Jedes Unternehmen bietet ein lohnendes Ziel für Angreifer, unabhängig von der Unternehmensgröße. Insbesondere bei kleineren und mittelständischen Betrieben gehen Hacker von weniger großen Sicherheits- und Schutzmaßnahmen aus und greifen diese deshalb bevorzugt an.

Immer mehr Geschäftsprozesse werden in Unternehmen digitalisiert und Systeme miteinander verbunden. Durch diese Digitalisierung ergeben sich für Hacker Chancen, in Ihre Systeme einzudringen. Ein Penetrationstest hilft Ihnen, potenzielle Einstiegspunkte für Hacker zu identifizieren und im zweiten Schritt die aufgedeckten Sicherheitslücken mit entsprechenden Maßnahmen zu schließen. Mithilfe des Penetrationstests entdecken Sie Sicherheitslücken in Ihrer IT-Infrastruktur, bevor Hacker sie finden und ausnutzen. Sie schützen somit nicht nur Ihre Unternehmenswerte, sondern auch Ihre Reputation und das Kundenvertrauen in Ihre Marke.

Die Folgen von unbemerkten Sicherheitslücken können beträchtlich sein. Je nach Art und Ziel des Angriffs können die Folgen stark variieren. Dies reicht von dem Ausfall eines einzelnen Systems bis hin zu einem Komplettausfall der Produktion, der mehrere Tage anhält. Eine Suche nach dem Begriff „WannaCry“ und „Produktionsausfall“ zeigen bereits einige Beispiele auf. Ein Unternehmen sollte sich immer fragen, was eine unerlaubte Veröffentlichung und Modifizierung von Daten bzw. der Ausfall von Daten und Systemen für das Unternehmen bedeutet. Am Ende können unerkannte Sicherheitslücken genau zu diesem Worst-Case-Szenario führen.

Ein Penetrationstest ist eine spezielle Art des Testens, die bestimmte Fähigkeiten und Erfahrungen benötigt. Dafür ist tiefes technisches Expertenwissen erforderlich, das auf eine intensive Ausbildung zurückzuführen ist. Unsere Mitarbeiter*innen, die die Penetrationstests durchführen, verfügen über eine geeignete Ausbildung gepaart mit der entsprechenden Erfahrung. Jeder unserer Penetrationstester fokussiert sich ausschließlich auf das Thema Penetrationstest und hat mindestens ein „Penetration Testing“-Zertifikat. Der Großteil verfügt darüber hinaus auch über ein OSCP-Zertifikat, eines der angesehensten Zertifikate in dem Cybersecurity-Bereich.

Ein Penetrationstest (oder Pentest) ist ein wichtiger Schritt zur Verbesserung der Sicherheit eines Systems oder eines Systemverbunds. Allerdings garantiert er nicht, dass Sie anschließend sicher vor Hackern sind, auch wenn alle Schwachstellen behoben wurden. Ziel eines Pentests ist es, Unsicherheiten aufzeigen. Dies ist jedoch nicht gleichzusetzen mit dem Nachweis der Sicherheit, wenn keine Schwachstellen gefunden wurden. Hier sind einige zu beachtende Punkte:

