Sie befinden sich hier:
  1. Start
  2. Cyber Security
  3. Leistungen
  4. Penetration Tests
  5. IT-Infrastruktur

IT-Infrastruktur

IT-Infrastruktur Testing

Das IT-Infrastruktur Testing bezeichnet die Untersuchung von Softwaresystemen und IT-Landschaften auf Netzwerkebene aus der Perspektive eines bösartigen Akteurs.

Die Simulation von schadhaften Aktivitäten zur Identifikation von Schwachstellen erfolgt über das öffentliche Internet oder aus dem internen Netzwerk eines Unternehmens und umfasst bspw. die Untersuchung von Netzwerkkomponenten (z. B. Server, Router oder Firewalls), Netzwerkprotokolle und Netzwerkdienste (z. B. Active Directory, SSH, SNMP, IMAP) oder Fernwartungs- und Netzwerkzugängen (z. B. VPN-Zugang) sowie Schutzmaßnahmen auf Netzwerkebene (z. B. Netzwerksegmentierung).

Warum Penetration Testing?

Durch die fortschreitende Digitalisierung insbesondere von Geschäftsprozessen sind zunehmend mehr unternehmenskritische Bereiche über das öffentliche Internet erreichbar. Ein ausreichender Schutz vor bösartigen Angreifern ist daher wichtig, um mögliche technische sowie finanzielle Schäden (z.B. durch Datenverlust, Einschränkung der Verfügbarkeit) zu vermeiden.

Mithilfe von IT-Infrastruktur Testing können Schwachstellen innerhalb eines Netzwerkes durch die Simulation von schadhaften Aktivitäten identifiziert werden, um vorhandene Sicherheitsrisiken für Anwendungen und deren Benutzer zu bestimmen. Durch gezielte Maßnahmenempfehlungen zur Behebung von identifizierten Schwachstellen kann die Softwarequalität im Bereich IT-Sicherheit (Security) erhöht und ein ausreichender Schutz vor erfolgreichen Angriffen gewährleistet werden.

Im Allgemeinen können durch Sicherheitstests die folgenden Schutzziele [1] gemäß dem Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) überprüft werden:
Vertraulichkeit
"Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein."
Integrität
"Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen."
Verfügbarkeit
Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Ziel

Das Ziel der Testaktivitäten besteht im Allgemeinen aus den folgenden drei Punkten:
Identifikation von vorhandenen Schwachstellen
und Fehlkonfigurationen innerhalb des Anwendungssystems bzw. der IT-Landschaft.
Empfehlung geeigneter Maßnahmen
zur Behebung der Schwachstellen, um die Resistenz der IT-Infrastruktur vor möglichen internen und externen Angreifern zu erhöhen.
Bestimmung des Sicherheitsniveaus
der IT-Infrastruktur zum Zeitpunkt der Testdurchführung auf Basis der Testergebnisse.

Allgemeine Testmethodik

Unsere Testmethodik im IT-Infrastruktur Testing beruht auf dem Durchführungskonzepts für Penetrationstests und IT-Grundschutz-Kompendium des BSI und dem Vorgehen des Penetration Execution Standards (PTES). Die konkreten Testaktivitäten werden entsprechend dem vereinbarten Kundenziel sowie den technischen Gegebenheiten angepasst.

Nächste Schritte

Nach Abschluss der Untersuchung bestehen verschiedene Anknüpfungspunkte, um die bisherige Analyse wirkungsvoll fortzusetzen. Eine Auswahl sinnvoller Möglichkeiten kann im Gespräch abhängig vom Kundenziel, Kundenwunsch und des Ergebnisses individuell zusammengestellt werden.
Weitere Testaktivitäten auf Netzwerkebene
Konnten durch bisherige Penetrationstests nicht alle Bereiche des Netzwerks ausreichend untersucht werden, so ist eine Ausweitung auf weitere Netzwerkbereiche möglich.
Web Application und Web Service Penetration Testing
Die bisherigen Testaktivitäten können auf einzelne Anwendungssysteme innerhalb des Netzwerks fokussiert werden, um eine Anwendungs-spezifischere Analyse des Sicherheitsrisikos durch zu führen.
Sicherheitsberatung
Auf Basis gewonnener Erkenntnisse und identifizierter Schwachstellen können allgemeine oder anwendungsspezifische Themen im Bereich IT-Sicherheit, Best-Practices oder Know-How zur Sensibilisierung oder für Lösungsansätze vermittelt werden.
Systemhardening
Durch eine gezielte Überprüfung von Anwendungssystemen, die im Netzwerk erreichbar sind, auf Konfigurationsebene, kann die Testabdeckung erhöht werden.