Pentest für Unternehmen

Security Warning System

Die Datenschutzgrundverordnung (EU-DSGVO) verpflichtet Unternehmen dazu, angemessen Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Den Schutz Ihrer IT-Systeme sollten dabei nicht auf die leichte Schulter nehmen oder als notwendiges Übel begreifen, um einer möglichen Strafe durch die Landesdatenschutzbehörde zu entgehen. IT-Sicherheitsmanagement dient in erster Linie der Sicherheit Ihres Unternehmens sowie der Ihrer Partner und Kunden. Trojaner, DDoS-Attacken und andere Cyber-Angriffe sind eine große Gefahr für die Integrität Ihres Internetauftritts und für Ihre gesamte IT-Infrastruktur. Ein Pentest (oder auch Penetrationstest) ermöglicht das Aufdecken etwaige Schwachstellen und hilft ihnen dabei, diese zu schließen.

Während viele IT-Sicherheitslösungen nur einzelne Teilbereiche absichern, bekommen Sie mit dem von Sicherheitsexperten entwickelten Security Warning System von WileDa eine innovative All-In-One-Lösung für Ihre IT-Sicherheit.

So einfach geht IT-Sicherheit

Was ist ein Penetrationstest und welche Vorteile bietet er?

Das Ziel unseres Security Warning Systems ist die automatisierte Überprüfung der Sicherheit von IT-Systemen und Netzwerken (Schwachstellenanalyse), um ihre Systemlandschaft auf eventuelle Angriffsmöglichkeiten von außen zu analysieren. Es handelt sich dabei um kontrollierte Angriffe, welche besonders realitätsnah eventuelle Schwachstellen aufdecken, die von Angreifern ausgenutzt werden können, um Ihnen zu schaden.

Bei dem Security Warning System haben Sie die Möglichkeit, jede Vorgehensweise zu planen, jedes zu testende System zu bestimmen, jede Tiefe festzulegen und die daraus ergebenden Maßnahmen und aufgefundenen Schwachstellen, die durch unser Pentesting gefunden worden sind, über eine von ihnen auszuwählende Berichtsform zu dokumentieren.

Bringen Sie Ihre IT-Sicherheit in den grünen Bereich

Unser Innovativer Penetrationtest deckt alle Sicherheitslücken auf!

Vor diesen Gefahren schützt Sie unser Penetrationstest

Informationstechnologie ist heute ein fester Bestandteil jedes Unternehmens. Dieser Tatsache geschuldet geht auch die Anzahl unternehmenskritischer Daten in die Höhe, welche in IT-Systemen gespeichert sind. Entsprechend häufen sich auch Angriffe auf Unternehmensnetzwerke. Bis vor ein paar Jahren war es oft ausreichend, sich hinter einer entsprechenden Firewall und einer Antivirus-Software vor Angreifern zu verschanzen, heute ist das Thema IT-Sicherheit jedoch deutlich vielschichtiger. Denn während sich die alteingesessenen Sicherheitssysteme nur innerhalb Ihrer jeweiligen Zuständigkeitsbereiche weiterentwickelten, haben Hacker und andere Cyber-Kriminelle immer neue und aggressivere Wege gefunden, diese Systeme auszuhebeln und selbst kleinste Schwachstellen auszunutzen, um in Ihr System einzudringen. 

Folgende Schwachstellen lassen sich durch Pentesting identifizieren:

DDoS-Attacken

Dies geschieht am häufigsten über so genannte DDoS-Attacken (Distributed Denial of Service). Hierbei kommt es durch einen großflächig koordinierten, gleichzeitigen Angriff mehrerer Rechner zu einer Überlastung Ihres Systems. Hacker kapern dazu oft hunderte oder tausende ungesicherte Rechner und stellen so haufenweise gefälschte Server-Anfragen, welche schlimmstenfalls einen Ausfall Ihres Webservers zur Folge haben.

