Offensive Testing schützt Ihr Unternehmen (Methoden & Tipps)

Featured Image

5 Minuten Lesezeit

Offensive Testing (zu deutsch: offensives Testen) ist eine gute Möglichkeit, um sicherzustellen, dass Ihr Unternehmen nicht nur in der Theorie vor Cyber-Angriffen sicher ist. Erfahren Sie, warum diese Tests empfohlen werden und welche verschiedenen Testarten es gibt.

Inhalt:

  1. Offensive Security und die verschiedenen Penetrationstests
  2. Schwachstellentests vs. Penetrationstests
  3. Testen Sie regelmäßig
  4. Vertrauen in die Cyber Security-Berater:innen

Offensive Security und die verschiedenen Penetrations-tests

"Pentesting" ist im Bereich der offensiven Sicherheit eine häufig verwendete Methode. Der Begriff lässt sich vollständig mit "Penetrationstest" (PT) übersetzen. Sicherheitsexpert:innen bewerten dabei die Sicherheit Ihrer Systeme und Software durch die aktive Durchführung kontrollierter Angriffe, um Schwachstellen zu entdecken und Anfälligkeiten nachzuweisen.

Es gibt verschiedene Arten von Penetrationstests, die sich nach den spezifischen Anforderungen Ihres Unternehmens richten.

Pentesting für Web-Apps & mobile Apps

Das Ziel von Penetrationstests besteht darin, anschaulich zu machen, was ein tatsächlicher Angreifer erreichen könnte, wenn er versucht, Web- und mobile Anwendungen zu hacken. Grundsätzlich konzentrieren sich die Bemühungen des Pentesters auf:

  • die Identifizierung von Sicherheitslücken und Schwachstellen,
  • die Umgehung von Sicherheits- und Geschäftslogikkontrollen
  • und das Starten autorisierter Exploits (Angriffe) gegen die untersuchte Umgebung.

Dauer: Ein allgemeiner Penetrationstest für eine Web-Anwendung kann bis zu sieben Arbeitstage dauern, während ein Penetrationstest für eine mobile Anwendung drei bis fünf Arbeitstage in Anspruch nehmen kann.

Testen der Infrastruktur (extern/ intern)

Penetrationstests der Infrastruktur konzentrieren sich in der Regel auf die Bewertung der Schwachstellen der Dienste und Sicherheitskontrollen eines Systems. Diese stehen im direkten Zusammenhang mit Bedrohungen und Risiken, die als so genannte "CIA-Trias" die geschützten Informationen in Ihrem eigenen Netzwerk gefährden könnten.

CIA = Confidentiality, Integrity & Availability (Vertraulichkeit, Integrität und Verfügbarkeit)

Der Tester versucht zunächst, in Ihrem Netzwerk Fuß zu fassen, indem er in externe Infrastrukturanlagen eindringt.

Dauer: Ein typischer externer Pentest kann fünf bis sieben Arbeitstage dauern, je nach Anzahl und Art der Anlagen.

Social Engineering Pentesting

Man kann Social Engineering als das trojanische Pferd der Cyber-Angriffe sehen. Social Engineering wird oft als eine Manipulationstechnik bezeichnet, die menschliche Fehler ausnutzt, um an private Informationen, Zugang oder Wertgegenstände zu gelangen. Im Hacking ist Social Engineering ein schier unendliches Thema.

Wussten Sie, dass 88% aller Datenschutzverletzungen heutzutage mit einem Social Engineering-Angriff beginnen (Quelle: PurpleSec)?

Sobald Menschen im Business involviert sind, wird es auch Social Engineering geben. Es gibt viele Methoden, darunter Vishing, Smishing, Phishing, Spear-Phishing, physisches SE und viele mehr.

Dauer: Ein typischer Social-Engineering-Einsatz kann zwischen einem Tag und mehreren Monaten dauern, je nach Art der Einschränkungen, der Ziele, des Umfangs und der Größe des Unternehmens.

Schwachstellen-tests vs. Penetrations-tests

Zurück zur Übersicht

Sogenanntes "Vulnerability Testing" wird oft mit Penetrationstests verwechselt. Der Hauptunterschied besteht jedoch darin, dass die Sicherheitsexpert:innen bei einem Penetrationstest aktiv versuchen, Schwachstellen auszunutzen, während sie beim Vulnerability Testing lediglich Schwachstellen entdecken und kategorisieren. Dabei werden diese Schwachstellen nicht praktisch ausgetestet und Informationen zu den Auswirkungen eines erfolgreichen Angriffs können entsprechend nicht gesammelt werden.

