realen Angriff ist unsere Arbeit jedoch an der Stelle erledigt, an der ein realer Angreifer erst loslegen würde. Wir maniulieren keine Daten, installieren keine schadhafte Software auf Ihrer Hardware und spähen nicht Ihren Datenverkehr aus. Wir umgehen keine Authentifizierungsmechenismen, um uns einen unathorisierten Zugriff auf Ihre Systeme und Daten zu verschaffen. Und, wir profitieren nicht von den gewonnen Informationen, sondern klären Sie über den Sicherheitszustand Ihrer Netzwerk- und Systemsicherheit auf und zeigen Ihnen, wie Sie mit adäquaten Mitteln wieder einen sicheren Zustand Ihrer IT erreichen.

Insbesondere birgt der Betrieb von Webapplikationen, Portalen und sonstigen Online-Projekten eine große Gefahr für den Betreiber. Spätestens, wenn E-Commerce Systeme, wie bspw. Onlineshops oder B2B-Plattformen einen erfolgreichen Angriff auf die Infrastruktur ermöglichen und womöglich diese Systeme stark an Ihre sonstige Unternehmenssoftware gekoppelt sind, können die Konsequenzen eines realen Angriffs verheerend für Sie und Ihr Unternehmen sein. Alle Dienste, die online geschaltet werden, wirken für alle legitimen Benutzer, aber auch Angreifer zunächst wie ein Tor in das restliche nachgeschaltete System. Die Beurteilung, ob das Tor nun fest verschlossen ist und der Angreifer maximal anklopfen kann oder es sperrangelweit offen steht, treffen wir mit den von uns verwendeten Techniken und Werkzeugen.

Lassen Sie sich nicht von einer funktionierenden IT beeindrucken ohne die Kenntnis über die Sicherheit der verwendeten Systeme zu haben. Gerade die Ereignisse der Vergangenheit haben gezeigt, dass die meisten Botnetze bspw. Systeme gekapert haben, die auch nach der Installation der Schadsoftware einwandfrei liefen und munter weiterverwendet wurden. Das Security-Business ist eine sportliche Disziplin. Angreifer mit teilweise enorm grossen Wissen und starken Kompetenzen überraschen immer wieder die Security-Experten und so ist es immer ein Wettlauf gegeneinander. Aus diesem Grund heraus möchten wir an dieser Stelle unseren beliebten Satz einbringen: "Die Sicherheit ist kein Zustand, sie ist ein Prozess". Und als solchen Prozess verstehen wir auch unsere Arbeit, wenn wir uns auf den Weg machen, die Infrastrukturen unserer Kunden abzusichern. Profitieren auch Sie von unserem Vorgehen und schützen Sie sich, Ihre Daten und das Vertrauen Ihrer Kunden.