Penetration Testing
Mit unseren Penetration Tests finden wir Ihre Sicherheitslücken.
Jetzt Angebot einholen

Umfassende Penetration Tests für IT-/OT-Systeme, Anwendungen und Cloud-Umgebungen.

Jedes Unternehmen verfügt über eine einzigartige IT-Infrastruktur und unterschiedliche Anwendungen. Dementsprechend benötigt es eine speziell darauf ausgerichtete Sicherheitsprüfung. Unser Penetration Testing Team beherrscht die modernsten Angriffsmethoden, die auch von Cyberkriminellen angewendet werden. Mit unseren massgeschneiderten Penetrationstests analysieren wir systematisch alles, was vernetzt ist, darunter Applikationen, Cloud-Umgebungen, Leit- oder Produktionssysteme (ICS: SCADA/DCS), Sicherheitssysteme, Io-Geräte, Flugzeuge, Kraftwerke oder Züge.

Bei Penetration Tests, auch Pentests genannt, werden geeignete Mittel und Methoden eingesetzt, um vorhandene Schwachstellen aufzudecken. Ob unbefugtes Eindringen in Systeme, Möglichkeiten zur Datenmanipulation oder unsichere Anwendungen – ein Pentest deckt Sicherheitsmissstände auf. Anschliessend wird ein Bericht erstellt, der zeigt, wo und welche Risiken bestehen.

Bei einem Security Assessment wird zusätzlich zum Penetration Test auch die Konfiguration des Systems sowie der operative Umgang mit dem System bewertet. Während Penetration Tests primär die technischen Aspekte von Systemen oder Applikationen untersuchen, umfassen Security Assessments auch prozessuale und organisatorische Themen. Ein Security Assessment liefert eine umfassendere Sicht über das Sicherheitsniveau der Testobjekte. In einem Bericht werden sämtliche Abweichungen und die damit verbundenen Risiken aufgezeigt.

Beim Configuration Review wird die Konfiguration des Systems auf sicherheitsrelevante Einstellungen geprüft. Dabei werden insbesondere Hardening Guidelines und Standard-Frameworks verwendet, um Soll-Ist-Vergleiche zu erstellen. Es kann aber auch in einer anderen Form wie beispielsweise gemeinsamen Workshops oder Walk Throughs durchgeführt werden. Dabei werden zum Beispiel Abweichungen von Implementierungs- oder Sicherheitskonzepten identifiziert. Anhand eines Berichts werden die Abweichungen und die damit verbundenen Risiken erläutert.

Ihre Vorteile auf einen Blick

  • Sicherheitstests jeglicher vernetzter Komponenten und Systeme sind möglich
  • Systematische Identifizierung von technischen Schwachstellen und Sicherheitslücken
  • Empfehlungen zu konkreten Härtungsmassnahmen und zusätzliche Tipps, um die Cyber-Resilienz zu erhöhen
  • Kombination aus semi-automatischen Schwachstellenscans und manuellem Testing
  • Manuelle Verifikation von Sicherheitslücken
  • Scoping vor Offertenerstellung, um genauen Umfang zu definieren
  • Erfüllung von Compliance-Anforderungen
  • Zielgruppengerechte Dokumentation und Präsentation

Unsere Penetration Testing Services

Unsere Penetration Testing Angebote decken ein breites Spektrum ab, darunter Application Testing, Network-/Security Infrastructure Testing, Client-/Server Infrastructure Testing, Cloud Security Testing und IoT & OT Security Testing. Jedes Angebot ist darauf ausgerichtet, Sicherheitsschwachstellen zu identifizieren, zu validieren und zu priorisieren, um Ihr Unternehmen vor potenziellen Bedrohungen zu schützen. Unsere Experten kombinieren fundiertes Fachwissen mit innovativen Methoden und modernster Technologie, um die Sicherheit Ihrer Systeme zu verbessern und das Risiko zu minimieren. Erfahren Sie mehr über unsere Dienstleistungen und wie wir Ihnen helfen können, Ihre Sicherheitsziele zu erreichen.

Application Testing

Network- / Security Infrastructure Testing

Client- / Server Infrastructure Testing

Cloud Security Testing

IoT & OT Security Testing
Zur Übersicht

Unser Penetration Testing Approach

Mit bewährten und standardisierten Vorgehensweisen sowie optionalen Modulen wird eine hohe Qualität in Penetrationstest-Projekten sichergestellt:

 

Unser Oneconsult Penetration Testing Approach

Kick-off-Meeting: Gemeinsam definieren wir den Ablauf, die Termine, die Voraussetzungen und die Testbereitschaft.

Die weiteren Schritte sind abhängig von der Projektart, dem Projektumfang sowie der Testtiefe. Diese Punkte werden vor der Offertenerstellung in einem gemeinsamen Scoping-Termin definiert.

Dokumentation: Nach Abschluss der Testaktivitäten erhalten Sie einen detaillierten, zielgruppengerechten Schlussbericht. Dieser beinhaltet ein Management Summary, die Projektziele, die Rahmenbedingungen, die Befunde (Sicherheitslücken inkl. Risikokategorisierung) sowie die Massnahmenempfehlungen.

Schlussbesprechung (optional): Bei einer Schlussbesprechung werden die Ergebnisse präsentiert und die Resultate sowie Massnahmen ausführlich erläutert.