• Momentaufnahme: Ein Pentest bietet eine Momentaufnahme der Sicherheitslage eines Systems zu einem bestimmten Zeitpunkt. Neue Schwachstellen können jederzeit entdeckt werden und die Bedrohungslandschaft ändert sich ständig.
• Umfang: Ein Pentest deckt nur die Bereiche ab, die im Umfang des Tests enthalten sind. Je höher die Prüftiefe und je höher der Abdeckungsgrad, desto höher ist die Wahrscheinlichkeit, dass Sicherheitslücken entdeckt werden. Die Prüftiefe und der Abdeckungsgrad hängen dabei von den investierten Personentagen ab. Für eine umfassende IT-Sicherheit ist es wichtig, nicht nur Einzelmaßnahmen anzuwenden, sondern ein ganzheitliches Cybersecurity-Konzept zu entwickeln und zu implementieren.
• Menschliche Faktoren: Sicherheitslücken können auch durch menschliches Verhalten entstehen, wie z.B. durch Phishing-Angriffe oder Social Engineering. Ein Pentest konzentriert sich in der Regel auf technische Schwachstellen und kann diese Aspekte möglicherweise nicht vollständig abdecken.
• Regelmäßige Tests: Sicherheit ist ein fortlaufender Prozess. Regelmäßige Pentests und andere Sicherheitsüberprüfungen sind notwendig, um neue Schwachstellen zu identifizieren und zu beheben. Nach spätestens zwei Jahren sollte aber in der Regel ein kompletter Retest durchgeführt werden.
• Ganzheitlicher Ansatz: Ein Pentest sollte Teil eines umfassenderen Sicherheitsprogramms sein, das auch andere Maßnahmen wie regelmäßige Software-Updates, Risikoanalysen, Schulungen für Mitarbeiter, Überwachung und Incident Response-Pläne umfasst.
• Falsch-negative Ergebnisse: Es ist möglich, dass ein Pentest bestimmte Schwachstellen nicht entdeckt. Kein Test ist perfekt, und es gibt immer ein gewisses Risiko, dass etwas übersehen wird. Auch bei einem zu geringen Umfang des Tests erhöht sich das Risiko, dass Schwachstellen übersehen werden.

Zusammengefasst: Ein Penetrationstest ist ein wertvolles Werkzeug zur Verbesserung der Sicherheit, aber er ist nur ein Teil eines umfassenden Sicherheitsansatzes. Es ist wichtig, kontinuierlich an der Verbesserung der Sicherheitsmaßnahmen zu arbeiten und sich der sich ständig ändernden Bedrohungen bewusst zu sein.

Penetrationstests können in nahezu allen digitalen Systemen durchgeführt werden. Unsere Expert*innen führen eine Vielzahl von Penetrationstests durch, z. B. in B2B-Portalen, Cloud-Anwendungen, aber auch eingebetteten Systemen wie zum Beispiel Steuergeräten. Die Vorgehensweise und der Geltungsbereich hängen stark von dem Unternehmen und dessen Reifegrad bzgl. Cybersecurity ab. Die im Webshop angebotenen Penetrationstests sind häufig ein guter Einstieg, um einen Einblick in die Verwundbarkeiten der eigenen IT-Systeme zu erhalten.

Sie möchten eine Softwareanwendung testen lassen, die über einen Webbrowser zugänglich ist, auf einem Webserver läuft und Benutzern ermöglicht, über das Internet auf interaktive Funktionen und Daten zuzugreifen, ohne spezielle Software auf ihren Geräten installieren zu müssen? Wählen Sie Penetrationstests für Webapplikation. Beispiele für Webapplikationen sind Onlineshops, Online-Banking, soziale Netzwerke oder Online-Spiele.

Sie möchten einen Softwareanwendung testen lassen, die speziell für mobile Geräte wie Smartphones und Tablets entwickelt wurde, direkt auf dem Endgerät installiert und genutzt werden und oft spezielle Funktionen bietet, die auf die Mobilität und die Hardware des Geräts zugeschnitten sind? Wählen Sie Penetrationstests für mobile Applikationen. Beispiele für mobile Applikationen sind Messaging-, Spiele- oder Online-Banking-Apps.

Sie benötigen einen externen Penetrationstest, bei dem versucht wird, Schwachstellen in den aus dem Internet erreichbaren Systemen und der Infrastruktur zu identifizieren, die es einem Angreifer erlauben, Daten zu stehlen oder tiefer in die Infrastruktur des Unternehmens vorzudringen? Wählen Sie Penetrationstests für öffentliche erreichbare Systeme. Beispiele für öffentlich erreichbare Systeme sind Mailserver, VPN-Gateways oder DNS-Server.

Darüber hinaus bieten wir weitere Arten von Penetrationstests und Angriffssimulationen an. Bei der Art der Penetrationstest sind in der Regel viele Details vor der Bestellung zu klären, die ein Gespräch mit Ihnen als Kunde notwendig macht. Über Penetrationstests aus anderen Bereichen erhalten Sie die Möglichkeit, sich mit uns in Kontakt zu setzen, um Ihr Projekt und Ihre Anforderungen mit uns zu besprechen.

