Ablauf eines Penetrationstests

Sie möchten ein Angebot für einen Penetrationstest, eine Angriffssimulation? Sehr gerne. Wir möchten volle Transparenz in unseren Angeboten liefern. Daher kalkulieren wir zum Festpreis und beschreiben detailliert die projekt-individuelle Vorgehensweise. Manche Anbieter senden Ihnen Blanko-Angebote oder Fragebögen. Wir nicht. Wir bieten Ihnen ein kostenfreies Erstgespräch an, um die ideale Prüfmethodik für Ihr Prüfziel gemeinsam abzuleiten. Dabei bieten wir Ihnen ein breites Prüfportfolio (salopp gesprochen „alles außer SAP-Security“). Die Planung – das sogenannte Scoping – eines Penetrationstests ist eine eigene Fachdisziplin (wir bieten dazu sogar Workshops an).

Manchmal kommt bei diesen Gesprächen sogar heraus, dass ein Penetrationstest für Ihre Zielvorstellung gar nicht geeignet ist, sondern z. B. ein Cyber-Sicherheits-Check oder eine sinnvolle Kombination aus beidem für Sie viel nützlicher wäre. Unsere Aufgabe ist es – dem Wert der nachhaltigen Beratung folgend – für Sie die effizienteste und methodisch am Besten geeignetste Vorgehensweise herauszufinden.

Nutzen Sie einfach unsere Terminbuchungsplattform und vereinbaren Sie jetzt ein Gespräch.

Nach Erhalt eines Auftrags meldet sich Ihr Projekleitender umgehend bei Ihnen, um die Auftaktbesprechung abzustimmen. Bei dieser Besprechung wird das Ziel der Prüfung genau bestimmt. Zudem werden die für die Prüfung wichtigen Parameter abgestimmt, so werden während dieser Auftaktbesprechung alle Termine kommuniziert und abgesprochen, und in einem Zeitplan festgehalten. Zudem werden die aufgrund der verschiedenen Gegebenheiten und Forderungen an eine Sicherheitsüberprüfung möglichen Zugangswege besprochen (über das Internet, über ein VPN-Zugang oder Vor-Ort). Des Weiteren werden z. B. für eine Webanwendungs-Prüfung verschiedene Benutzerzugänge benötigt, die in der Prüfung untersucht werden sollen. Zusätzlich lassen sich auch individuelle Anforderungen an die Überprüfung besprechen, auf die während der Durchführung geachtet werden soll. Ebenso wird dabei auch die Durchführung auf eventuelle kritische Faktoren untersucht, und diese Faktoren minimiert oder eventuell entfernt, um das Risiko welches durch eine Sicherheitsüberprüfung entsteht zu minimieren. Die Besprechung erfolgt entlang einer Frageliste notwendiger Absprachen, die über viele Jahre stets weiterentwickelt wurde.

Im Freigabeformular werden der Testzeitraum, die Zielsysteme und/oder -Anwendungen und der Ansprechpartner während der Prüfung auf beiden Seiten festgelegt. Darüber hinaus wird vom Projektleiter ein Projektplan erstellt und dem Kunden gesendet. Im Projektplan sind die einzelnen Projektschritte hinterlegt. Eine Besonderheit in unseren Plänen ist sicherlich die interne Auftaktbesprechung. Jede Prüfer erstellt einen prüfspezifischen Testplan, der in dieser internen Auftaktbesprechung dem jeweiligen Projektleiter vorgestellt wird. Der Projektleiter prüft dabei die Qualität des Prüfplans und gleichzeitig eine Grundlage für die Durchführung der abschließenden fachlichen Qualitätssicherung. Ein beispielhafter Projektplan sieht wie folgt aus:

Die Ziele und Vorgehensweisen wurden ja bereits vor dem Angebot besprochen und im Kick-Off im Detail besprochen.

Prüfungen, die über das Internet erfolgen, erfolgen ausgehend von unserem Firmenstandort aus. Sämtliche Tests über das Internet werden aus einem isolierten Netzbereich durchgeführt, der über keine Verbindung in das Datennetz der secuvera verfügt. Die Tests werden über Internetanbindungen mit festen IP-Adressen durchgeführt, so dass eine Nachvollziehbarkeit der Tests in den Logdaten der Firewall-Umgebung und der Server für den Kunden möglich ist.

Prüfungen vor Ort können alternativ zum Vor-Ort-Einsatz mit unserer Pentest-Box erfolgen. Dies reduziert Koordinationsaufwände maximal und macht die Tests sehr effektiv. Die Box hat nur zwei Stecker: Strom und Netzwerk. Sie konfigurieren den Netzzugang so, dass wir auf die zu prüfenden Systeme/Netze/Anwendungen kommunizieren können. Die Verbindung zu uns wird über Ihren Internetzugang oder eine eingebaute LTE-Karte über einen sicheren VPN-Kanal aufgebaut.

In dieser Zeit steht Ihnen Ihre Projektleitung immer bei Rückfragen zur Verfügung und im Notfall natürlich unsere Hotline.

Auf Wunsch oder aus Sachzwängen heraus, kommen wir aber natürlich auch gerne persönlich zu Ihnen.

Ergebnis der Prüfung ist jeweils ein umfassender und im Rahmen eines Gesamtdokumentes formeller und manuell erstellter Ergebnisbericht. Die Berichtssprache ist Deutsch oder Englisch. Optional wird wie gewünscht ein sogenanntes Negativ-Reporting im Ergebnisbericht angeboten, bei dem der vollständige Prüfungsablauf transparent dem Auftraggeber offengelegt wird. Es kann wahlweise eine vom Kunden zur Verfügung gestellte oder die secuvera-eigene Berichtsvorlage für die Dokumentation herangezogen werden.

Anhand des Ergebnisberichts lassen sich die durchgeführten Analysen nachvollziehen und deren Ergebnisse und etwaige Verbesserungsmöglichkeiten und Maßnahmen zur Risikominimierung einfach verstehen. Sofern während der Prüfung schwerwiegende Sicherheitsprobleme identifiziert werden konnten, werden diese unmittelbar dem Ansprechpartner des jeweiligen Leistungspakets berichtet und das weitere Vorgehen zur Beseitigung dieser Probleme wird mit den Verantwortlichen Mitarbeitern des Auftraggebers besprochen.

Die Bewertung der identifizierten Schwachstellen und Auffälligkeiten im Ergebnisbericht erfolgt anhand der im Auftaktgespräch abgestimmten Bewertungsgrundlagen. Bewertungen erfolgen im Regelfall mit dem Industriestandard CVSS, wir nutzen – wenn vorhanden – natürlich auch Ihren Hausstandard. Natürlich mappen wir auch zusätzlich auf die von Ihnen vorgegebenen Standards wie etwa ISO 27001.

In jedem Ergebnisbericht wird ein Management-Summary erstellt, in dem eine kurze nicht-technische Bewertung und Erklärung der identifizierten Schwachstellen stattfindet. Dieses wird auf Wunsch auch in Englisch zusätzlich zur deutschsprachigen Zusammenfassung dokumentiert.

Jeder Ergebnisbericht durchläuft zwingend die im Qualitätsmanagement-Handbuch (QMH, nach ISO 17025) der secuvera festgelegten Qualitätssicherungsschritte. Der Qualitätssicherungsprozess im Bereich Penetrationstest umfasst die nachfolgend aufgezählten und aufeinander folgenden Schritte:

1. Fachliche Qualitätssicherung und stichprobenartige Verifizierung durch einen Penetrationstester, der nicht bei den Prüfungen beteiligt war,
2. Einarbeitung der Rückmeldungen aus der fachlichen Qualitätssicherung durch den Penetrationstester,
3. Abnahme der Änderungen durch den Qualitätssicherer, sofern nötig,
4. Lektorat auf Rechtschreib- und Grammatikfehler
5. Einarbeitung der Rückmeldungen aus dem Lektorat

Ein Ergebnisbericht wird maximal 5 Arbeitstage nach Ende des Penetrationstests in der aus Sicht des Penetrationstesters finalen Version zur Abstimmung mit dem Kunden an diesen übermittelt werden. Da gravierende Sicherheitslücken durch den Prüfer ad-hoc telefonisch oder persönlich (bei Vor-Ort-Tests) übermittelt werden, entsteht dadurch dem Kunden aus unserer Sicht keine gravierende Verzögerung des Informationsflusses.

Jegliche angefallenen Log-Dateien der Prüfwerkzeuge werden dem Auftraggeber zur Verfügung gestellt, auf Wunsch sogar des gesamten Datenverkehrs der während der Prüfung angefallen ist. Diese Log-Dateien werden in maschinenlesbaren Formaten (XML/CSV) aber auch im PDF-Format übergeben.

In einem telefonischen Abschlussgespräch werden die Ergebnisse anhand des dafür vorliegenden Ergebnisberichts besprochen und etwaige Fragen geklärt. In einer alternativen Berichts-Präsentation vor Ort werden die Ergebnisse den technischen Ansprechpartnern des Kunden vorgestellt und die empfohlenen Gegenmaßnahmen besprochen. Auf Wunsch kann im Rahmen dieses Termins auch eine Management-Präsentation stattfinden.

Im Anschluss an die Review-Phase erhalten Sie nach Ablauf von max. 5 Arbeitstagen den final abgestimmten Bericht.

Für den sicheren Austausch von Daten stellt secuvera eine sichere, in den eigenen Räumlichkeiten betriebene Austauschplattform bereit.

Hier können Sie einen Beispielbericht herunterladen.

Das beschriebene Vorgehen ist unser Standard. Selbstverständlich passen wir uns Ihren Vorgaben an. Insbesondere große Kunden haben eigene Abläufe und Prozesse. Wir sind es gewohnt, diesen Vorgaben zu folgen.

Einige Punkte fehlen? Dafür gibt es Gründe 😉

Es fehlt die „Aufklärungsphase/Reconnaissance“. Die ist bei uns möglich, aber nicht Standard. Warum? Dazu haben wir einen ganzen Artikel geschrieben.

Es fehlt die Ausnutzung von Schwachstellen (Exploitation). Ein Pentest stellt Schwachstellen fest. Das Ausnutzen kann je nach Typ der Schwachstelle allein für die Erkennung schon notwendig sein (z. B. „SQL-Injection“). In vielen Fällen ist das Ausnutzen jedoch in erster Linie ein Risiko für das Prüfobjekt und mit geringem Erkenntnisgewinn für Sie verbunden. Daher verzichten wir im Regelfall darauf.

Lassen Sie uns gerne über Ihre „Abers“ reden.