Häufig gestellte Fragen

Was ist ein Penetrationstest?

Ein Penetrationstests (auch Pentest genannt) ist eine Sicherheitsprüfung von Applikationen und Infrastruktur eines Unternehmens, durchgeführt von einem IT-Sicherheits-Experten. Durch diese Simulation werden Schwachstellen aufgedeckt, die im Ernstfall zum Abfluss von Daten oder hohen finanziellen Schäden führen könnten. Durch die Prüfung können Empfehlungen zu Maßnahmen zum Schutz vor Angriffen gegeben und die IT-Sicherheit der Systeme gestärkt werden. Weitere Informationen

Wie lange dauert ein Penetrationstest?

Eine Sicherheitsprüfung umfasst in der Regel mindestens zwei Tage und kann bis zu mehreren Wochen ausgeweitet werden. Empfohlen werden Prüfungen mit mindestens 5 Tagen, um eine ausreichende Abdeckung sowie Tiefe der Sicherheitsprüfung zu gewährleisten.

Wie läuft ein Penetrationstest ab?

Ein Penetrationstest startet mit einem kostenlosen Erstgespräch, in dem der ungefähre Umfang der Prüfung besprochen wird.
Nach einer Beauftragung wird ein Kick-off-Gespräch terminiert, in dem alle notwendigen Punkte für eine erfolgreiche Prüfung geklärt werden.
Mit den Inhalten des Gesprächs wird ein Kick-off-Protokoll erstellt, welches durch eine Freigabe durch den Kunden bestätigt wird.
Anschließend wird im vereinbarten Zeitraum die Sicherheitsprüfung (manuelle sowie automatisierte Prüfungen) durchgeführt und Befunde in einem detaillierten Bericht dokumentiert. Dieser wird nach der Prüfung dem Kunden bereitgestellt und eine Ergebnisbesprechung durchgeführt.
Zuletzt können behobene Schwachstellen durch einen optionalen Nachtest geprüft werden.

Was kostet ein Nachtest?

Wird der Nachtest, der durchgeführten Maßnahmen, zeitnah und ohne fundamentale Systemänderungen angefragt, wird dieser kostenlos (bis zu einem halben Tag) durchgeführt.

Wird ein Beispielbericht zur Verfügung gestellt?

Ein Beispielbericht kann jederzeit angefragt werden. Der Bericht enthält ein fiktives Szenario, um ein beispielhaftes Ergebnis eines Projektes widerzuspiegeln. Derzeit wird nur ein Beispielbericht für eine Sicherheitsprüfung einer Webapplikation in englischer Sprache zur Verfügung gestellt.

Was bedeutet Phishing?

Unter Phishing werden Angriffe zusammengefasst, bei denen Unternehmen und Einzelpersonen per E-Mail benachrichtigt werden. Solche E-Mails bestehen unter anderem aus gefälschten Dienstnachrichten (beispielsweise Feature-Updates eines Dienstes) oder Nachrichten des Vorgesetzten. Meist sind Zugangsdaten, Finanzinformationen oder andere sensiblen Daten Ziel des Angriffs.

Was ist der Unterschied zwischen einem Penetrationstest und einem Schwachstellenscan?

Ein Penetrationstest wird durch einen Experten mittels automatisierten sowie manuellen Prüfungen durchgeführt. Bei manuellen Prüfungen wird die Kreativität des Hackers gefragt, wodurch auch komplizierte Zusammenhänge verstanden und Fehler aufgefunden werden können.
Ein Schwachstellenscan im Gegensatz ist ein rein automatisierter Vorgang, um beispielsweise Konfigurationsfehler und bekannte Schwachstellen (CVE) effizient aufzudecken. Zudem können oft vergessene Systeme wiederentdeckt werden. Die Ergebnisse werden in einem Bericht aufbereitet.

Kontakt