Jetzt Daten retten

Notfall-Hotline:    0800 400 410

  • Hotline Wien:    (01) 236 50 50

  • Hotline Linz:    (0732) 77 11 81

  • Hotline Graz:    (0316) 23 11 11

  • Hotline Salzburg:    (0662) 26 82 48

IT-Sicherheitsanalysen auf höchstem Niveau


IT-Penetrationstest – Auf Herz und Nieren geprüft

Der Spezialist für IT-Penetrationstests – Wir schützen Ihr Unternehmen vor Hack-Angriffen!


IT-Penetrationstest durch Experten mit über 12-jähriger Erfahrung im Bereich Sicherheitsanalysen.
Beste Ergebnisse durch SANS-zertifizierte Spezialisten (www.sans.org)


  • Sie wissen nicht, wie sicher Sie sind?

  • Sie möchten einen unabhängige Einschätzung Ihrer Sicherheitslage?

  • Sie wollen wissen, wo Ihre Hintertüren in Ihr Systeme sind?

  • Sie wollen belegen, dass Ihnen die Sicherheit Ihrer Daten wichtig ist?

  • Sie möchten bestätigen, dass die Geschäftsführung auch im Bereich der IT-Sicherheit gewissenhaft, ordnungsgemäß und fachlich einwandfrei das Unternehmen führt?


Durch IT-Penetrationstest, werden Sie ein klares Bild erhalten, auf welchem Stellen Ihre IT sichert ist und wo brauchen Sie noch, um zu verbessern.


Dipl. Ing. Christian Perst - Gutachter & Gerichtssachverständiger Dipl. Ing. Christian Perst
Gutachter & Gerichtssachverständiger

7 Schritte zu erstklassigen Ergebnissen


Phase
1. Phase

In der ersten Phase werden Ihre Erwartungen geklärt und Ihre Ziele festgelegt.
Es werden Eskalationsstufen für den Notfall fixiert und Ansprechpartner genannt.


Phase
2. Phase

Wir recherchiert in der zweiten Stufe über das Zielsystem. Es werden hierbei Informationen herangezogen, die im Internet verfügbar sind. Frei zugängliche Datenbanken liefern dabei die Informationen.


Phase
3. Phase

Nun wird Ihr Computersystem zum ersten Mal aktiv einer Prüfung unterzogen. Es werden das Betriebssystem des Rechners und die angebotenen Dienste eruiert. Über das sog. „Fingerprinting“ können Namen und Version von Betriebssystemen und Anwendungen auf dem Zielsystem in Erfahrung gebracht werden.


Phase
4. Phase

In der vierten Stufe der Sicherheitsanalyse erfolgt die Schwachstellenrecherche. Mit den gewonnenen Informationen wird die zielgerichtete Suche über Schwachstellen bestimmter Betriebssysteme und Anwendungen durchgeführt.


Phase
5. Phase

Hier werden die gefundenen Schwachstellen ausgenutzt. Der Zweck ist, Zugriff zum System zu erhalten bzw. weitere Angriffe vorzubereiten. Es werden gezielte Attacken gegen die Rechnersysteme ausgeführt.


Phase
6. Phase

Im sechsten Stadium der Sicherheitsanalyse erfolgt die Abschlussbewertung. Der Abschlussbericht wird erstellt und eine Managementzusammenfassung wird angefertigt.


Phase
7. Phase

Nach einer Frist wird abschließend ein Nachtest absolviert. Vor allem wenn in vorangegangenen Phasen Mängel gefunden wurden, hat sich dies als sehr sinnvoll erwiesen. Ziel dieses Tests ist es, die Wirksamkeit von Sicherungsmaßnahmen zu überprüfen und damit erstklassige IT-Sicherheit zu erhalten.



Ihre Vorteile eines IT Penetrationstests
von Datenrettung Austria

  • Wir schützen Ihre Firmengeheimnisse.

  • Wir decken Hintertüren in Ihren Computersystemen auf und zeigen Ihnen, wie Sie diese schließen.