Methoden & Gestaltungs­möglichkeiten eines Penetration Tests

Die Services im Bereich Penetration Testing basieren auf Standards wie OWASP und OSSTMM. Dabei können diverse Ansätze gewählt werden:

  • White-, Grey- oder Blackbox-Ansatz: Sie liefern uns im Vorfeld viele, wenige oder (fast) keine Informationen zum Untersuchungsobjekt.
  • Authentifiziert/Unauthentifiziert: Test aus interner Perspektive mit Zugangsdaten (authentifiziert) oder aus der externen Perspektive, ohne Zugangsdaten.
  •  Outside/Inside: Tests vom Internet aus (Outside) oder aus dem internen Netzwerk (Inside).
  •  Assume Breach: Dieser Ansatz geht davon aus, dass Angreifer bereits Zugang zu einem System haben. Es wird überprüft, ob sie auf weitere Systeme, sensible Daten oder höherprivilegierte Benutzerkonten zugreifen können.

Darum ist Oneconsult Ihr Spezialist für Penetration Testing

  • Seit über 20 Jahren bieten wir Penetration Testing als unsere Kernkompetenz.
  • Unser Penetration Testing Team sowie unsere Sicherheitsberatende verfügen über anerkannteste Zertifizierungen in der Cyber-Security-Branche: OSCP, PSCP, OPST, OSCE, OSWE, GXPN, OPSA, PECB und weitere!
  • Wir verwenden renommierte Testmethoden zur Identifizierung von Schwachstellen und Sicherheitslücken.
  • Wir orientieren uns an international anerkannten Methoden wie ISECOM OSSTMM, OWASP (ASVS, OWASP Top10), CVSS, MITRE Attack Framework, NIST und CIS Benchmarks.
  • Leidenschaft für Cyber Security: Wir brennen für das, was wir tun – arbeiten strukturiert und teilen unser Wissen gerne.
  • Wir setzen uns höchste Qualitätsansprüche und glauben, dass wir nur gemeinsam erfolgreich gegen Cyber-Bedrohungen vorgehen können – together against cyberattacks.

Jetzt Penetration Testing Angebot einholen

Häufig gestellte Fragen (FAQs) zu Penetration Testing

Ein Penetration Test ist wichtig, um die Sicherheit von Anwendungen, IT-Systemen, Netzwerken und vielem mehr zu überprüfen. Durch die Simulation von Angriffsszenarien werden potenzielle Schwachstellen und Sicherheitslücken identifiziert, bevor sie von kriminellen Hackern ausgenutzt werden. Dadurch können Unternehmen gezielte Sicherheitsmassnahmen ergreifen, ihre Cyber-Resilienz verbessern und Risiken minimieren.

Ein Penetration Test beinhaltet in der Regel mehrere Schritte. Nach der Festlegung des zu testenden Systems und dem Kick-off des Projekts, erfolgt zunächst eine umfassende Analyse des Testgegenstandes und der umliegenden Infrastruktur, um potenzielle Angriffspunkte zu identifizieren. Anschliessend werden verschiedene Techniken und Tools eingesetzt, um Schwachstellen zu finden. Die Ergebnisse werden validiert, dokumentiert und in einem Bericht zusammengefasst. Der Schlussbericht enthält die gefundenen Schwachstellen, deren Risikobewertungen und Empfehlungen für Verbesserungsmassnahmen.

Die Häufigkeit von Penetration Tests hängt von verschiedenen Faktoren ab, wie beispielsweise der Art der Infrastruktur, der Grösse des Unternehmens und der sich ändernden Bedrohungslandschaft. In der Regel empfiehlt es sich, Penetration Tests regelmässig durchzuführen, um neue Schwachstellen zu identifizieren und sicherzustellen, dass Sicherheitsmassnahmen effektiv umgesetzt werden. Bei kritischen Systemen wird empfohlen, mindestens einmal im Jahr oder bei wesentlichen Änderungen an der Infrastruktur einen Pentest durchzuführen.

Vereinfacht ausgedrückt, geht es bei einem Penetration Test um die Auffindung von Schwachstellen und beim Red Teaming um die Ausnutzung von Schwachstellen. Zudem beschränken sich Penetration Tests in der Regel auf technische Schwachstellen, wohingegen beim Red Teaming auch organisatorische Schwachstellen relevant sind. Weiterführende Informationen finden Sie in unserem Blogartikel «Die Unterschiede zwischen Penetration Test und Red Teaming».

Das bestätigen unsere Statistiken

Täglich setzen Unternehmen weltweit auf unsere Fachkompetenz. Das bestätigen zusätzlich zu den langjährigen Kunden auch unsere Statistiken.

0

Application (Mobile) 
Penetration Test Projekte

MEHR
0 +

Penetration Test 
Projekte pro Jahr

MEHR
0

ICS (SCADA / DCS) 
Penetration Test Projekte

MEHR

Ihr Kontakt für Sicher­heits­not­fälle

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Cyber-Vorfall?

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

  • Was und wer ist betroffen?
  • Wer hat den Vorfall entdeckt und gemeldet?
  • Wie und wann wurde der Vorfall bemerkt?
  • Was haben Sie beobachtet?
  • Was bereitet Ihnen Sorgen im Zusammenhang mit dem Vorfall?
  • Welche Massnahmen wurden bereits eingeleitet?

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen