Jeder Penetrationstest wird individuell durchgeführt und richtet sich nach den Schwerpunkten des Auftraggebers. Der Testgegenstand (Schwerpunkt Web-Anwendung oder zum Beispiel klassisches Firmen-Netzwerk) und die Breite der Tests (Stichproben oder Testen z.B. aller verfügbarer Komponenten, alle Formulare einer Web-Anwendung) werden bei der Angebotserstellung berücksichtigt. Der klassische Penetrationstest wird üblicherweise in zwei Teilen mit entsprechenden Phasen durchgeführt.
Äußerer Black-Box-Test
Bei diesem Test werden ohne Kundeninformationen und ohne Wissen der zuständigen IT-Abteilung des Kunden dessen Netzwerk von außen nach Sicherheitslücken durchsucht. Durch die gewonnenen Erkenntnisse kann abgeleitet werden, ob und mit welchem Aufwand ein externer Angreifer unautorisiert Zugriffe auf das Kundennetz bzw. an vertrauliche Daten in diesem gelangen kann. Alle durch den Test anfallenden relevanten Daten werden dem Kunden in Form einer ausführlichen Dokumentation mitgeteilt.
Interner White-Box-Test
Bei diesem Test wird das interne Netzwerk des Kunden nach sicherheitskritischen Schwachstellen durchsucht. Im Gegensatz zum Black-Box-Test wird mit der IT-Abteilung des Kunden zusammengearbeitet. Im Rahmen dieser Zusammenarbeit versorgt uns die IT-Abteilung des Kunden mit Netzwerkplänen, Security Policies und weiteren Unterlagen, die für die Analyse des Netzes relevant sind.
Top
print