  • Wir sorgen dafür, dass sich Ihre Investitionen in eine sichere Zukunft auch wirklich auszahlen.

  • Wir beugen Schäden an Ihrem Computernetz vor.

  • Ihre Sicherheit schützt auch Ihre Kunden.

Sie haben eine Frage? Rufen Sie jetzt an!


Hotline Wien:
(01) 236 50 50

Hotline Linz:
(0732) 77 11 81

Contact Man

5 Gründe, warum Sie ausgerechnet uns an Ihre heiklen Systeme lassen sollen


Vom US-Sicherheitsinstitut SANS zertifizierte Experten...
Vom US-Sicherheitsinstitut SANS zertifizierte Experten......

......belegen, dass wir das Know-how haben, um die IT-Penetrationstest sicher und erfolgreich abzuwickeln.


Wir streben nachhaltig Spitzenleistungen an...
Wir streben nachhaltig Spitzenleistungen an......

......das ist unsere Einstellung, das ist der Anspruch an uns. Wir wissen, unsere Zertifizierung ist die Befähigung die Tätigkeit ausüben zu können. Wirklich gut werden wir, indem wir immer weiter lernen und unsere Erfahrungen in einen stetigen Verbesserungskreislauf einfließen lassen.


Ehrlichkeit, Qualität und Zuverlässigkeit...
Ehrlichkeit, Qualität und Zuverlässigkeit......

......das sind unsere Werte, nach denen wir uns richten. Wir sind der Überzeugung, dass ein Wort von uns, soviel Aussagekraft hat, wie eine schriftliche Vereinbarung.


Höchste Diskretion...
Höchste Diskretion......

......ist für uns selbstverständlich. Wir betreuen Unternehmen aus allen Bereichen der Industrie und Produktion, im Bereich der Dienstleistung, Versicherungen, Medienbranche, Flughafenverwaltungen uvm. Darauf können Sie sich verlassen.


10% Rabatt für NGOs...
10% Rabatt für NGOs......

......Sie schätzen Menschen und Unternehmen mit sozialer Verantwortung. Da geht es Ihnen wie uns. Das ist uns wichtig und daher bieten wir NGOs diesen Rabatt auf unsere Dienstleistungen an. Fragen Sie bei uns nach dem NGO-Rabatt.



Häufige Fragen

Häufig gestellte Fragen zu unseren Penetrationstest


Bei einem Penetrationstest handelt es sich um einen erlaubten Angriff auf die Computersysteme eines Unternehmens. Es wird dabei so vorgegangen, wie potentielle Hacker Angriffe starten würden. Dabei werden - so möglich - Einbrüche in die Computersysteme ausgeführt.
Penetrationstests gelten unter vielen IT-Sicherheitsexperten (BSI, SANS, Bruce Schneier uvm.) als eine der effektivsten Maßnahmen, um eine sehr gute IT-Sicherheit zu gewährleisten.
Ein Ausspruch von Bruce Scheier: „Die Mathematik ist tadellos, die Computer sind besiegbar, die Netzwerke lausig und die Mitarbeiter unberechenbar.“
Schon eine kleine Unachtsamkeit kann ungeahnte Einfallstore auf Ihrem Rechnersystem öffnen. Leider ist niemand fehlerlos, obwohl wir das gerne hätten. Ebenso ist Software nicht fehlerlos und kann so gut wie nie fehlerlos werden. Der richtige Umgang mit Fehlern und Sicherheitslücken ist für das Überleben eines Betriebs essentiell.
Und genau dieser richtige Umgang mit Fehlern, nämlich das Aufzeigen von Sicherheitslücken, um Hintertüren zu schließen, wird durch Penetrationstests möglich.