Phishing

Phishing zielt darauf ab, Sie über E-Mails oder SMS auf Webseiten zu lenken die vertrauenswürdige Seiten (z.B. Ihrer Bank) immitieren, um so an Ihre persönlichen Informationen und Passwörter zu stehlen, Ihre Zugänge zu missbrauchen und Ihnen somit zu schaden. Eine weitere Form des Phishings geschieht über den Einsatz von Malware (z.B. Trojaner), welche sich in den Kommunikationsweg zwischen Ihnen und Ihrer Bank einzuschalten, um so Informationen abzufangen. Phishing kann nicht nur zu gravierenden Vermögensschäden führen, sondern auch das Ansehen Ihres Unternehmens negativ beeinflussen.

Ransomware

Phishing zielt darauf ab, Sie über E-Mails oder SMS auf Webseiten zu lenken, die vertrauenswürdige Seiten (z.B. Ihrer Bank) imitieren, um so an Ihre persönlichen Informationen und Passwörter zu stehlen, Ihre Zugänge zu missbrauchen und Ihnen somit zu schaden. Eine weitere Form des Phishings geschieht über den Einsatz von Malware (z.B. Trojaner), welche sich in den Kommunikationsweg zwischen Ihnen und Ihrer Bank einzuschalten, um so Informationen abzufangen. Phishing kann nicht nur zu gravierenden Vermögensschäden führen, sondern auch das Ansehen Ihres Unternehmens negativ beeinflussen.

Illegales Crypto Mining

Kryptowährungen (wie z.B. der Bitcoin) erfahren eine immer höhere Akzeptanz bei diversen Zahlungsanbietern. Dieses „Geld“ wird jedoch nicht im klassischen Sinne von Notenbanken gedruckt, sondern mittels einer sogenannten Blockchain digital durch Rechenleistung erzeugt. Cyberkriminelle könnten versuchen, Ihre Server zu kapern oder mit Malware zu infizieren, um für diesen aufwendigen, ressourcenintensiven und teuren Prozess Ihre Rechenleistung für ihr Bot-Netzwerk zu missbrauchen.

Point-of-Sale-Angriffe

Egal ob Hotel, Einzelhandel oder Online Shop, die Zahl von Point-of-Sale (POS)-Angriffen steigt. Die digitalen Kassensysteme werden mit Schadsoftware infiziert so im schlimmsten Fall tausende oder gar Millionen Kreditkarten-, Zahlungs- und Nutzerdaten erbeutet. Hier sind nicht nur Online Shop-Betreiber gefährdet, sondern jedes Unternehmen mit digitalem Kassensystem. Durch einen tiefgreifenden Penetrationstest unsere Security Warning Systems werden derartige Schwachstellen und Bedrohungen sofort offenbart.

Mobile Geräte und Anwendungen

Immer mehr Angestellte bekommen von Ihren Arbeitgebern Smartphones, Tablets oder Laptops zur Verfügung gestellt. Diese neue Form der Flexibilität birgt jedoch große Sicherheitsrisiken. Geräte können nicht nur verloren gehen oder gestohlen werden, auch können sich Kriminelle (z.B. über Apps aus unsicheren Quellen) unbemerkt Zugriff verschaffen, sensible Daten stehlen oder andere unentdeckte Sicherheitslücken ausnutzen, um Ihnen zu schaden.

Web-Anwendungen

Gelingt es Cyberkriminellen sich durch das Einschleusen von SQL-Befehlen Zugang zu Ihren Backend-Systemen zu verschaffen, können diese ohne großen Aufwand Kundendaten entwenden und missbrauchen.  Deshalb ist es besonders wichtig, diese Schwachstellen so schnell wie möglich aufzudecken und zu schließen.

Technische Fehler & Sicherheitslücken

Wenn verschiedene Geräte, Programme und Anwendungen zum Einsatz kommen, muss der sichere Austausch gewährleistet sein. Hierfür gibt es keine Standardlösung von der Stange, da jedes Unternehmen vor individuelle Herausforderungen steht. Hier ist Proaktivität gefragt. Besonders der Mittelstand hinkt hier hinterher – und das, obwohl dieser am stärksten Gefahren ausgesetzt ist.

