Pentest

"Als IT-Security-Analyst ist es meine Aufgabe, Schwachstellen in IT-Systemen zu finden"

Was ist ein Penetrationstest/Pentest?

Ein Penetrationstest ist ein Verfahren, um gezielt die Schwachstellen eines Systems oder Netzwerkes ausfindig zu machen. Nach Absprache mit dem Auftraggeber kann der Umfang vom kurzen Schwachstellenscan bis hin zum tiefen Eindringen in die IT-Infrastruktur reichen. In der Regel geht es um Informationsbeschaffung, Testen der Systeme im Netzwerk und Aufdecken von Lücken, welche ein Angreifer ausnutzen könnte. Es werden dabei die IT-Systeme direkt angegriffen und versucht eventuelle Sicherheitsmechanismen zu überwinden. Auf diese Weise wird ein echter Hacker-Angriff simuliert und analysiert, in wie weit Ihre Daten und Systeme geschützt sind. Eine regelmäßige Überprüfung ist aufgrund der stetig wachsenden Zunahme von Cyberbedrohungen unabdingbar. Jeder Test wird protokolliert und in Form eines ausführlichen Berichts dem Auftraggeber übergeben. Je nach Wunsch kann ein Nachgespräch oder eine gezielte Schulung erfolgen.

Wer benötigt einen Penetrationstest?

Jeder, der seinen IT-Sicherheitsstatus überprüfen möchte.

Jeder, der seine IT-Sicherheit überprüfen lassen muss (DSGVO).

Jeder, der sein Smart-Home (Smart-TV, Steuerungen, Staubsauger, Netzwerk-Drucker, ...) auf Sicherheit testen lassen möchte.

Jeder, der beruhigter ist, wenn er seine Daten geschützt weiß.


Ein kleiner Überblick:

  • Wer sich noch nie sich mit IT-Sicherheit beschäftigt hat, sollte am besten erst einmal einen IT-Sicherheitscheck durchführen lassen, um das ganze System zu überprüfen.
  • Wer sein System weitestgehend abgesichert hat, kann mit einem Penetrationstest seinen aktuellen Sicherheitsstand überprüfen lassen, um evtl. Nacharbeiten aufzudecken.
  • Wer eine eigene IT-Sicherheitsabteilung in die Unternehmensstruktur implementiert hat, kann diese mit einem Penetrationstest (Red Teaming) testen lassen.
  • nach DSGVO Art. 32 Abs. 1 d) "...treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
    ... ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung."


    Ein Pentest zählt zu diesen Überprüfungsmaßnahmen.


Was und wo wird getestet?

  • Der Test für Webseiten, Firewalls und Router die mit dem Internet verbunden sind, kann von außerhalb durchgeführt werden.
  • Ein Test im internen Netzwerk ist zudem empfehlenswert, weil viele Angriffe von innen heraus stattfinden.
    Über infizierte Dateien und Links, ist es möglich von intern eine Verbindung nach außen herzustellen, wodurch es dem Angreifer möglich ist, direkt im Netzwerk zu agieren.



DEKRA-zertifizierter IT-Security-Analyst (Internet/Netzwerk)
Reg-Cert-Nr: PC 19908-002
Webpräsenz der Allianz für Cyber-Sicherheit
Mitglied im VEGS e.V.
Mitglied im VEGS e.V
Mitglieds-Reg: 991436