Penetrationstest

image_pentest

PENTESTING

Ein IS-Penetrationstest ist ein erprobtes und geeignetes Verfahren, um das Angriffspotenzial auf einen Informationsverbund, ein einzelnes informationsverarbeitendes System oder eine IT-Anwendung mit dem Ziel zu evaluieren, die Erfolgsaussichten eines tatsächlichen vorsätzlichen Angriffs einzuschätzen, die Wirksamkeit bestehender Sicherheitsmaßnahmen zu überprüfen und aus den Testergebnissen ergänzende Sicherheitsmaßnahmen abzuleiten.

Ausgehend von relevanten Bedrohungsszenarien werden unterschiedliche Angriffsvektoren vom Tester dynamisch verfolgt, um vorhandene Schutzmaßnahmen zu umgehen und so unberechtigten Zugriff insbesondere auf zentrale oder sensible Systeme und Daten zu erlangen. Identifizierte Schwachstellen lassen sich im Nachgang meist mit Hilfe einfacher Maßnahmen behandeln.

UNSERE LEISTUNGEN

Wir planen Penetrationstests und führen diese einem prozessorientierten Ansatz folgend mit überdurchschnittlicher technischer Kompetenz durch.

Im Vorfeld unterstützen wir unsere Kunden bei der Festlegung geeigneter Testziele, um die Grundlage für einen effizienten und für den Kunden aussagekräftigen IS-Penetrationstest mit einem guten Kosten-Nutzen-Verhältnis zu legen. Testziele leiten wir aus der Bewertung des Informationssicherheitsrisikos der zu testenden Organisation ab und beschreiben unser geplantes Vorgehen in einem Course-of-Action, den wir vor der Testdurchführung mit dem Kunden besprechen.

Grundsätzlich bieten wir die folgenden Testmodule an:

  • Perimeter Identification
  • Internet
  • Internal Network / WLAN
  • Critical System
  • Mobile Device
  • Application
  • Embedded System / IoT Device
  • Control System

Nach einem durchgeführten Test unterstützen wir unsere Kunden dabei, wirtschaftliche und effektive Schutzmaßnahmen umzusetzen, um erkannte Schwachstellen zu schließen. Auch hierbei arbeiten wir mit einem Ansatz, der das Informationssicherheitsrisiko berücksichtigt.

WARUM PEN.SEC

  • Die Qualität unserer Dienstleistung stellen wir durch ein ISO 17025-konformes und ein an die ISO 9001 angelehntes Qualitätsmanagement sicher.

  • Unsere Tester belegen Ihre Testkompetenz durch anerkannte, einschlägige Personen-Zertifikate (OSCP, GPEN, ...).

  • Auf der Grundlage unserer Erfahrung in der Etablierung und Aufrechterhaltung einschlägiger Normen und Standards, wie z.B. ISO/IEC 27001, IT-Grundschutz, KRITIS, VDA ISA, TISAX, PCI DSS, ISO/IEC 22301, DSGVO oder auch IEC 62443, stimmen wir bei Bedarf die Rahmenbedingungen und Ziele eines Penetrationstests im Hinblick auf eine Zertifizierung, Überwachung oder Re-Zertifizierung ab.