Internet of Things

Viele Unternehmen nutzen bereits intelligente Geräte und versuchen diese bestmöglich untereinander zu vernetzen, um von überall darauf zugreifen, diese steuern und/oder Informationen zu erhalten. Dazu können etwa intelligente Stromzähler, Autoelektronik oder die per App gesteuerte Kaffeemaschine sein. Bei all dem Komfort, den diese Geräte versprechen denken die wenigsten daran, dass es sich hier um einen neuen Gefahrenbereich handelt, der neue Angriffsflächen erzeugt.

Empfehlung: die Häufigkeit und Prüftiefen der zu testenden Systeme sind jederzeit variierbar. Wir empfehlen jedoch eine regelmäßige Prüfung durchzuführen, um dadurch die Sicherheit ihrer Systemlandschaft zu verbessern. Ein mittelständisches Unternehmen mit ca. 50 Mitarbeitern sollte seine IT-Systeme mindestens einmal pro Quartal prüfen lassen.

Pentest durchführen und Sicherheitslücken schließen

Das Security Warning System vom WileDa ist ein IT-Sicherheitstest, der die Empfindlichkeit Ihrer IT-Systeme, Netzwerke und Webanwendungen prüft. Ein Penetrationstest simuliert Methoden und Techniken, die auch bei einem echten Angriff durch Hacker zum Einsatz kommen. Durch gezielte Attacken auf das zu testende System werden technische und organisatorische Schwachstellen aufgedeckt, über die sich Angreifer unautorisierten Zugang verschaffen, Kundendaten erbeuten und Ihrem Unternehmen durch Manipulation schaden können.  

Ein Penetrationstest kann genau diese Schwachstellen identifizieren und das Gefährdungspotential messen. Alle Maßnahmen der Schwachstellenanalyse werden dabei genauesten protokolliert und in einem umfassenden Bericht für Sie zusammengefasst. Sie erhalten zudem Handlungsempfehlungen, um Ihr IT-Sicherheitsniveau zu optimieren. Die Beseitigung der identifizierten Risiken obliegt wiederum dem Auftraggeber bzw. Betreiber.

Der Penetratiostest ist keine fortlaufende Überwachung Ihrer IT – vielmehr handelt es sich hierbei um eine Momentaufnahme.

Ihr Individueller Pentest-Bericht

Testergebnisse über Problemlösung

Jeder Kunde erhält genau den Bericht, den er in seinem Produkt ausgewählt hat. Wir unterscheiden hier unter verschiedenen Gesichtspunkten unterschiedliche Berichtsformen.

Wir setzen auf kurze, aber inhaltsgleiche Berichte. Wir unterscheiden aber je nach ausgewähltem Vorgehen die Berichtstiefe und machen es dann dem Kunden möglich, auch Informationen zu bekommen, die man tatsächlich auch als Nicht-IT-Experte versteht. Wir bemühen uns, in den Abschlussberichten eine nichttechnische Zusammenfassung aller Ergebnisse zu bieten, um Sie beim Management Ihrer Änderungsplanungen unterstützen zu können.

Wählen Sie Ihr Paket

Security Warning System

Schutz der eigenen WerteSecurity Warning System dient sowohl dem Schutz der eigenen Firmenwerte, als auch dem Schutz Ihrer Kunden. Dies schafft Kundenvertrauen und spielt zudem eine wichtige Rolle bei der Qualitätssicherung.

Bei Entwicklung von neuen IT-Produkten und/oder Werbung mit der Sicherheit des eigenen Produktes, können Sie sich durch das Security Warning System einen nicht unerheblichen Wettbewerbsvorteil sichern.

ab 543,00 

Auswahl zurücksetzen
Security Warning System

Artikelnummer: SWS0001 Kategorie: Tag

Beschreibung

Das Ziel unseres Security Warning Systems ist Überprüfung der Sicherheit von IT-Systemen und Netzwerken, um ihre Systemlandschaft zu analysieren auf eventuelle Angriffsmöglichkeiten von außen. Durch die kontrollierten Angriffe werden besonders realitätsnah eventuelle Schwachstellen aufgedeckt.

Informationen zu Prüftiefe und Berichtsform

Prüftiefe LOW
Security Warning System Prüftiefe Low

Bei dieser Prüftiefe geht es in erster Linie um die Informationsbeschaffung. Dabei werden möglichst viele Informationen gesammelt, indem verschiedene öffentliche Informationsquellen durchsucht werden und die Ergebnisse über die betroffenen Systeme dokumentiert werden. Es werden sowohl technische als auch nichttechnische Informationen gesammelt.