Ein Penetrationstest lässt sich immer in mehrere Phasen einteilen. Freilich wird solch ein Sicherheitstest je nach Anforderungen individuell abgeändert und angepasst. Grob haben sich folgende Phasen herauskristallisiert, wie sie auch bei einem realen Hackerangriff durchlaufen werden.
Reconnaissance (auch Recon, Informationsgewinnung, Informationsbeschaffung)
An erster Stelle steht beim Penetrationstest die Informationsbeschaffung der frei zugänglichen Informationen im Internet. Dies wird auch Enumeration, Reconnaissance oder Recon genannt.
Hier werden Daten zusammengetragen, die bei dem eigentlichen Einbruchsversuch nützlich sein könnten. Auch kommt es immer wieder vor, dass Mitarbeiter oder Administratoren des Unternehmens Details der Konfiguration im Internet veröffentlichen.
So werden z.B. Einträge in whois, DNS-Datenbanken durchsucht und Websuche über Suchmaschinen und anderen Quellen gestartet.

Mit diesen Informationen erfolgt die Erkundung des Unternehmes-Netzwerks (auch). Hier wird getestet, welche Systeme vorhanden sind. Sind die Systeme gefunden, tritt die Scanphase ein. Ein Scanner testet, welche Dienste auf den Servern verfügbar sind, welche Version der Software die Anfragen an den Dienst beantwortet, welches Betriebssystem der Server hat, wie Firewallregeln gesetzt sind, welche Zugangswege offen sind uvm.
Hand in Hand mit der Scanphase wird eine erste Begutachtung durchgeführt. Die Ergebnisse werden bewertet, verifiziert und erste Schlüsse gezogen. Damit wird schnell ersichtlich, welche Angriffsmöglichkeiten offen stehen.
Ein nächster Schritt in der Scanphase wird durch Schwachstellenscanner eingeläutet. Dabei werden die verfügbaren Dienste nach Sicherheitslücken abgeklopft. Das Ergebnis liefert ein recht detailliertes Bild des Unternehmensnetzes. Für jeden Dienst werden die Lücken offen gelegt. Damit verfeinern und konkretisieren sich die Angriffsmöglichkeiten, so dass die nächste Phase sehr effizient gestartet werden kann.

Nun kommt die Exploitphase. Es werden gezielt abgestimmte Programme (sog. Exploits) auf die gefundenen Schwachstellen angesetzt. Mit diesen Exploits ist es möglich, die Schwachstelle auszunutzen. Das Ergebnis könnte z. B. sein: Direkter Zugriff auf das Betriebssystem ist möglich, Benutzerrechte können manipuliert oder beliebige Programme gestartet werden. Damit treten Worst-Case-Szenarios ein und das System könnte übernommen werden.
Der Zweck besteht darin, einen direkten Zugriff auf das System zu erhalten bzw. weitere Angriffe auf andere Systeme über den verseuchten Dienst vorzubereiten. Es werden gezielte Attacken gegen die Rechnersysteme ausgeführt.

Die Auswertungs- und Berichtphase rundet die Testserie ab.
Siehe auch „Was ist das Ergebnis eines Penetrationstests?“

Es ist generell zwischen netzwerkbasierten Systemen und Webanwendungen zu unterscheiden.
Der netzwerkbasierte Penetrationstest hängt von der Größe des Computernetzwerks und deren Komplexität ab. Ein Faktor ist also der Zahl der zu testenden Server. Gerne geben wir für Ihre Netzwerkinfrastruktur ein präzises Angebot ab. Bitte kontaktieren Sie uns .
Penetrationstests von Webanwendungen sind vom Aufwand her gesondert zu betrachten. Das Ziel von Penetrationstests von Webanwendungen besteht darin, die gesamte Anwendung auf Fehler, Schwachstellen und Sicherheitslücken zu testen. Dazu gehören u.a. Tests der Authentifizierung und Autorisierung (horizontale und vertikale Privilegien-Eskalation), Tests auf Sicherheit des Session-Managements, Angriffe auf Benutzereingaben, Tests auf Injections, Logikfehler, Web-Application-Management und clientseitige Sicherheit (Cross-Site-Scripting in allen Variationen).
Fast jede Webanwendung ist eine Sammlung individueller Programme und höchst inhomogen. Auch Standard-Applikationen werden durch die Verwendung von Plugins und Add-ons extrem individualisiert und erweitert. Um Ihnen eine exakte Abschätzung für Ihre Webanwendung geben zu können, ist es notwendig, dass wir uns einmal durch die Webanwendung durchklicken und die Funktionen kennen lernen. Je aufwendiger und komplexer die Webanwendung ist, desto länger dauert der Test, da z.B. auch jede Benutzereingabe mit mehreren Tests durchlaufen werden muss.
Haben Sie Fragen zu Penetrationstests von Webanwendungen, kontaktieren Sie uns .

