Rahmenbedingungen

Rahmenbedingungen

Rahmenbedingungen

Penetrationstest werden von der European IT-Security GmbH nur in enger Abstimmung mit dem Auftraggeber durchgeführt. Durch die unterschiedlichsten IT-Systemlandschaften können sich, während eines laufenden Penetrationstest, neue Informationen und somit auch neue Testziele ergeben die vorher nicht abzusehen waren. Aus diesem Grunde ist eine enge Kommunikation zwischen Auftraggeber und Auftragnehmer unumgänglich.

Angekündigte oder unangekündigte Prüfung

Das Ziel von Penetrationstest ist die Aufdeckung technischer, keinesfalls menschlicher Defizite. Unangekündigte Test werden in den meisten Fällen von den Betroffenen als letzteres verstanden.

Daher empfiehlt die European IT-Security GmbH mit allen beteiligten über geplante Penetrationstest zu sprechen um diese Dienstleistung als positive zu empfinden und die Ergebnisse effizient bearbeiten zu können.

Transparenz

Die European IT-Security GmbH legt großen Wert darauf, dass der Auftraggeber aufgedeckte Sicherheitslücken während eines Penetrationtest nachvollziehen kann. Denn wenn es darum geht die IT-Sicherheit Ihres Unternehmens zu verbessern dann ist es kontraproduktiv unsere Dienstleistung als geheimnisvoll und fremdartigen Ablauf anzubieten.

Die gewünschte Transparenz erreicht die European IT-Security GmbH durch folgende Punkte:

  • Eine Dokumentation wird mit dem erklärten Ziel erstellt, Sicherheitslücken nachvollziehbar zu machen
  • Auf Wunsch wird eine Ergebnispräsentation durch den Consultant der European IT-Security GmbH gehalten, der auch den Penetrationstest durchgeführt hat.

Flexibilität

Die European IT-Security GmbH arbeitet bei einem Penetrationstest nicht nach einem festen Schema, sondern gestaltet die Durchführung flexible. Das hat den Grund, weil jedes IT-Netz anders ist und jeder Schritt in einem Penetrationstest vom vorherigen Schritt abhängt. Zusätzlich kann sich der Schwerpunkt während eines Penetrationstest durch neu erlangte Erkenntnisse verschieben.

Werkzeuge (Tools)

Für den Ablauf und für die verwendeten Tools in einem Penetrationstest ist der Consultant der European IT-Security GmbH verantwortlich. Daher ist die folgende Übersicht nur als Auszug unserer im einsatzbefindlichen Tools zu verstehen:

  • Portscanner wie Nmap oder Unicornscan werden für System- und Diensterkennung eingesetzt.
  • Nessus und OpenVas kommen im Bereich der automatischen Schwachstellenermittlung zum Einsatz.
  • Für einzelne Dienste kommen Tools wie z.B. Smtpscan, Dnswalk, Relayscanner usw. zum Einsatz.
  • Manuelle Überprüfungen werden mit dem Framework Metasploit durchgeführt.
Für Webanwendungen werden Tools wie Burp Suite, OWASP ZAP oder Webscrab eingesetzt.

Risiko Denial-of-Service

Diesem Risiko widmet die European IT-Security GmbH besondere Bedeutung zu. Ein DoS-Angriff ist nicht das Ziel eines Penetrationstests und wird aus diesem Grunde zum Schutz der Systeme auch nicht von den Consultants angewendet. Ausnahme bilden explizite Wünsche des Auftraggebers, denn in bestimmten Fällen kann ein DoS-Angriff sinnvoll sein.

Mehr zum Thema

Facebook Twitter Google+ Pinterest
×

Log in