Unsere im Onlineshop angebotenen Penetrationstests beinhalten, bis auf den „Pentest S“ für Webapplikationen, immer einen automatisierten und manuellen Testanteil. Der manuelle Testanteil macht hierbei sogar immer den größten Anteil der Penetrationstests aus. Während automatisierte Tools und Scans eine wichtige Rolle bei der Identifizierung von bekannten Schwachstellen spielen, sind manuelle Tests unerlässlich, um komplexere und spezifischere Sicherheitslücken zu entdecken, die automatisierte Tools möglicherweise übersehen. Aus folgenden Gründen sind manuelle Tests wichtig:

• Komplexe Schwachstellen: Manuelle Tests können komplexe Schwachstellen aufdecken, die durch automatisierte Tools nicht erkannt werden, wie z.B. Logikfehler in Anwendungen oder spezifische Konfigurationsprobleme.
• Kreativität und Erfahrung: Unsere Expert*innen können durch manuelle Tests kreative Angriffsmethoden anwenden und Schwachstellen identifizieren, die nicht in den Datenbanken der automatisierten Tools enthalten sind.
• Verifizierung von Ergebnissen: Manuelle Tests ermöglichen es, die Ergebnisse automatisierter Scans zu verifizieren und False Positives (fälschlicherweise als Schwachstellen erkannte Punkte) zu eliminieren.
• Individuelle Anpassung: Manuelle Tests können an die spezifischen Anforderungen und Besonderheiten des zu testenden Systems angepasst werden, was zu präziseren und relevanteren Ergebnissen führt.

Bei einem Penetrationstest für eine Webapplikation, z. B. Ihrem Onlineshop, gehen wir nach dem WSTG (Web Security Testing Guide) der OWASP (Open Web Application Security Project) vor und decken damit auch die OWASP Top 10 ab. Die OWASP Top 10 gibt Auskunft über die am häufigsten identifizierten Schwachstellen in Webapplikationen.

Für die Bewertung von Schwachstellen verwenden wir das Common Vulnerability Scoring System (CVSS), das aus den wesentlichen Eigenschaften einer Sicherheitslücke ein Kritikalitätsmaß ableitet. Natürlich geben wir neben dem CVSSv3.1-Score auch den sogenannten CVSS-Vektor an.

Nach der Bestellbestätigung findet ein Vorgespräch mit einem unserer Expert*innen statt. In diesem Rahmen legen wir gemeinsam mit Ihnen die Schwerpunkte, den Geltungsbereich, die Testart und den Testzeitpunkt fest und halten dies in einem Protokoll für Sie fest. Um Missverständnissen vorzubeugen und ein gemeinsames Verständnis von dem Penetrationstest zu haben, ist eine Bestätigung des Protokolls des Vorgesprächs verpflichtend.

Ihren Abschlussbericht stellen wir Ihnen in der Regel innerhalb von zwei Wochen in einer finalen qualitätsgesicherten Version bereit. In Einzelfällen kann es wichtig sein, dass die Ergebnisse bereits früher vorliegen müssen. In diesem Fall stellen wir Ihnen eine Entwurfsversion bereits ein bis zwei Werktage nach dem Test bereit, die die wichtigsten Informationen für Sie enthält. Am besten sprechen Sie Ihre Anforderungen direkt im Vorgespräch mit uns ab.

Sollte unser Penetrationstest kritische Sicherheitslücken in Ihrer IT-Infrastruktur finden, treten wir schon während des Tests mit Ihnen in Kontakt. Weniger kritische Maßnahmen werden in einem Abschlussbericht zusammengefasst. Nach Abschluss des Penetrationstests lassen wir Ihnen den Abschlussbericht inklusive Handlungsempfehlungen zur Behebung der identifizierten Schwachstellen und Sicherheitslücken zukommen. Inwieweit diese Empfehlungen umgesetzt werden, obliegt Ihrer Verantwortung.