Schwachstellentests sind eine gute Wahl für Organisationen, die bereits einen Penetrationstest durchgeführt haben und nach einiger Zeit über den aktuellen Stand ihrer Konfiguration auf dem Laufenden bleiben wollen.

Testen Sie regelmäßig

Zurück zur Übersicht

Viele Unternehmen unterschätzen, wie schnell sich Hacking-Technologien entwickeln und testen daher nicht häufig genug. Kunden führen in der Regel einmal im Jahr einen Penetrationstest durch, was ein falsches Gefühl der Sicherheit vermitteln und zu einer potenziellen Gefährdung von Daten und Systemen führen kann.

Daher ist bei jeder Konfigurationsänderung, beim Hinzufügen neuer Software, Codes oder Hardware, Geschäftslogiken, Funktionen usw. ein Penetrationstest erforderlich, um zu bestätigen, dass die neue Implementierung keine neuen Risiken für Ihr Unternehmen mit sich bringt.

Die gute Nachricht ist, dass Sie nicht die gesamte Webanwendung testen müssen, wenn solche Tests bereits vor der Aktualisierung durchgeführt wurden. Sie können und sollten Ihren Arbeitsumfang definieren und genau festlegen, was getestet werden muss, welche Ziele mit den Tests verfolgt werden sollen und was Sie als Ergebnis dieser Tests erreichen wollen.

Kompetente Berater:innen können Ihnen dabei helfen, zu definieren, welche Vorgehensweise am besten für Ihr Unternehmen ist. Ich persönlich würde sogar empfehlen, zunächst Ihren Business Case und Ihre Roadmap zu besprechen, bevor Sie sich für bestimmte Tests und Dienstleistungen entscheiden.

Nicht selten denken Unternehmen, dass sie einen bestimmten Service und Test benötigen. Doch stellt man ihnen die richtigen Fragen, stellt sich heraus, dass andere Services viel besser zur spezifischen Infrastruktur, Unternehmenskultur und Branche passen.

Vertrauen in die Cyber Security-Berater:innen

Zurück zur Übersicht

Alle Berater:innen sind darin geschult, mit einer bestimmten Testmethodik zu arbeiten. Jeder Penetrationstesttyp hat seine eigene Methodik, da es Unterschiede bei Technologien, Konfigurationen, Codes, erwarteten Ergebnissen usw. gibt. Die Methodik ermöglicht es den Berater:innen, einem Testpfad zu folgen, der dabei hilft, Fortschritte zu verfolgen und keine Tests zu verpassen, die für den definierten Arbeitsbereich relevant sind.

Für einen ersten Einblick in Standards und Methoden von Cyber Security-Beratung können Sie sich auf den folgenden Seiten informieren (die Seiten sind auf Englisch):

Dies hilft Ihnen auch, ein besseres Verständnis für die Auswahl des richtigen Anbieters zu bekommen.

Auch die geschäftliche Seite ist komplex. Es ist gut zu wissen, welche Vertragsarten gängig in der Branche sind, z.B. Ad-hoc oder Rahmenverträge. Ich empfehle außerdem das Beantragen von NDAs, wenn Ihre Daten besonders schützenswert sind.

Darüber hinaus ist es eine gute Praxis, den Pentesting-Dienstleister nach dem erfolgreichen Abschluss eines Projekts und der Vorlage eines Abschlussberichts ausdrücklich zur Datenvernichtung aufzufordern.


Unsere Cyber Security-Expert:innen bei DIGITALL bieten zahlreiche Dienstleistungen an, um die Sicherheitsmaßnahmen und -strategien Ihres Unternehmens zu testen und zu stärken. Werfen Sie einen Blick auf unser Portfolio und kontaktieren Sie uns für ein erstes, kostenloses Beratungsgespräch.

Unsere Cyber Security-Services

 

von Kostadin Ivanov

Kostadin Ivanov ist Senior Penetration Tester bei DIGITALL. Er arbeitet mit den besten Cyber Security-Expert:innen in Bulgarien zusammen und stellt sein Fachwissen aktiv unseren Kunden zur Verfügung.

5 min read

Entspannt & glücklich auf Arbeit: 5 Tipps, um die Stimmung zu heben

Wenn die Tage wieder dunkler werden, geht das oft auch auf die Stimmung, da der Mangel an Sonnenlicht das Level vom...

3 min read

Experten-interview: Cyber Security-Trends & Themen für 2023 und 2024

Wir haben uns mit unserem Cyber Security-Experten Deniz Tourgout zusammengesetzt, um über aktuelle und zukünftige...

3 min read

Die Zukunft für KI: Fakten und Statistiken zur künstlichen Intelligenz

Wie gehen Unternehmen aktuell mit KI-Trends und -Entwicklungen um (Machine Learning, NLP, generative KI) und was bringt...