Sie erhalten von uns drei unterschiedliche Berichte als Ergebnis eines netzwerkbasierten Penetrationstests. Erstens erstellen wir einen Management-Report, der die Ergebnisse sehr kurz und kompakt auflistet. Er ist auch für IT-Anwender leicht verständlich.
Der zweite Bericht liefert einen Überblick über die gefundenen kritischen, schwerwiegenden und mittleren Sicherheitslücken und unsere Einschätzung dazu. Dies ermöglicht Ihnen, eine schnelle und effiziente Abhilfe für die Lücken zu schaffen.
Der dritte Bericht ist sehr technisch orientiert. Er weist bei den Sicherheitslücken auf die Ursache hin, listet weiterführende Dokumentation auf und gibt sehr gute Hinweise, was unternommen werden kann, um diese Sicherheitslücken zu schließen.
Optional erstellen wir eine weitere kurze Zusammenfassung, die bei großen Netzwerksystemen zum Tragen kommt. Hier werden die Sicherheitslücken des gesamten Computernetzwerks gelistet, jedoch nach den Sicherheitslücken sortiert. Damit ist es leichter möglich, zu einer Lücke alle betroffenen System zu identifizieren.
Ein weiteres Highlight: Unser Kunde erhält ein Zertifikat für einen durchgeführten Penetrationstest. Dieses bestätigt, dass er einen sorgsamen und sicheren Umgang mit den Daten und den Daten seiner Kunden walten lässt. Auch wird dadurch belegt, dass die Geschäftsführung gewissenhaft, sorgfältig und nach dem Stand der Technik die IT-Sicherheit handhabt.

Ja, wir sind unabhängig.
Wir bieten unseren Kunden eine Antwort auf die Frage, wie sicher sie sind, wo die Sicherheitslücken und Hintertüren liegen und was getan werden muss, um diese zu schließen. Wir bieten keine Hard- oder Software als „Lösung“ für das Problem an, das wir aufzeigen. Die Problemlösung kann durch die IT-Abteilung des Unternehmens umgesetzt werden. Sollte das bei einem Kunden nicht der Fall sein, empfehlen wir Ihnen gerne Partner, mit denen wir gute Erfahrungen gemacht haben.



Weiterführende Themen


Mit einem IT-Penetrationstest finden wir Ihre Sicherheitslücken – bevor Hacker es tun!

Bei den IT Penetrationstests (Schwachstellenanalysen) ist es sinnvoll, sie in verschiedene Gruppen einzuteilen. Man kann zwischen sog. Black-Box-Penetrationstests und White-Box-Penetrationstests unterscheiden.

Bei einem Black-Box-Test ist das zu testende System unbekannt. Der Tester weiß nicht, auf welches System er trifft. Bei den White-Box-Tests weiß der Tester schon im Vorhinein, welches System er testet. Hier sind Betriebssystem und die laufenden Dienste bekannt.

Es kann das komplette IT-Netzwerk des Unternehmens, oder auch einzelne Bereiche wie WLAN oder VPN-Anbindung einem Penetrationstest unterzogen werden.


Christian Perst - Gutachter & Gerichtssachverständiger Dipl. Ing. Christian Perst
Gutachter & Gerichtssachverständiger

Organisatorische Vorgehensweise beim IT Penetrationstest

Einführungsgespräch: Es werden die Anliegen und Erwartungen an den Penetrationstest geklärt.

Zieldefinition: In dieser Phase wird das zu testende System bestimmt und erörtert.

Schwachstellenanalyse: Nun erfolgt der eigentliche Penetrationstest.