Die Kosten für die Behebung sind nicht pauschal kalkulierbar, da diese von dem Grad der Sicherheitslücke und den damit verbundenen Maßnahmen abhängen. Der Aufwand kann mit kleineren Änderungen, wie beispielweise in der Programmierung einen Wert von 0 auf 1 zu setzen, relativ klein sein. Es können aber Änderungen von Prozessabläufen notwendig sein, um den IT-Schutz zu wahren. Diese sind teurer und langwieriger. Die konkrete Entscheidung und deren Umsetzung sind nicht Teil eines Penetrationstests und liegen in Ihrem Ermessen. Unsere Expert*innen stehen Ihnen dabei beratend zur Seite.

Ein Penetrationstest hat das Ziel, Sicherheitslücken in Systemen aufzudecken und er ist kein Mittel, um einen Sicherheitsnachweis zu dokumentieren. Die Schlussfolgerung, dass ein Bericht ohne Sicherheitslücken und Schwachstellen bedeutet, dass das System sicher ist, wäre somit nicht korrekt. Aus diesen Gründen stellen wir für einen Penetrationstest auch kein Zertifikat oder Prüfzeichen aus.

Während der Durchführung von Penetrationstests kann es durchaus vorkommen, dass wir mit personenbezogen Daten in Kontakt kommen. Das ist beispielweise der Fall, wenn wir durch eine Sicherheitslücke einen vollständigen Zugriff auf eine Datenbank erhalten, in der personenbezogene Daten gespeichert sind.

Wir legen großen Wert auf Datenschutz und gehen verantwortungsvoll mit Ihren Daten um. Aus diesem Grund ist das Thema Datenschutz in unseren Penetrationstest-Verträgen ein fester Bestandteil. Sobald Ihre Systeme und/oder Datenbanken mit personenbezogen Daten Bestandteil eines Penetrationstests sind, wird die vertrauliche Handhabung der Daten vertraglich mit Ihnen festhalten.

Ihren Pentest können Sie ganz einfach mit wenigen Klicks online konfigurieren und bestellen. Klicken Sie hierfür auf „Pentest konfigurieren“.

Zunächst können Sie die Art des Penetrationstest auswählen. Sie haben die Wahl zwischen Penetrationstest für Webapplikationen, mobile Applikationen und öffentlich erreichbaren System. Darüber hinaus bieten wir weitere Arten von Penetrationstests an. Jedoch ist bei diesen Tests in der Regel im Vorfeld ein Gespräch mit Ihnen als Kunde notwendig, um den passenden Aufwand zu identifizieren. Über „Penetrationstests aus anderen Bereichen“ haben Sie die Möglichkeit, sich mit uns in Kontakt zu setzen, um Ihr Projekt und Ihre Anforderungen mit uns zu besprechen. Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.

Im nächsten Schritt können Sie Ihren gewünschten Penetrationstest nach Ihren Anforderungen individuell konfigurieren. Neben unseren standardisierten Pentest-Paketen schlägt der Konfigurator optionale Erweiterungen und Zusatzleistungen für Ihren Pentest vor. Alle Leistungen und Kosten werden dabei transparent aufgelistet, sodass Sie jederzeit die volle Kostenkontrolle behalten.

Nach der Konfiguration Ihres Pentests sowie der Eingabe Ihrer Daten und der benötigten datenschutzrechtlichen Informationen, können Sie Ihre Bestellung in der Bestellzusammenfassung nochmals überprüfen, bevor Sie Ihre Pentests zahlungspflichtig bestellen. Im Anschluss an Ihre Bestellung prüfen wir Ihre Bestellung und setzen uns umgehend mit Ihnen in Verbindung, um einen verbindlichen Termin für Ihren Pentest zu vereinbaren.

Unsicher, welchen Pentest Sie benötigen? Kontaktieren Sie uns einfach direkt über das Kontaktformular oder rufen Sie uns an ( +49 221 806 4050 ).

Ja, kontaktieren Sie uns hierfür einfach über das Kontaktformular oder rufen Sie uns an ( +49 221 806 4050 ).

