Ablauf
Typischerweise beinhaltet ein Penetrationstest bei RedTeam Pentesting drei Phasen. Nach der initialen Kontaktaufnahme führen wir zunächst ein Vorgespräch mit Ihnen durch, um Ihre individuellen Anforderungen zu verstehen. Auf dieser Grundlage erstellen wir Ihnen ein individuelles Angebot. Anschließend wird der Pentest in einem vereinbarten Zeitraum von einem Team aus drei Penetrationstester*innen durchgeführt. Zuletzt werden die Ergebnisse in einem Abschlussgespräch mit Ihnen gemeinsam besprochen.
Vorgespräch
In einem ausführlichen Vorgespräch wird gemeinsam mit Ihnen erarbeitet, mit welchem Ziel und in welchem Rahmen der Penetrationstest durchgeführt werden soll. Aufgrund der vielen verschiedenen Arten von Systemen, die Ziel eines Penetrationstests sein können, ist jeder Test individuell. Durch unsere langjährige Erfahrung und der Spezialisierung auf Penetrationstests können wir Kunden dahingehend kompetent beraten. Es ist uns sehr wichtig für unsere Kunden sinnvolle Tests durchzuführen mit dem Ziel, das Sicherheitsniveau der getesteten Systeme nachhaltig zu verbessern. Daher wird zunächst in diesem Gespräch ermittelt, ob ein Penetrationstest in der gegebenen Situation das Mittel der Wahl ist und wie dieser sinnvoll gestaltet werden kann. Weiterhin wird auch der zeitliche Rahmen des Tests abgeschätzt. Für diese Abschätzung werden unter anderem die Größe und Komplexität der zu testenden Systeme berücksichtigt. Unser Anspruch ist dabei, einen möglichst effizienten Penetrationstest anbieten und durchführen zu können. Obwohl in einem längeren Zeitraum natürlich potenziell mehr Schwachstellen aufgedeckt werden können, hat sich gezeigt, dass in vielen Fällen relevante Schwachstellen bereits nach wenigen Tagen aufgedeckt werden können, sodass sich das Gesamtergebnis bei einer längeren Testlänge unter Umständen nur unwesentlich verändert. Basierend auf den Ergebnissen des Gesprächs erstellen wir im Anschluss ein individuelles Angebot zur Durchführung eines Pentests.
Durchführung des Pentests
Der Pentest wird immer in einem Team von mindestens drei Penetrationstester*innen durchgeführt, welche in dem vereinbarten Zeitraum exklusiv am jeweiligen Projekt arbeiten. Hierbei wird das zu testende System, basierend auf den im Vorgespräch erarbeiteten Angriffsszenarien, auf Schwachstellen untersucht. Bei der Durchführung des Pentests setzen wir vor allem auf unsere jahrelange Erfahrung und tiefgehendes Wissen in verschiedenen Bereichen der IT-Sicherheit. Dies bedeutet insbesondere, dass wir weitestgehend manuell nach Schwachstellen suchen. Nur so kann gewährleistet werden, dass genau die für Sie jeweils besonders relevanten Schwachstellen aufgefunden werden. Weiterhin können auf diese Weise auch jene Schwachstellen aufgedeckt werden, welche nicht nur rein technischer Natur sind, sondern stattdessen in der Anwendungslogik begründet sind. Auch während des Pentests findet eine enge Absprache des Testteams mit den Betreibern der Systeme statt. Ein dedizierter Kontakt aus dem Testteam ist während des gesamten Tests für Nachfragen erreichbar. Zur Durchführung des Pentests gehört auch die Dokumentation aller gefundenen Schwachstellen in einem detaillierten Testbericht. Dieser enthält präzise Beschreibungen aller identifizierten Schwachstellen, sowie individuelle Risikoeinschätzungen und Lösungsvorschläge. Zusätzlich umfasst der Bericht auch einen Managementkurzbericht, welcher das Gesamtbild des getesteten Systems beschreibt und somit eine objektive Entscheidungsgrundlage schafft.
Abschlussgespräch
In dem Abschlussgespräch werden die Ergebnisse des Pentests persönlich mit Ihnen besprochen. Für das Gespräch stehen genau die Penetrationstester*innen bereit, die auch den jeweiligen Pentest durchgeführt haben. So kann neben den konkreten Ergebnissen auch das während des Pentests gewonnene Gesamtbild zum Sicherheitsniveau vermittelt werden. Das Gespräch richtet sich nicht nur an die Betreuer der jeweiligen Systeme wie Administrator*innen und Programmierer*innen, sondern explizit auch an Entscheider*innen und Personen ohne technisches Hintergrundwissen. In einem Managementkurzbericht erläutern wir die Schwachstellen und den aus dem Test resultierenden Handlungsbedarf in nichttechnischer Sprache. Anschließend wird jede gefundene Schwachstelle live demonstriert. Dies bietet Ihnen die einzigartige Möglichkeit, Ihr System aus der Angriffsperspektive zu betrachten. Im Anschluss können Sie basierend auf den demonstrierten Ergebnissen die Voraussetzungen und Auswirkungen der Schwachstellen eine präzise Bewertung vornehmen. Mit diesem Wissen können Entscheidungsträger die nötigen Schritte einleiten, um die Sicherheit nachhaltig und effektiv zu verbessern.