- Start
- Cyber Security
- Leistungen
- Penetration Tests
- IT-Infrastruktur
IT-Infrastruktur
IT-Infrastruktur Testing
Das IT-Infrastruktur Testing bezeichnet die Untersuchung von Softwaresystemen und IT-Landschaften auf Netzwerkebene aus der Perspektive eines bösartigen Akteurs.
Die Simulation von schadhaften Aktivitäten zur Identifikation von Schwachstellen erfolgt über das öffentliche Internet oder aus dem internen Netzwerk eines Unternehmens und umfasst bspw. die Untersuchung von Netzwerkkomponenten (z. B. Server, Router oder Firewalls), Netzwerkprotokolle und Netzwerkdienste (z. B. Active Directory, SSH, SNMP, IMAP) oder Fernwartungs- und Netzwerkzugängen (z. B. VPN-Zugang) sowie Schutzmaßnahmen auf Netzwerkebene (z. B. Netzwerksegmentierung).
Warum Penetration Testing?
Durch die fortschreitende Digitalisierung insbesondere von Geschäftsprozessen sind zunehmend mehr unternehmenskritische Bereiche über das öffentliche Internet erreichbar. Ein ausreichender Schutz vor bösartigen Angreifern ist daher wichtig, um mögliche technische sowie finanzielle Schäden (z.B. durch Datenverlust, Einschränkung der Verfügbarkeit) zu vermeiden.
Mithilfe von IT-Infrastruktur Testing können Schwachstellen innerhalb eines Netzwerkes durch die Simulation von schadhaften Aktivitäten identifiziert werden, um vorhandene Sicherheitsrisiken für Anwendungen und deren Benutzer zu bestimmen. Durch gezielte Maßnahmenempfehlungen zur Behebung von identifizierten Schwachstellen kann die Softwarequalität im Bereich IT-Sicherheit (Security) erhöht und ein ausreichender Schutz vor erfolgreichen Angriffen gewährleistet werden.
Im Allgemeinen können durch Sicherheitstests die folgenden Schutzziele [1] gemäß dem Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) überprüft werden:
Vertraulichkeit
Integrität
Verfügbarkeit
Ziel
Das Ziel der Testaktivitäten besteht im Allgemeinen aus den folgenden drei Punkten:
Identifikation von vorhandenen Schwachstellen
Empfehlung geeigneter Maßnahmen
Bestimmung des Sicherheitsniveaus
Allgemeine Testmethodik
Unsere Testmethodik im IT-Infrastruktur Testing beruht auf dem Durchführungskonzepts für Penetrationstests und IT-Grundschutz-Kompendium des BSI und dem Vorgehen des Penetration Execution Standards (PTES). Die konkreten Testaktivitäten werden entsprechend dem vereinbarten Kundenziel sowie den technischen Gegebenheiten angepasst.
Nächste Schritte
Nach Abschluss der Untersuchung bestehen verschiedene Anknüpfungspunkte, um die bisherige Analyse wirkungsvoll fortzusetzen. Eine Auswahl sinnvoller Möglichkeiten kann im Gespräch abhängig vom Kundenziel, Kundenwunsch und des Ergebnisses individuell zusammengestellt werden.