Auswertung: Die Ergebnisse werden ausgewertet und per Post und/oder per E-Mail verschickt. Um die Sicherheit der teilweise sehr vertraulichen Daten zu gewährleisten, werden die Daten beim Postversand eingeschrieben verschickt und beim E-Mail-Versand verschlüsselt.

Nachgespräch: Die Ergebnisse und Hilfen zur Schließung der Sicherheitslücken werden besprochen.

Nachtest: Nach etwa zwei Wochen erfolgt ein erneuter Schwachstellentest, der zur Kontrolle dient.


Technische Vorgehensweise oder der Lebenszyklus eines IT Penetrationstests

Der eigentliche Penetrationstest unterteilt sich in sechs Phasen. Phase 2 bis 4 wird oft mehrmals zyklisch durchlaufen.

  • Erforschungsphase – Wir suchen nach frei verfügbaren Informationen im Internet.

  • Scan-Phase – Offene Zugangswege werden gesucht. Hier wird das System erstmals “berührt”.

  • Enumeration – Diese Phase wird auch oft gleichzeitig mit der 2. Phase durchgeführt. Ziel dieser Phase eines Penetrationstests ist, reale, verwertbare Informationen zu erhalten. Scanner liefern oft nur unsichere Aussagen, daher ist es notwendig mehr Daten vom System zu erhalten.

  • Exploitphase – Gefundene Schwachstellen gilt es auszunutzen und Angriffe auf das System zu starten, um Sicherheitslücken aufzudecken.

  • Wiederholung von Phase 2 bis Phase 4.

  • Auswertungs- und Berichtphase – Ein detaillierter und umfassender Bericht ist notwendig, um die Sicherheitslage realistisch einzuschätzen und Handlungen des Managements zu veranlassen.

Penetrationstest von Web-Anwendungen


Webanwendungen erfahren seit einigen Jahren eine enorme Beliebtheit. Die hohe Verfügbarkeit und die ständige Präsenz von (Kleinst-)Computern und Internet brachten eine enorme Vielfalt an überall verfügbare Anwendungen hervor – seien es Fotobuchdienste, das Service zur Reservierung eines Mietwagens, der Kauf von Online-Zugtickets oder die Buchung ganzer Reisen über Webanwendungen im Internet.

Durch termingetriebene Funktionalitäten wird die Sicherheit bei Webanwendungen oft nur suboptimal berücksichtigt. Das führt dazu, dass die Systeme verwundbar sind und Angriffe zum Ziel führen. Und Hackerangriffe sind Albträume eines jeden Unternehmens: Kundendaten werden im Internet veröffentlicht, das Vertrauen der Kunden sinkt rapide, Auftraggeber wandern ab, der Umsatz bricht ein.

Angriffe auf Webanwendungen sind eine der häufigsten Attacken im Internet. Von hunderten getesteten Webanwendungen haben 62% eine fehlerhafte Authentifizierung, 71% fehlerhafte Zugriffsrechte, 94% sind anfällig für Cross-Site-Scripting (XSS), 78% haben Informationslecks und 92% sind für Cross-Site-Request-Forgery (CSRF) anfällig.

Penetrationstests für Webanwendungen stellen eines der effektivsten Mittel dar, um die Sicherheit extrem zu erhöhen. Webanwendungen werden durch IT-Sicherheitstests auf Herz und Nieren geprüft. Das erhöht die Sicherheit der Anwendung, stellt die Vertraulichkeit von Informationen sicher und beugt einem Hackereinbruch vor.

Rufen Sie uns an! Wir beraten Sie gerne.

Ein IT Penetrationstest einer Webanwendung oder eines WLANs kann einen Teil einer Sicherheitsanaylse des gesamten IT-Systems sein. Wie itEXPERsT bei so einem Audit vorgeht, sehen Sie unter dem Link.

Penetrationstest von WLANs


Szenario

  • Wie weit strahlt Ihr Funknetz außerhalb Ihres Unternehmens?

  • Wie sicher ist Ihre Verschlüsselung in Ihrem Funknetz?

