Penetrationstest / Pentest

IT-Sicherheit ist nicht nur eine Frage des Schutzes des eigenen Unternehmens, sondern auch eine Frage der gesellschaftlichen Verantwortung, sensible Informationen zu schützen und sicherzustellen, dass die eigenen Dienstleistungen den Kunden nachhaltig angeboten werden können.

Wie funktioniert ein Penetrationstest?

Ein IT-Sicherheits-Penetrationstest dient der Bewertung des Angriffspotenzials auf IT-Netzwerke und -Systeme. Dabei können sowohl die installierten Anwendungen als auch die zugrundeliegenden Trägersysteme überprüft werden. Typische Testziele sind Webanwendungen, mobile Anwendungen, Netzwerkkomponenten, Security Gateways und Server.

Es gibt zwei Haupttypen von Tests: Blackbox- und Whitebox-Tests. Blackbox-Tests simulieren Angriffe mit begrenzten Informationen, während Whitebox-Tests auf umfassenden Informationen basieren. Die Berlin Cert konzentriert sich auf Whitebox-Tests, da diese gründlicher sind und weniger Risiken bergen. Die Tests können in unterschiedlicher Tiefe durchgeführt werden, wobei destruktive Tests vermieden werden.

Wir setzen automatisierte Schwachstellenscanner ein, die individuell an die Kundenbedürfnisse und Testobjekte angepasst werden. Ziel unserer Dienstleistungen ist es, Schwachstellen aufzudecken, ohne unnötige Risiken einzugehen.

Ein Pentest ist auch eine optimale Ergänzung eines Managementsystem für Informationssicherheit (ISMS). Daher ist er z. B. für digitale Gesundheitsanwendungen (DiGA) verbindlich vorgeschrieben.

Unsere Leistungen

Was ist der Mehrwert eines Pentests?

  • Stärken des Vertrauens von Kunden, Partnern und Lieferanten
    Webanwendungen sind oft kundenorientiert, was bedeutet, dass ihre Sicherheit einen direkten positiven Einfluss auf den Datenschutz und damit auf das Vertrauen der Kunden hat.
    Darüber hinaus zeigen Sie Ihren Partnern und Lieferanten, dass Sie den Datenschutz ernst nehmen und Maßnahmen ergreifen, um Ihre Geschäftsaktivitäten abzusichern.
  • Einhalten gesetzlicher Vorschriften
    Viele Branchen und Datenschutzgesetze verlangen regelmäßige Sicherheitstests von Webanwendungen. Wenn Sie mit diesen Tests beginnen, verbessern Sie nicht nur die Sicherheit, sondern erfüllen auch Vorschriften wie die Datenschutz-Grundverordnung der Europäischen Union.
  • Erhöhen der Sicherheit:
    Die in unserem Prüfbericht zusammengefassten Ergebnisse sind in der Regel leicht zu interpretieren und umzusetzen. Sie erhalten eine nach Schweregrad geordnete Liste der Schwachstellen, oft mit Empfehlungen für Abhilfemaßnahmen. Dies erleichtert es Ihrem IT-Team, Prioritäten zu setzen und Maßnahmen zu ergreifen.

Wie läuft ein Penetrationstest ab?

Ablauf Penetrationstest

Zunächst legen Sie gemeinsam mit dem verantwortlichen Tester Ziel und Umfang des Penetrationstests fest. Folgend beschaffen wir uns alle grundlegenden Informationen über das zu testende System - genau so, wie es mögliche Angreifer tun.

In dieser Phase überprüfen wir ihr System systematisch auf Sicherheitsrisiken und bewerten diese.

Unsere IT-Sicherheitsexperten überprüfen die Schwachstellen nun gezielt, um spezifische Einfallstore zu identifizieren.

Alle Ergebnisse werden nun zu einem Risikoprofil des getesteten Systems zusammengefasst.

Der größte Mehrwert für unsere Kunden entsteht durch unseren detaillierten Bericht über die gefundenen Schwachstellen und die Übersicht möglicher Handlungsansätze.

FAQ Penetrationstests

Wir empfehlen Ihnen mit unserem Basispaket zu starten. Durch einen klar definierten Umfang variiert der Preis nur nach der Anzahl und den Ausprägungen Ihrer Software.  Das Paket beinhaltet alle Schritte, von der Planung über die Erkundung bis zum aussagekräftigen Bericht - also ein solides Ergebnis ohne versteckte Kosten.

Erst nach erfolgtem Basistest entscheiden wir gemeinsam mit Ihnen für jedes Ihrer Produkte, ob zusätzliche Prüfungen sinnvoll sind.
Wir lassen Ihnen gerne ein Angebot zukommen: Angebot anfragen

Ein Pentest sollte idealerweise so früh wie möglich im Entwicklungsprozess durchgeführt werden, um Schwachstellen und potenzielle Risiken zu ermitteln. So können Sie Sicherheitsprobleme proaktiv angehen und spätere kostspielige Korrekturen vermeiden. Der perfekte Startzeitpunkt für einen Pentest hängt unter anderem ab von

  • der Art des Produkts,
  • seinem Entwicklungszyklus und
  • etwaigen gesetzlichen Anforderungen.

Wir empfehlen Ihnen, gemeinsam mit unseren Experten den für Ihr spezifisches Projekt am besten geeigneten Zeitplan zu ermitteln.

Wie oft ein Pentest durchgeführt werden sollte, hängt von verschiedenen Faktoren ab, z. B.

  • von der Häufigkeit größerer Codeänderungen,
  • der Integration und Art neuer Funktionen oder
  • der Bereitstellung neuer Infrastrukturkomponenten.

Wir empfehlen, mindestens einmal im Jahr oder nach größeren Aktualisierungen einen Pentest durchzuführen, um sicherzustellen, dass Ihre Systeme auf dem neuesten Stand und resistent gegen aktuelle Bedrohungen sind. Denken Sie daran, dass sich die Cybersicherheitslandschaft ständig weiterentwickelt. Daher ist es wichtig, regelmäßige Bewertungen durchzuführen, um ein starkes Sicherheitslevel zu erreichen.
Es kann auch notwendig sein, häufiger Tests durchzuführen, z.B. wenn Ihr Unternehmen bestimmten Compliance-Anforderungen unterliegt oder in einer Hochrisikobranche tätig ist.

Sobald der Pentest abgeschlossen ist, erhalten Sie einen umfassenden, professionellen Bericht, in dem die Ergebnisse ausführlich beschrieben werden. Dieser Bericht enthält eine Übersicht der entdeckten Schwachstellen, ihrer potenziellen Auswirkungen und Ansätze für Korrekturmaßnahmen. Zusätzlich zum schriftlichen Bericht bieten wir Ihnen eine persönliche Präsentation an, um sicherzustellen, dass Sie die Ergebnisse und mögliche Auswirkungen genau verstehen.
Unser Ziel ist es, Sie dabei zu unterstützen, sichere Softwareprodukte zu entwickeln und damit Ihre Kunden und Ihre Systeme vor potenziellen Bedrohungen zu schützen.