Die technischen Informationen können Einblicke in eine Netzwerkstruktur (intern) oder Einblicke in IT-Adressbereiche zeigen. Es kann aber auch im Rahmen einer der Vorgehensweise passieren, dass man sogar die Hardware bis hin zu Passwörtern findet. Im Allgemeinen erreichen wir in dieser Stufe einen Überblick über das Unternehmen bis hin zu seinen Detailinformationen.

Eventuelle Informationsquellen in diesem Vorgang sind etwa eine Webseite, Suchmaschinen, soziale Netzwerke, verschiedene Datenbanken oder auch das ein oder andere Domänensystem. Dabei erhalten Sie je nach Wunsch einen Standardbericht (falls keine der anderen Alternativen gewählt wurde) mit den entsprechenden aufgefundenen Fehlern oder Schwachstellen.

Prüftiefe MEDIUM
Security Warning System Prüftiefe Medium

Bei dieser Vorgehensweise wählen wir aus dem Softwarebereich, aus freien und kommerziellen Programmen. Teilweise werden auch selbstentwickelte Programme, die zur Verfügung stehen, in diesem Vorgang eingesetzt.

Die Prüfungen werden über spezielle Schwachstellenanalysewerkzeuge und Exploit-Tools durchgeführt. In diesem Vorgang sind die Vorbereitung und Erfahrung der Prüfer gefragt, um eine erfolgreiche und ergebnisorientierte Prüfung durchzuführen. Dies garantiert Ihrem Unternehmen Schwachstellen zu finden, welche möglicherweise jahrelang übersehen wurden. Durch gezielte Indizierung der einzelnen Systemkomponenten werden Informationen zusammengetragen. Dadurch wird unser Security Warning System Ihr Spion Ihrer Netzwerktechnik. Wir gehen so praxisnah wie möglich vor, damit Sie auch jeden einzelnen Schritt nachvollziehen können.

Noch einmal kurz zur allgemeinen Vorgehensweise: Bei der Prüftiefe Medium gehen wir also aktiv vor und sprechen gezielt ihr System an, um viele Informationen zu erhalten. Bei Netzwerktests gehen wir vom einfachen üblichen Port Scan über das direkte Ansprechen von einzelnen Diensten zur Informationsgewinnung bis hin zur Identifizierung von individuellen Ansprechstellen der getesteten Systeme. Für die Prüfung der physikalischen Gegebenheiten benötigt man eine andere Prüftiefe, da hierfür bestimmte Faktoren genaustens besprochen werden müssen.

Prüftiefe MAXIMUM
Security Warning System Prüftiefe Premium

In diesem Teil des Security Warning Systems werden durch verantwortungsvolles Vorgehen Angriffsmöglichkeiten ermittelt, um gezielt Schwachstellen auszunutzen. Dafür werden etwa sensitive Informationen ausgelesen oder Systeme kompromittiert, um sich darauf zu manifestieren. Wenn dies gelungen ist, kann von da aus sehr häufig in Systeme eingetragen werden und mögliche Angriffsziele erreicht werden. Das ist die Königsdisziplin, um zu sehen, wie sicher mein Netzwerk oder meine Systemlandschaft ist.

Damit geht ein sehr hoher Aufwand einher, was natürlich sowohl zeitlich, aber ganz besonders die Fähigkeit des Mitarbeiters, der diese Vorgehensweise abdeckt, in Anspruch nimmt. Das begründet sich nicht nur daraus, dass es von Kunde zu Kunde unterschiedlich ist, welche Daten und Systeme besonders kritisch sind.

In einem gemeinsamen Gespräch werden die Vorgehensweisen besprochen und abgestimmt, damit vielversprechende Ergebnisse für Sie erzielt werden können.

Selbstverständlich reagieren wir immer tagaktuell auf die Bewegung in der IT-Sicherheit, sodass wir immer die besten Prüfmöglichkeiten für den Kunden anbieten können.