Neben den im Onlineshop angebotenen Penetrationstests bieten wir weitere Penetrationstests an. Jedoch ist bei diesen Tests in der Regel im Vorfeld ein Gespräch mit Ihnen als Kunde notwendig, um den passenden Aufwand zu identifizieren. Über „Penetrationstests aus anderen Bereichen“ haben Sie die Möglichkeit, sich mit uns in Kontakt zu setzen, um Ihr Projekt und Ihre Anforderungen mit uns zu besprechen. Darüber hinaus stehen wir Ihnen gerne persönlich zur Verfügung. Kontaktieren Sie uns über das Kontaktformular oder rufen Sie uns an ( +49 221 806 4050 ).Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.

Alle anfallenden Kosten, wie bspw. für Tests vor Ort oder außerhalb der Geschäftszeiten und optionale Erweiterungen und Zusatzleistungen für Ihren Pentest, werden transparent im Konfigurator während des Bestellprozesses aufgeführt.

Für zusätzlich erforderliche Mehraufwände, die dem ausgewählten Penetrationstest zugrunde gelegten Personentage übersteigt, behalten wir uns das Recht vor, entstandene Arbeitsleistungen nachträglich in Rechnung zu stellen. Wir achten stets darauf, dies transparent für Sie darzustellen. Haben wir das Gefühl, dass der von Ihnen gewählte Umfang nicht zum gebuchten Umfang passt, kommen wir auf Sie zu und besprechen die passenden Optionen mit Ihnen. Dies kann zum Beispiel die Reduktion des Geltungsbereichs sein. Daraufhin können Sie entscheiden, ob Sie lieber den Testaufwand oder den Geltungsbereich einschränken.

Nach Abschluss Ihrer Bestellung erhalten Sie per Mail eine Bestellbestätigung mit einer Bestellzusammenfassung. Parallel prüfen wir Ihre Bestellung und setzen uns umgehend mit Ihnen in Verbindung, um einen verbindlichen Termin für Ihren Pentest zu vereinbaren.

Ein paar Tage nach der Bestellung wird sich auch Ihr Ansprechpartner bei Ihnen melden, der mit Ihnen die nächsten Schritte bespricht. Unabhängig davon können Sie uns jederzeit über das Kontaktformular , per Mail ( service@i-sec.tuv.com ) oder telefonisch ( +49 221 806 4050 ) kontaktieren.

Ja, Sie können die Bestellung nachträglich noch ändern und stornieren. Solange noch keine festen Termine vereinbart sind, ist dies kostenfrei möglich. Kontaktieren Sie uns hierfür über das Kontaktformular oder rufen Sie uns an ( +49 221 806 4050 ).

Sollten bereits vereinbarte Termine in beidseitigem Einverständnis verschoben oder abgesagt werden, fallen keine Kosten an. Die beidseitige Einverständniserklärung muss schriftlich erfolgen, per E-Mail ist hierbei ausreichend.

Sollten bereits vereinbarte Termine durch den Auftraggeber verschoben oder abgesagt werden oder aus Gründen ausfallen, die nicht durch uns zu vertreten sind, behalten wir uns vor, folgende Kosten in Rechnung zu stellen:

Terminabsage oder Stornierung des Auftrags:

• bis zu 10 Werktagen vor Testbeginn: Gebührenfrei
• zwischen 5 und 10 Werktagen vor Testbeginn: 25% des Tagessatzes
• bis zu 5 Werktagen vor Testbeginn: 100% des Tagessatzes

Die Mitteilung über die Absage oder Stornierung müssen schriftlich bis 18:00 Uhr werktags erfolgen, ansonsten gelten sie erst zum nächsten Werktag.

Nachdem die Penetrationstests bei Ihnen durchgeführt, der Abschlussbericht erstellt und Ihnen zur Verfügung gestellt wurde, erhalten Sie Ihre Rechnung. Die Zahlung erfolgt auf Rechnung.

Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Alle personenbezogenen Daten werden gemäß der Datenschutz-Grundverordnung (DSGVO) sowie anderen relevanten Datenschutzbestimmungen verarbeitet. Wir verwenden Ihre Daten ausschließlich zur Abwicklung Ihrer Bestellung und stellen sicher, dass diese sicher gespeichert und nicht an Dritte weitergegeben werden, es sei denn, es ist für die Erbringung der Dienstleistung erforderlich oder gesetzlich vorgeschrieben. Weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.