Ihre Vorteile

Wir geben Ihnen die Sicherheit zu wissen, wie geschützt Ihre Daten im Funknetz sind.

Informationen

Wir überprüfen bei diesem Test, ob in Ihrem Unternehmen unerlaubte WLAN-Netze in Betrieb sind. Weiters messen wir die Reichweite von regulären und unerlaubten Funknetzen, deren Sicherheit und welches Gefährdungspotential von den Netzen ausgeht.

Funknetze sind durch ihren günstigen Preis der Hardware ungebrochen aktuell und einfach zu handhaben. Doch gibt es auch Nachteile, die zu Schäden führen können. Ein Firmen-Funknetz endet nicht an der Gebäudemauer. Angreifer können leicht von außerhalb eindringen oder den Betrieb sabotieren. Attacken sind außerdem schwer nachzuweisen. Ein Zugriff auf das Firmen-WLAN bedeutet oft vollen Zugriff auf die Daten eines Betriebes.

Viele WLAN-Netze sind nur schlecht gesichert und bedrohen die Datensicherheit.

Kontaktieren Sie uns! Wir beraten Sie gerne.

Ein IT Penetrationstest eines WLANs oder eines VPN-Zugangs kann einen Teil einer Sicherheitsanaylse des gesamten IT-Systems sein. Wie itEXPERsT bei so einem Audit vorgeht, sehen Sie unter dem Link.

Penetrationstest von VPN-Server


Szenario

  • Ist es möglich, Ihren VPN-Zugang zu missbrauchen?

  • Wie leicht ist es möglich, Zugang zu Ihren Firmendaten zu bekommen?

Ihre Vorteile

Wir geben Ihnen die Sicherheit zu wissen, ob Ihr VPN-Zugang geschützt ist.

Informationen

Die Notwendigkeit von VPN-Tests

Viele meinen, dass VPN-Server nicht sichtbar und daher auch nicht angreifbar sind. Auf einen Hacker-Novizen mag dies vielleicht zutreffen. VPN-Server können aber sehr wohl relativ einfach aufgespürt werden.

Auch sind diese Systeme lohnende Ziele. Angreifer wissen, dass – wenn sie in einen VPN-Zugang einbrechen – es bei vielen Firmen keine großen Hürden mehr gibt, um zu kritischen und sensiblen Informationen und Systemen zu gelangen.

Rufen Sie uns an! Wir beraten Sie gerne.

Der IT Penetrationstest eines VPN-Servers, eines VPN-Zugangs oder eines Funknetzes kann teil einer ganzheitlichen Sicherheitsanalyse sein. Gerne können Sie sich über die Vorgangsweise von itEXPERsT informieren.


Im Bereich "Datenrettung für defekte Festplatten" seit 7 Jahren Marktführer in Österreich

Standort Linz (Zentrale)

Starhembergstraße 7
4020 Linz
Tel. (0732) 77 11 81
Mo. - Do. 08.30 - 17.00
Fr. 08.30 - 14.00


Wenn Sie außerhalb unserer Öffnungszeiten einen defekten Datenträger abgeben möchten, ist dies mit einer Terminvereinbarung 24 Stunden, 7 Tage die Woche möglich.
Datenrettung_Festplatte - Standort Linz

Standort Wien (Annahmestelle)

Mariahilfer Strasse 123, 3. OG
1060 Wien
Tel. (01) 236 50 50
Mo. - Fr. 08.00 - 17.00

Datenrettung_Festplatte - Standort Wien

Standort Salzburg (Annahmestelle)

Am Arenberg, Eberhard-Fugger-Strasse 3-5, 1.OG
5020 Salzburg
Tel. (0662) 26 82 48
Mo. - Fr. 08.00 - 17.00

Datenrettung_Festplatte - Standort Salzburg


...alle Standorte sehen

Firmenkunden




Kurzanfrage:



Rufen Sie uns jetzt an!

Hotline Wien:
(01) 236 50 50

Hotline Linz:
(0732) 77 11 81

Placetext