Kontakt

Rufen Sie uns an

+49 (0) 421 438410


Auch per Fax für Sie

+49 (0) 421 438081


Schreiben Sie uns eine E-Mail

info@allgeier-it.de

Natürlich sind wir auch per Fax für Sie erreichbar: +49 (0) 421 438081


Kontakt für Bewerber

zum Bewerbungsformular

Produkt­informationen

Produkt­informationen


ERP-Lösung
syntona® logic

ZUR WEBSITE

ERP-Lösung
Allgeier itrade

ZUR WEBSITE

BPM- & ECM-Lösung
metasonic® Suite

ZUR WEBSITE

Penetrationstests

Damit einzelne Geräte oder ein gesamtes Netzwerk umfassend auf ihre Sicherheit und mögliche Schwachstellen getestet werden können, ist der Einsatz eines Penetrationstest von Allgeier eine sinnvolle Möglichkeit.

Verfahren

Bei der Durchführung eines Penetrationstests wird zwischen sechs Verfahren unterschieden: White Box-, Black Box- und Grey Box Audit sowie dem Social Engineering, Innentäter-Audit oder dem Red Team Test.

Für das White Box Audit werden unseren verantwortlichen Pen-Testern alle notwendigen Informationen über die IT-Systeme und interne Strukturen Ihres Unternehmens vor Testbeginn zur Verfügung gestellt.

Im Gegensatz dazu liegen beim Black Box Audit vorab kaum Informationen über die zu prüfenden IT-Systeme vor. Analog zum Vorgehen eines externen Angreifers müssen im Voraus jene Informationen beschafft werden, die bei einem White Box Audit bereits zu Beginn vorgelegt werden. Damit ist diese Art des Penetrationstests sehr realitätsnah, aber auch zeitaufwändiger und demnach kostspieliger als das White Box Audit.

Das Grey Box Audit ist eine Kombination der beiden oben genannten Verfahren. Dabei erhalten unsere Pen-Tester zunächst keine Informationen über die zu testenden IT-Systeme. Die von den Pen-Testern gewonnenen Informationen hinsichtlich Infrastruktur und bestehender Abwehrmechanismen werden dann in einem zweiten Schritt mit den realen Gegebenheiten abgeglichen. Erst dann werden dem verantwortlichen Pen-Tester Informationen zu Infrastruktur und Zugangsdaten gegeben. Damit stellt das Grey Box Audit im Vergleich zum häufig nachgefragten Black Box Audit aus ökonomischer Sicht eine effizientere Vorgehensweise dar.

Das Social Engineering ist eine Angriffsform, welche sich besonders auf menschliche Schwächen konzentriert. Im Social Engineering Pen-Test wird die Awareness der Mitarbeiter überprüft. Technische Hürden werden hierbei umgangen, indem die oft unwissentliche Unterstützung der Mitarbeiter durch gezielte soziale Interaktion erlangt wird.

Das Innentäter-Audit prüft die Organisation aus Sicht des internen Mitarbeiters sowie aus Sicht von Reinigungskräften. Welche Lücken kann eine Person ausnutzen, die z.B. unzufrieden mit der Arbeitssituation ist oder durch Dritte bestochen wurde?

Bei der Vorgehensweise des Red Team Tests bilden unsere Experten ein sogenanntes Red Team und führen einen realistischen Angriff auf Ihr Unternehmen durch. Kenntnis von dieser Operation haben nur wenige Personen in Ihrem Unternehmen und den Angreifern werden nur wenige Grenzen gesetzt. Auf diesem Weg können unter anderem organisatorische Prozesse und die Awareness Ihrer Mitarbeiter auf die Probe gestellt werden. Das Red Team macht auch vor einem „Besuch“ nicht Halt.

Was zeichnet den Penetrationstest von Allgeier aus?

Für unsere IT-Sicherheitsexperten hat ein enger und vertrauensvoller Kontakt zu den IT-Verantwortlichen Ihres Unternehmens oberste Priorität. Bereits bei der Planung des Penetrationstests benennen wir gemeinsam mit Ihnen feste Ansprechpartner auf beiden Seiten, deren Erreichbarkeit während der Testphasen sichergestellt werden muss. Nur so ist z.B. im Falle der Identifizierung kritischer Schwachstellen gewährleistet, dass Informationen mit schnellstmöglichen Reaktionszeiten zwischen unseren Pen-Testern und Ihnen ausgetauscht werden können.

Nach der Analyse der automatisiert gefundenen Schwachstellen erfolgt eine umfangreiche manuelle Analyse durch unsere Pen-Tester. Hierbei steht das nicht-autorisierte Ausnutzen von implementierten Funktionen im Fokus. Gegenstand der manuellen Analyse könnten z.B. folgende Fragestellungen sein:

  • Ist es möglich, über Ihr Kontaktformular Spam-Mails zu versenden?
  • Sind bei den hinterlegten Eingabefeldern Plausibilitätsprüfungen aktiv?
  • Sind die eingesetzten Verschlüsselungsmechanismen noch aktuell und damit gegen Angriffe wirksam?
  • Können Login-Seiten zum Zugriff auf Ihre internen Daten genutzt werden?
  • Verraten Konfigurationseinstellungen interne IP-Adressen oder DNS-Namen?
  • Enthalten Dateien auf Ihrer Webseite Metadaten mit internen Informationen wie Benutzernamen?

Abschlusspräsentation des Projektteams

Die Abschlusspräsentation des Projektteams zeichnet sich dadurch aus, dass komplexe technische Inhalte in verständlicher Form erörtert und somit auch IT-fremden Mitarbeitern zugänglich gemacht werden. Grundsätzlich wird die Präsentation in zwei Teile untergliedert: Der erste Teil richtet sich an die Management-Ebene. Darin wird aufgezeigt, wo akuter Handlungsbedarf besteht, und darüber hinaus ein umfassender Überblick über den aktuellen Sicherheitsstatus Ihres Unternehmens gegeben. Der zweite Teil ist an die verantwortlichen Administratoren gerichtet und enthält detailliertere technische Informationen und priorisierte Handlungsanweisungen zur Beseitigung Ihrer IT- Sicherheitslücken.

Regelmäßige Checks

Grundsätzlich empfehlen wir die Durchführung eines Re-Tests nach einem gemeinsam mit Ihnen definierten Zeitraum, z. B. nach 3 oder 6 Monaten. Mit dieser Form des Pen-Tests gilt es zu prüfen, ob die zuvor aufgezeigten IT-Schwachstellen erfolgreich beseitigt worden sind und Sie damit Ihr Sicherheitsniveau signifikant erhöht haben.

Dem Expertenwissen unserer Pen-Tester liegt eine umfangreiche Projekterfahrung zugrunde. Unsere Referenzen erstrecken sich über die verschiedensten Branchen wie Banken und Versicherungen, Logistik, Forschung und Web-Entwicklung, gemeinnützige Einrichtungen, Medizin, Industrie, Sport, Medien und Nahrungsmittel.

Allgeier Security

Neben technischen Belangen sind auch juristische und betriebliche Interessen zu berücksichtigen. In allen Bereichen können unsere Produkte Ihre Unternehmenskommunikation absichern und unsere Berater Sie unterstützen, damit Ihr Unternehmen den oft widersprüchlichen Anforderungen – höchste Sicherheit und höchster Komfort bei geringsten Kosten – gerecht werden kann.

Weitere Informationen erhalten Sie von unseren Security Experten:

E-Mail: sales-security@allgeier-it.de