Das Thema Pentesting wird durch die zunehmenden Cyberattacken, durch die Unternehmen unterschiedlicher Größenordnung heute bedroht werden, immer wichtiger. Denn damit kann ein simulierter Cyberangriff auf die IT-Infrastruktur erfolgen, um Schwachstellen und Sicherheitslücken aufzudecken, bevor Hacker dieses tun. Die Pentester sollten dabei möglichst nicht aus einer bestehenden Kunden- oder Lieferantenbeziehung kommen, da der Angreifer ohne Insiderwissen die Angriffe durchführen sollte. Aus diesem Grund hat die DECOIT® eine neue Kooperation mit der Pentesting-Firma Citadelo abgeschlossen und kann so ihren Kunden eine neue Sicherheitsdienstleistung anbieten.

Nicht nur die zunehmenden Cyberangriffe machen heute ein Pentesting notwendig, sondern auch Richtlinien wie KRITIS oder NIS-2 legen darauf Wert. Denn dadurch kann ein Audit nicht nur anhand der Dokumentationslage entscheiden, ob alle Vorgaben umgesetzt wurden. Typische Phasen eines Pentesting lassen sich dabei unterteilen in:

1. Scoping (Vorbereitung): Definition von Zielen, Testumfang und rechtliche Rahmenbedingungen.
2. Reconnaissance (Informationsbeschaffung): Analyse des Zielsystems zur Identifizierung von IP-Adressen, offenen Ports oder Mitarbeitern (z. B. via Cloudflare Learning).
3. Schwachstellenanalyse: Einsatz von Tools zur Entdeckung von Fehlkonfigurationen oder Software-Schwachstellen.
4. Exploitation (Angriff): Gezieltes Ausnutzen der gefundenen Schwachstellen, um in das System einzudringen oder Rechte zu eskalieren.
5. Dokumentation: Erstellung eines detaillierten Berichts für das Management und die IT-Abteilung.

Wichtig ist, dass die Geschäftsleitung in den Prozess involviert ist und vorher klar das Ziel sowie der Umfang mit allen Beteiligten abgesprochen wird. Um eine möglichst unbefangene Analyse durchführen zu können, sollte die Pentesting-Firma kein Wissen über die vorhandene IT-Infrastruktur mitbringen. Hier kommt die Firma Citadelo ins Spiel, mit der die DECOIT® nun eine Kooperation eingegangen ist, nachdem man sich auf der Sicherheitsmesse secIT kennengelernt hatte. Citadelo ist eine etablierte Cyber-Security-Firma, die sich auf Penetrationstests (Pentesting) und ethisches Hacking spezialisiert hat. Sie besteht aus einem Team hochqualifizierter Sicherheitsexperten, die reale Cyberangriffe simulieren, um Schwachstellen in der IT-Infrastruktur oder den Applikationen von Unternehmen aufzudecken, bevor echte Hacker diese ausnutzen können. Die Leistungen von Citadelo umfassen die Applikationssicherheit, Test von Infrastruktur & Cloud, Social Engineering & Red Teaming sowie das Erstellen umfassender Dokumentationsberichte. Diese werden in enger Abstimmung mit uns durchgeführt, da im Anschluss die notwendigen Härtungsmaßnahmen von der DECOIT® vorgenommen werden können. Auf Wunsch legen wir ihnen ein Konzept mit Maßnahmen vor und setzen diese auch mit ihnen um, damit ihr Unternehmen noch besser abgesichert wird.

Haben wir ihr Interesse geweckt? Dann sprechen Sie uns gerne an!