Penetrationstest: Webserver und Webshop

Webserver und Webshop sind normalerweise nicht innerhalb der Unternehmens-IT angesiedelt, sondern bilden einen separaten Bereich der IT. Da Webserver und Webshop zwangsweise aus dem Internet erreichbar sind und normalerweise "dick", also sehr breitbandig angebunden sind, bilden Webserver und Webshops beliebte Ziele für Hacker.

Eine Übernahme des Webservers oder des Webshops bedeuten für die Unternehmen bestenfalls einen großen Imageschaden. Gerade bei einem Webshop bedeutet eine Übernahme durch einen Hacker auf konkrete finanzielle Verluste.

Daher ist es zwingend notwendig, den eigenen Webserver sowie ggf. den eigenen Webshop regelmäßig auf Sicherheitslücken zu überprüfen, um einen erfolgreichen Hackerangriff möglichst zu verhindern.

Beim Standard-Penetrationstest "Webserver und Webshop" prüfen wir mit Standardwerkzeugen, welche Sicherheitslücken aktuell bei Ihnen auf dem Webserver bzw. dem Webshop bestehen. Dieser Standardtest gibt Ihnen zu geringen Kosten einen ersten Überblick, so dass Sie später zumindest sicher sein können. dass Sie keine "Scheunentore" offen haben, die Scriptkiddies förmlich einladen, Ihren Webserver zu "übernehmen".

Der Ablauf

Unser Standardpenetrationstest des Internetzugangs läuft nach dem Kauf wie folgt ab:

1. Sie erhalten einen Fragebogen und eine Freigabeerklärung. Hierauf teilen Sie die Namen und, wenn möglich, die IP-Adressen Ihre Webpräsenzen, die wir überprüfen sollen, mit. Ferner geben Sie uns die Erlaubnis, den Test durchzuführen und Teilen uns einen Zeitraum mit, in dem wir den Test durchführen sollen.
2. Sie entscheiden, ob Ihre IT in den Test eingebunden werden soll oder der Test "überraschend" erfolgen soll. Ein überraschender Test hat den Vorteil, dass Sie automatisch mit testen, ob die Erkennungs- und Alarmsysteme Ihrer IT funktionieren.
3. Wir führen den Test durch.
4. Sie erhalten einen Ergebnisbericht mit den erkannten Schwächen und Empfehlungen zur Absicherung.
   

Das Ergebnis

Als Ergebnis erhalten Sie einen Bericht, in dem die erfolgreichen und nicht erfolgreichen Eindringversuche aufgeführt ist. Bei den erfolgreichen Eindringversuchen ist natürlich auch aufgeführt, wie wir empfehlen, sich gegen die zugrunde liegenden Sicherheitslücken zu schützen.

Wirkungen und Nebenwirkungen

Wir machen im Rahmen des Tests keine Veränderungen an Ihren Systemen und nutzen kein "Insiderwissen". Wir nutzen nur die Möglichkeiten, die jeder Angreifer in jedem Teil der Welt hat.

Dadurch, dass wir jedoch auch ggf. Datenpakete an Ihre Systeme senden, die nicht von den Systemen vorgesehen sind, kann es vorkommen, dass Systeme abstürzen. Deswegen ist es sinnvoll, den Test auf einen Zeitraum zu legen, an denen Ihre IT eingreifen kann. Trotzdem empfehlen wir, nicht die komplette IT-Abteilung, sondern nur die IT-Leitung einzubinden, damit Sie durch den Test auch erfahren, wie die internen Erkennungs- und Alarmsysteme funktionieren. Die IT-Leitung kann dann, wenn Ihre interne Erkennung funktioniert "Entwarnung" geben und bekannt geben, dass es sich um einen geplanten Test handelt.

Die Grenzen der Technik

Der Penetrationstest mit Standardwerkzeugen simuliert die Angriffsmethoden von Massenangreifern und Scriptkiddies. Hacker, die es gezielt auf Ihr Unternehmen abgesehen haben und dem entsprechend erheblich mehr Aufwand betreiben, um Ihre Systeme zu übernehmen, arbeiten natürlich auch mit diesen Standardtechniken. Zusätzlich werden aber auch mit viel Know-how individuelle Schwächen gesucht und es wird auch versucht werden, mit Techniken des Social-Engineerings, Ihre Mitarbeiter "auszutricksen". Diese Lücken wird der Standardpenetrationstest nicht finden, hierzu empfehlen wir unsere intensiver prüfenden, individuellen Produkte.