Einstieg ins Thema

Wieso Pentests & Red Teamings?

Angriffen vorbeugen

Nur Schwachstellen, die man kennt, kann man beheben. Wir decken in Pentests und Red Teamings Schwachstellen und Sicherheitsdefizite auf, sodass ihr nachfolgend eure IT-Sicherheit verbessern könnt.

Angriffe erkennen

In Red Teamings simulieren wir Angriffe. Dabei könnt ihr prüfen, ob ihr uns erkennt und eure Sicherheitslösungen wie gewünscht funktionieren.

Auf Angriffe reagieren
Bei Red Teamings sind nur wenige eingeweiht. Werden wir dabei entdeckt, so könnt ihr realitätsnah erkennen, wie auf Angriffe reagiert wird, ob die vorhandenen Prozesse funktionieren und wo eventuelle Lücken sind.
Wiederherstellung nach Angriffen durch Backups

In Red Teamings untersuchen wir eure Backup-Lösung und bewerten, ob sie Angriffen wirklich standhalten würde. Wäre ja ärgerlich, wenn eure Backups im Fall der Fälle unbrauchbar wären.

Was ist was?

Häufig gibt es Verwirrung und Unklarheiten über die Begrifflichkeiten Penetrationstests (Pentests), Red Teaming und Schwachstellen-Scans. Unser Verständnis ist:

Pentests Red Teaming Schwachstellen-Scans
Ziel Möglichst viele technische Schwachstellen durch manuelle & automatisierte Prüfungen aufdecken Technische und organisatorische Schwachstellen im Unternehmen aufdecken, ggf. mit Social Engineering und ggf. auch physisch vor Ort;
Realitätscheck zu Angriffserkennung und -abwehr
Automatisiertes Aufdecken von Schwachstellen, um beispielsweise zeitnah Versionen mit kritischen Schwachstellen zu identifizieren<
Testgegenstand Ein festgelegter Testgegenstand, wie eine IT-Umgebung oder Webanwendung Gesamtes Unternehmen/Organisation inkl. Reaktionsfähigkeiten auf Angriffe;
Überprüfen von vereinbarten Szenarien, wie z. B. Kontrollübernahme über IT oder Backups
Externe oder interne Firmeninfrastrukturen
Kommunikation Angekündigte Tests, alle relevanten Personen auf Kundenseite wissen Bescheid So wenig wie möglich Personen auf Kundenseite wissen Bescheid, um Ergebnisse nicht zu verfälschen Angekündigt und „laut“
Freischaltungen in vorgelagerten Schutzsystemen sinnvoll, um automatisiertes Vorgehen zu ermöglichen
Vorgehen Möglichst tiefgehendes, effizientes Testen;
Wir können “laut” sein, denn bspw. das Auslösen von Alarmen ist egal
Zielgerichtetes Vorgehen in Szenarien, wir agieren „leise“ und wollen (erstmal) nicht auffallen Automatisiert, kein manuelles Testen
Ziel
Pentests Möglichst viele technische Schwachstellen durch manuelle & automatisierte Prüfungen aufdecken.
Red Teaming Technische und organisatorische Schwachstellen im Unternehmen aufdecken, ggf. mit Social Engineering und ggf. auch physisch vor Ort; Realitätscheck zu Angriffserkennung und -abwehr
Schwachstellen-Scans Automatisiertes Aufdecken von Schwachstellen, um beispielsweise zeitnah Versionen mit kritischen Schwachstellen zu identifizieren

Testgegenstand
Pentests Ein festgelegter Testgegenstand, wie eine IT-Umgebung oder Webanwendung
Red Teaming Gesamtes Unternehmen/Organisation inkl. Reaktionsfähigkeiten auf Angriffe;
Überprüfen von vereinbarten Szenarien, wie z. B. Kontrollübernahme über IT oder Backups
Schwachstellen-Scans todo

Kommunikation
Pentests Angekündigte Tests, alle relevanten Personen auf Kundenseite wissen Bescheid
Red Teaming So wenig wie möglich Personen auf Kundenseite wissen Bescheid, um Ergebnisse nicht zu verfälschen
Schwachstellen-Scans Externe oder interne Firmeninfrastrukturen

Vorgehen
Pentests Möglichst tiefgehendes, effizientes Testen; Wir können “laut” sein, denn bspw. das Auslösen von Alarmen ist egal
Red Teaming Zielgerichtetes Vorgehen in Szenarien, wir agieren „leise“ und wollen (erstmal) nicht auffallen
Schwachstellen-Scans Automatisiert, kein manuelles Testen

Wo anfangen?

Ihr seid bereit für euren ersten Pentest und wünscht euch Orientierung, mit welchen Tests ihr sinnvollerweise anfangen sollt?

Dann sind unsere Pentest-Starter-Pakete für euch genau richtig.

Bereit für mehr IT-Sicherheit?

Dann nutze unseren Konfigurator, um ein passendes Angebot anzufragen oder schreibe uns, um ein individuelles Angebot zu erhalten.