Penetrationstests

Grundsätze der Vorgehensweise bei Penetrationstests

Detaillierte Informationen zu der prinzipiellen Vorgehensweise und den damit in unserem Hause geltenden Durchführungsstandards finden Sie im Whitepaper-Penetrationstest, welches von uns bereits im Jahr 2003 entwickelt wurde. Die Methodik bei der Durchführung von Penetrationstests wird von uns stets aktualisiert und optimiert, so dass wir ein hoch-spezialisiertes und ein auf Kundensituationen hin angepasstes Vorgehensmodell vorweisen können. Das Whitepaper wurde bereits mehrfach in Fachzeitschriften als Fachartikel publiziert.

Sicherheitsüberprüfungen wie ein Penetrationstest müssen Grundsätzen genügen, um für den Geprüften ein nutzbares Ergebnis zu erzielen. secuvera folgt diesen:

Nachvollziehbarkeit

„Sicherheit ist kein Voodoo“ – dies gilt auch und insbesondere für Penetrationstests. Im Gegensatz zu einigen Marktbegleitern legt secuvera die gesamte Prüfmethodik inkl. der verwendeten Prüfwerkzeuge bei jedem Penetrationstest dem Kunden gegenüber offen. Durch das Whitepaper stehen diese Informationen bereits im Vorfeld und ohne Kundenbeziehung zur Verfügung. Bei einem erfolgten Penetrationstest muss den Geprüften unbedingt das Ergebnis auf verständliche Art und Weise präsentiert werden. Daher werden unseren Kunden alle Log-Dateien der Prüfwerkzeuge und auf Wunsch sogar der gesamte Datenverkehr der Prüfungen zur Verfügung gestellt. Der Ergebnisbericht wird vollständig manuell erstellt.

Automatisierte Ergebnisberichte von Prüfwerkzeugen sind lediglich im Anhang des Ergebnisberichts zu finden. Dabei werden möglichst konkrete Hinweise zur Behebung von gefundenen Schwachstellen gegeben. Ebenso wird auf Wunsch ein Kick-Off, als auch ein Abschluss-Workshop angeboten.

Wiederholbarkeit

Um überhaupt in die Lage versetzt zu werden, die erfolgreiche Behebung von Schwachstellen zu prüfen, muss die Art der Prüfung und wie das Ergebnis in einem Penetrationstest gewonnen wurde, jederzeit transparent sein. Daher werden die hierfür relevanten Informationen vollständig zur Verfügung gestellt.
Darüber hinaus müssen identische Prüfungen bei gleicher Methodik und gleichem Prüfziel das gleiche Ergebnis hervorrufen. Das klingt selbstverständlich, ist bei Penetrationstests jedoch nur mit etablierten Methoden und hoher Fachkompetenz möglich.

Qualifikation

„A fool with a tool is still a fool“ – secuvera bietet bereits seit Ende der 90er Jahre Penetrationstests als Dienstleistung an. Unser Know-How wird durch interne Fortbildungen, externe Schulungen und die Dokumentation von Abläufen sowie die definierte interne Kommunikation stets weiterentwickelt und gleichzeitig bewahrt. Es genügt nicht, die vermeintlich besten Prüfwerkzeuge einzusetzen und sich auf diese zu verlassen. Jedes Prüfwerkzeug unterliegt prinzipbedingten Schwächen, die ein Prüfer kennen muss, um diese durch händische Prüfungen bei der Durchführung des Penetrationstestss auszugleichen und zu ergänzen.

Die Qualifikation unserer Penetrationstester ergibt sich unter anderem durch

  • die unabhängige fachliche Prüfung als BSI-zertifizierter Penetrationstester,
  • die Veröffentlichung von Fachartikeln zu Schwerpunktthemen in der einschlägigen Presse,
  • als auch durch die Veröffentlichung von neu gefundenen Schwachstellen in Produkten.

Darüber hinaus ist secuvera BSI-zertifzierter IT-Sicherheitsdiensleister für Penetrationstests. Hierbei werden durch das Bundesamt im Rahmen jährlicher Audits das Informationsicherheitsmanagementsystem und das Qualitätsmanagementhandbuch geprüft. Darüber hinaus wurden unsere Penetrationstester fachlich geprüft.

Standards

Es existieren diverse Standards für die Durchführung von Penetrationstests. Die im Folgenden beschriebene Methodik eignet sich, um Prüfungen konform zu verschiedenen etablierten Prüfstandards vorzunehmen. Zu nennen sind hierbei insbesondere:

Der Tellerrand

Technische Prüfungen wie ein Penetrationstest zeigen technische Schwachstellen auf. Darüber hinaus kann aus diesen technischen Schwachstellen auch auf mögliche Schwächen in internen Prozessen abgeleitet werden. Hierfür benötigen die Prüfer ein Grundverständnis dieser organisatorischen Abläufe. Ebenso lassen sich diese Erkenntnisse vor etablierten Standards spiegeln. Daher sind alle unsere Penetrationstester auch mit Standards wie der ISO 27001 auf der Basis von IT-Grundschutz oder den PCI-DSS vertraut und kennen daher die Anforderungen dieser Standards, die nicht direkt im Bezug zu Penetrationstests stehen.

Darüber hinaus sind Mitarbeiter der secuvera in verschiedenen nicht profitorientierten Projekten tätig, so z. B. im Open Web-Application Security Project (OWASP).