Ein Penetration-Test ist interessant für jeden, der auf eine funktionierende und sichere IT-Umgebung vertraut. Je mehr Sie sich auf eine sichere Umgebung verlassen, umso größer ist der Nutzen.

Unternehmen jeder Größe nutzen Penetration-Tests um „offene Türen“ zu finden und zu schließen, bevor ein tatsächlicher Angreifer eindringen kann. Ebenso nutzen sie ihn zur Compliance-Einhaltung und er kann als Bestandteil zur ISO-Zertifizierung verwendet werden.

Penetration-Tests werden auch häufig genutzt, um die Effektivität einer neu installierten Sicherheitsmaßnahme unter einem gezielten Angriff zu testen.

Mein Penetration-Test besteht aus den 4 Phasen: Aufklärung, Scan, Eindringen und Erhaltung des Zugriffs. Während der Aufklärung, Vorbereitungsphase führe ich mit Ihnen detaillierte Gespräche, damit ich Ihre Test-Ziele auch wirklich verstehe und eine Übereinstimmung finde über den Umfang und die Reichweite des Tests.

Die Prüfungsphase (Scan) ist die tatsächliche Testphase, in der ich eine Serie von Angriffen ausführe um potenzielle Schwachstellen zu identifizieren und versuchen werde diese auszunutzen, um in Ihr System (Netzwerk) einzudringen. Anschließend werde ich Nacharbeiten um den Zugriff zu erhalten. Am Ende werden alle Ergebnisse dokumentiert und von mir bewertet bevor ich sie Ihnen präsentiere. Dies ermöglicht Ihnen eine sehr genaue und realistische Einschätzung darüber, wie sicher das geprüfte Ziel ist.

Ja, ein Penetration-Test kann Schaden verursachen. Aber mit der richtigen Vorbereitung und Sorgfalt, kann das tatsächliche Risiko auf ein akzeptables Minimum reduziert werden.

Vor Testbeginn müssen die möglichen Risiken aufgezeigt und besprochen werden, so dass vorab die notwendigen präventiven Schritte unternommen werden können.

Bei ca. 90% aller Cyberangriffe wird das sog. Social Engineering genutzt. Hier werden zum Beispiel die Hilfsbereitschaft und das Vertrauen Ihrer Mitarbeiter benutzt, um Zugriff auf Ihr IT-System und damit auch auf Ihre Daten zu erhalten.

Daher empfehle ich Ihnen, diese Elemente mit in den Test zu nehmen, so dass Sie ein realistisches Bild über die tatsächliche Sicherheitslage erhalten. Gleichzeitig werden Ihre Mitarbeiter stark für dieses Thema sensibilisiert und können sich in Zukunft anders verhalten.

Ich empfehle Ihnen die Ergebnisse sehr sorgfältig, professionell und anonym zu behandeln. Ob und auf welche Art Elemente genutzt werden, sollten Sie im Vorhinein entscheiden (ggf. mit der Personalvertretung) und wir gemeinsam detailliert besprechen.

Die Ergebnisse des Tests werden von mir in einem leicht verständlichen Format dokumentiert. Der Fokus liegt hierbei auf die Beschreibung der Schwachstellen, des potenziell möglichen Schadens hieraus und meine Empfehlung, wie diese Schwachstellen behoben werden sollten.

Die Ergebnisse werden von mir danach priorisiert, wie zugänglich die Schwachstelle ist und wie einfach oder schwierig sie ausgenutzt werden kann.

Ich werde Ihnen selbstverständlich die Ergebnisse persönlich präsentieren, so dass ich in diesem Rahmen alle Ihre Fragen beantworten kann.

Die Durchführung eines jährlichen Penetration-Tests ist eine gute Voraussetzung. Hingegen ist es ratsam einen Penetration-Test jedes Mal dann durchzuführen, wenn Sie in Ihrem Netzwerk, Infrastruktur oder Applikation Änderungen vornehmen – entweder vor oder kurz nach der Umstellung.

Manche meiner Kunden wünschen einen 3 bis 6-monatigen Überprüfungs-Rhythmus, um ihren Sicherheitsstandard beizubehalten.

Penetration-Tests sind nicht die einzige Möglichkeit, um Sicherheitslücken aufzudecken. Sicherheits-Audits und sog. Vulnerability Scans helfen auch, den Sicherheitsstandard Ihres Unternehmens zu erhöhen.

Der größte Unterschied zum Penetration-Test liegt darin, dass dieser tatsächliche Schwachstellen verifiziert und auswertet und auch den tatsächlichen Schaden aufzeigt, den ein Angriff verursachen kann.

Der Penetration-Test zeigt sehr genaue und präzise Ergebnisse und hilft Ihnen so Aufwand, Zeit und Geld zu sparen.