Wo wir in diesem Schritt, bzw. in dieser Maximum/professionellen Prüftiefe besonders hohen Wert legen, ist die Dokumentationsleistung. Zu dieser Stufe würden wir Ihnen empfehlen, ein umfangreicher und ausführlicher Bericht mit dementsprechend aufgeführten Skizzen und Bildmaterialien zu nehmen. Dieses dient zur visuellen Darstellung, indem im Einzelnen aufgeführt wird, wo eventuell größere Schwierigkeiten zu finden sind. Das hat den Vorteil, dass auch ein nicht professioneller Fachmann sehen kann, dass man es unter Umständen mit einer größeren Schwierigkeit/Schwachstelle zu tun hat oder haben könnte.

Security Warning System

Zusätzliche Information

Anzahl der zu prüfenden IP-Adressen

1, 2, 3, 4, 5, 6, 7, 8, 9, 10

Prüfhäufigkeit pro Jahr

1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12

Tiefe der Prüfung

LOW, Medium, Maximum

Berichtsform

Basis, Business-Standard, Business-Premium

Bewertungen

Es gibt noch keine Bewertungen.

Schreiben Sie die erste Bewertung für „Security Warning System“

Das könnte Ihnen auch gefallen …

Bringen Sie Ihre IT-Sicherheit in den grünen Bereich

Unser Innovativer Penetrationtest deckt alle Sicherheitslücken auf!

Häufige Fragen zu unseren Penetrationstests

Die Kosten unseres Pentests und des IT-Security Audits sind individuell und ergeben sich aus dem zeitlichen Aufwand sowie der Struktur und Komplexität Ihrer Informationstechnik. Unser kleinstes Paket fängt bereits bei 543€ an. Hinzu kommt, ob Sie einen White Box oder einen Black Box Audit benötigen/ wünschen. Wir bieten Ihnen die Möglichkeit, sich vorab ein Paket zusammenzustellen und eine kostenlose & unverbindliche Preisprognose zu erhalten.

Im Grunde lassen sich grob drei Arten von Penetrationstests unterscheiden: der IT-Infrastruktur-, Webanwendungs- und Webservice-Pentests.

Beim IT-Infrastruktur-Pentesting werden Ihre Serversysteme, WLAN-Netzwerke, VPN-Zugänge und Firewalls auf Risiken überprüft. Dies ist die klassische Form des Penetrationstests. Diese wurden, als diese Dienstleistung noch neu war, häufig von ehemaligen Hackern durchgeführt. Über die Jahre hat sich dieses Angebot jedoch immer mehr professionalisiert, sodass heute nur noch speziell dafür ausgebildete Experten zuständig sind, wodurch sich auch das Risiko, an einen dubiosen Dienstleister zu geraten drastisch minimiert wurde.

Der Webanwendungs-Pentest prüft strukturelle Schwachstellen Ihrer Anwendungen, die durch das Web zugänglich sind, z.B. ein Webshop oder Browserbasierte Tools wie bspw. Fotobuchsoftware, Kundenbewertungsportale, Serverüberwachungssysteme – im Grunde alles, mit dem Ihre Nutzer plattformübergreifend arbeiten können. Dabei ist zudem noch zwischen jenen Webanwendungen zu unterscheiden, welche nur für einen kleinen Nutzerkreis (etwa durch Abschluss eines Abonnements) zur Verfügung stehen und jenen, für die keine individuelle Zugriffsbeschränkung besteht (etwa bei Fotobuch-Anwendungen, Webshops o.ä.). Je mehr Leute auf Ihren Dienst Zugriff haben, desto höher ist der Aufwand der Sicherheitsüberprüfung.

Webservice- bzw. Netzwerkdienst-Pentests sind denen der Webanwendungen recht ähnlich, haben jedoch im Detail einige unterschiedliche Anforderungen. Zum einen werden hier vereinzelt andere Schwachpunkte geprüft und zum anderen Verteilen sich diese etwas anders, was zusätzliche Tests erfordert, um eine sichere Nachrichtenübermittlung zu gewährleisten. Zwar sind die gängigen Penetrationswerkzeuge bereits für den Umgang HTTP, TLS und XML optimiert, jedoch können sich aus den Signaturen und Chiffrierungen einige speziellere Herausforderungen ergeben, bei denen ein gewöhnlicher Pentest zu oberflächlich wäre. Nachgelagerte Systeme würden so kaum oder gar nicht geprüft.

