Support Tool

iKomm GmbH

#wecreatesecurity

Penetrationtest

Schutz von Unternehmen gegen Cyberkriminalität

Ein Penetrationstest (auch Pentest genannt) ist ein gezielter, autorisierter Sicherheitsangriff auf ein IT-System, Netzwerk oder eine Anwendung, um Schwachstellen zu identifizieren, bevor sie von echten Angreifern ausgenutzt werden können.

Ziel eines Penetrationstests:

  • Sicherheitslücken aufdecken (z. B. in Software, Konfigurationen, Firewalls)
  • Angriffswege simulieren, wie sie ein Hacker nutzen würde
  • Risiken bewerten und Empfehlungen zur Behebung geben

Typische Testziele:

  • Webanwendungen (z. B. Online-Shops)
  • Netzwerke und Server
  • Mobile Apps
  • Cloud-Infrastrukturen
  • Mitarbeiter (z. B. durch Social Engineering)

Testarten:

  • Black Box: Tester hat keine Vorkenntnisse über das Zielsystem.
  • White Box: Tester hat vollständige Informationen (z. B. Quellcode, Zugangsdaten).
  • Gray Box: Mischung aus beiden – begrenzte Informationen stehen zur Verfügung.

Ablauf eines Penetrationstests (vereinfacht):

  1. Planung & Zieldefinition
  2. Informationsbeschaffung
  3. Schwachstellenanalyse
  4. Angriffsversuch (Exploitation)
  5. Auswertung & Bericht

Penetrationtests helfen bei der Aufdeckung von Sicherheitslücken:

Typische Bedrohungen sind:

  • Social Engineering
  • Spionage
  • Komprimittierung des Unternehmensimage
  • Missbrauch der System für Angriffe auf andere Unternehmen
  • Sabotage
  • Diebstahl
  • Denial-of-Service Attacken
  • und vieles mehr

Vorteile von Penetrationtests:

Die Vorteile eines Penetrationstests sind ziemlich stark, besonders wenn man die heutige Bedrohungslage bedenkt. Hier eine Übersicht:

Vorteile eines Penetrationstests:

  1. Frühes Erkennen von Schwachstellen

    • Sicherheitslücken werden aufgedeckt, bevor sie von echten Angreifern ausgenutzt werden können.

  2. Realistische Einschätzung der Sicherheitslage

    • Ein Pentest zeigt praxisnah, wie effektiv vorhandene Sicherheitsmechanismen wirklich sind — nicht nur theoretisch.

  3. Priorisierung von Risiken

    • Der Test hilft, Schwachstellen nach ihrem Schweregrad zu bewerten, sodass Unternehmen sich auf die kritischsten Probleme konzentrieren können.

  4. Schutz von Kundendaten und Firmengeheimnissen

    • Indem Sicherheitslücken geschlossen werden, verringert man das Risiko von Datenschutzverletzungen oder Wirtschaftsspionage.

  5. Erfüllung von Compliance-Anforderungen

    • Viele Standards (z. B. ISO 27001, PCI DSS, DSGVO) verlangen regelmäßige Sicherheitstests. Ein Penetrationstest hilft dabei, diese Vorgaben zu erfüllen.

  6. Steigerung des Vertrauens von Kunden und Partnern

    • Ein nachweislich sicheres System schafft Vertrauen bei Nutzern, Partnern und Investoren.

  7. Schulung und Sensibilisierung des internen Teams

    • Ein Pentest kann zeigen, wo Mitarbeitende unabsichtlich Schwachstellen erzeugen (z. B. durch schlechte Passwortgewohnheiten).

  8. Kostenersparnis im Ernstfall

    • Die Kosten eines Penetrationstests sind meist viel niedriger als die Kosten eines echten Sicherheitsvorfalls (Bußgelder, Imageverlust, Wiederherstellung).

🛒 Beispiel: Penetrationstest eines Online-Shops

📌 Ausgangslage:

Ein mittelständisches Unternehmen betreibt einen Webshop, über den Kunden Produkte kaufen können. Der Shop verarbeitet sensible Daten wie:

  • Kundenadressen
  • Zahlungsinformationen
  • Passwörter

Das Unternehmen möchte sicherstellen, dass der Shop nicht anfällig für Angriffe ist.

🔍 Ablauf des Penetrationstests:

1. Planung & Zieldefinition

  • Ziel: Schwachstellen im Webshop identifizieren, die Angreifer zur Datenabfrage oder Manipulation nutzen könnten.
  • Umfang: Nur der Webshop – keine internen Systeme.

2. Informationsbeschaffung

  • Der Pentester analysiert öffentlich verfügbare Informationen:

    • Shop-Domain
    • verwendete Technologien (z. B. WordPress, Magento, JavaScript-Frameworks)
    • Verzeichnisse über Google („Google Hacking“)

3. Schwachstellenanalyse

  • Automatisierte Tools (z. B. Burp Suite, OWASP ZAP) und manuelle Techniken werden genutzt.
  • Gefundene Schwachstellen:
    • SQL Injection in der Produktsuche
    • Veraltete Version des Web-Frameworks mit bekannten Sicherheitslücken
    • Keine Rate-Limiting-Funktion beim Login (Brute-Force möglich)
    • Session-IDs werden nicht sicher genug gesetzt

4. Angriffsversuche (Exploitation)

  • Der Tester führt eine kontrollierte SQL-Injection durch und liest z. B. die Tabelle mit E-Mail-Adressen aus.
  • Führt ein Passwort-Brute-Force durch – erfolgreich nach 250 Versuchen.
  • Demonstriert einen Angriff, bei dem ein Angreifer sich als anderer Benutzer einloggen kann.

5. Auswertung & Bericht

  • Der Tester liefert einen Bericht mit:
    • Beschreibung jeder Schwachstelle
    • Bewertung der Kritikalität (z. B. hoch, mittel, niedrig)
    • Konkrete Handlungsempfehlungen
      • Framework updaten
      • Prepared Statements für Datenbankabfragen verwenden
      • Login-Versuche begrenzen und Captcha einführen

Ergebnis:

  • Schwachstellen wurden erkannt und schnell behoben.
  • Der Shop ist nun deutlich besser geschützt.
  • Das Unternehmen dokumentiert den Test als Teil seiner Sicherheits- und DSGVO-Strategie.

Haben wir Ihr Interesse geweckt?

Gerne bereiten wir Ihnen ein Angebot vor. Bei Fragen stehen Ihnen unsere Techniker Rede und Antwort.
Möchten Sie weiteres Infomaterial erhalten, können Sie uns gerne telefonisch kontaktieren oder uns einen Nachricht hinterlassen.

Security Lösungen
IT Lösungen
Awareness Security
E-Mail Security
CONsulting
Managed services

iKomm GmbH

Innovative Kommunikation
Facebook Linkedin Twitter Instagram Wordpress Youtube
JETZT AKTUELLE IKOMM NACHRICHTEN PER MESSENGER ERHALTEN.

Laden Sie die offizielle Telegram Messenger APP aus dem APP-Store fügen Sie unseren Channel hinzu um aktuelle Neuigkeiten direkt per Push auf Ihr Smartphone zu bekommen.

Ihr Draht zu uns:

Zentrale:
Vertrieb:
Support:

Copyright © 2025 – Alle Rechte vorbehalten | iKomm GmbH Hans-Bornkessel-Straße 45 90763 Fürth | www.ikomm.de | msp.ikomm.de Kontakt: vertrieb@ikomm.de | Telefon: +49 (0) 911 – 30 91 8 – 0

Nach oben scrollen