Wenn Sie mehr über unsere Pakete bzw. die für Ihr System empfohlene Prüftiefe erfahren möchten, kontaktieren Sie uns gerne. Wir finden gemeinsam mit Ihnen das passende Produkt.

White-Box oder Black-Box beschreibt den Informationsstand des Pentesters. Beim Black-Box-Verfahren wissen wir nichts über Ihre IT-Infrastruktur. Dies bedeutet, dass wir (ähnlich wie ein Hacker) uns erstmal selbst einen Überblick verschaffen müssen. Beim White-Box-Pentest hingegen haben wir bereits viele Informationen über Ihre Server, Betriebssysteme, Anwendungen, Ports, Skripte usw. Dadurch können wir noch gezielter Worst-Case-Szenarien „durchspielen“. Das ermöglicht es uns, sensible Schwachpunkte in den tieferen Ebenen Ihrer Systeme aufzudecken.

Wenn Sie zum ersten Mal einen Pentest durchführen lassen wollen, empfiehlt sich zunächst die Black-Box-Variante. Sollten Sie diesen Dienst wiederholt in Anspruch nehmen, sollten Sie sich für einen White-Box-Test entscheiden.

White-Box oder Black-Box beschreibt den Informationsstand des Pentesters. Beim Black-Box-Verfahren wissen wir nichts über Ihre IT-Infrastruktur. Dies bedeutet, dass wir (ähnlich wie ein Hacker) uns erstmal selbst einen Überblick verschaffen müssen. Beim White-Box-Pentest hingegen haben wir bereits viele

Das von Ihnen beauftragte „Einbruchsversuch“ in Ihre Systeme wird im englischen Sprachgebrauch auch ethical hacking genannt. Hier liegt die Annahme vor, dass ein Hack ethisch vertretbar sei, wenn dieser mit Zustimmung des Eigentümers stattfindet – doch stimmt das?

Der Pentest ist eine noch recht junge Dienstleistung und sind noch wenig genormt. Es existieren allerdings Richtlinien, das Open Source Security Testing Methodology Manual, welche regelmäßig aktualisiert und erweitert werden. Ebenso wurde auch vom Deutschen Bundesministerium für Sicherheit in der Informationstechnik (BSI) eine entsprechende Richtlinie veröffentlicht. Diese wurde allerdings seit dem Jahr 2003 nicht mehr überarbeitet und ist damit etwas verstaubt. Aktueller sind da die Materialien des Open Web Application Security Projects (OWASP), welche professionellen Pentest-Anbietern einen entsprechenden Leitfaden bereitstellen.

Grundsätzlich gilt, dass ein von Ihnen selbst beauftragter Penetrationstest Ihres Systems durch Sicherheitsexperten legal und empfehlenswert ist.

Vor jedem Test findet grundsätzlich ein persönliches Gespräch statt, in dem die Vorgehensweisen und Möglichkeiten der Untersuhung Ihres Netzwerkes besprochen werden. 

Das Nutzen unseres Systems macht nur dann Sinn, wenn dies individualisiert und speziell mit dem Kunden abgestimmt durchgeführt wird. 

Im Unterschied zu echten Angreifern geht Security Warning System sehr sorgsam mit ihrem Systemen um, um mögliche Informationsausfälle zu vermeiden. 

Es ist uns bewusst, dass die Gefahr ein System zu beschädigen immer im Raum steht. Unser Security Warning System ist jedoch in der Lage, bei eventuellen Gefahren sofort den Test abzubrechen. 

Insgesamt lässt sich das natürlich nicht ausschließen, dass ein Produktivsystem in einer Testphase beschädigt wird oder zumindest betroffen ist. 

Für solche Fälle haben wir eine Hotline eingerichtet, damit wird sofort auf das jeweilige Problem eingegangen und reagiert, um den Schaden so gering wie möglich zu halten und gegebenenfalls auch Hilfe anzubieten.