Regelmäßige Pentests

  • null
    Regelmäßige, automatisierte und professionelle Pentests (Penetrationstests) mit ausführlichem Bericht bei gefundenen Datenlecks oder Schwachstellen im eigenen Netz und bei Partnerunternehmen.

  • null
    Sie wissen immer, wo Ihre Systeme angreifbar sind. Schwachstellen werden bewertet und Behebungshinweise gegeben.

  • null
    Tägliche, wöchentliche oder monatliche Pentests

Zu den Paketen

Täglich neue IT-Schwachstellen

Jeden Tag entdecken Hacker und Geheimdienste hunderte neue Sicherheitslücken. Leicht zu bedienende Tools spüren diese automatisch auf und machen es sehr einfach, Schwachstellen auszunutzen. Dadurch ist die Anzahl potentieller Gefährder enorm.

Die Überwachung von mit dem Internet verbundenen Systemen ist deshalb zeit- und kostenintensiv. Ein ermittelter Sicherheitsstatus kann sich darüber hinaus jederzeit ändern. Ein einmaliger oder jährlicher Test ist damit nicht ausreichend.

Monitoring mit Pentests

Der einzige Schutz vor Cyber-Attacken sind regelmäßige, professionell durchgeführte Penetrationstests. Sie geben Antworten auf Fragen wie: Welche Sicherheitslücken bestehen an welchen Systemen? Wie kritisch ist die Sicherheitslücke zu bewerten? Wie haben sich die Schwachstellen bzw. Bedrohungen im Laufe der Zeit entwickelt? Befinden sich Informationen für das Unternehmen bzw. seine Domäne im Darknet? Wenn ja, welche? Sind Passwörter des Unternehmens im Umlauf? Wenn ja, welche? Über welche Internet Service Provider ist das Unternehmen angreifbar?

Darüber hinaus kann die Anbindung an Ihre Lieferanten oder Dienstleister Aufschluss darüber geben, ob hier Sicherheitslücken entstehen, die auch Ihre Systeme gefährden. Daher sollten Sie auch Ihre angeschlossenen Dienstleister prüfen.

Effektive Schwachstellenanalyse

Unser voll automatisierter Schwachstellenscanner stellt Ihnen für eine Domäne und angeschlossene IP-Adressen (Ermittlung durch DNS-Scan) folgende Daten zur Verfügung:

  • CVE-Nummer gefundener Schwachstellen
  • Bei bekannten und eindeutigen Schwachstellen: Kurzbeschreibung, Erst- und Letzterscheinung, Lösungsansätze
  • Bewertung der Schwachstelle durch CVSS-Scorecards
  • Betroffene Ports werden angezeigt
  • Netzwerkprotokolle (http, FTP, etc.) werden angezeigt
  • Fehlkonfigurationen von Servern, Firewalls und Geräten können sichtbar werden
  • Es ist eine Inventarisierung sämtlicher DNS-Namen und IP-Adressen möglich
  • Einblick in Datenlecks, die betroffene E-Mail-Adresse, das dazugehörige Passwort und die Herkunft des Datenlecks sind einsehbar (Suche im Darknet nach der Verwendung von Domäneninformationen)

Wie funktioniert der Pentest?

01.

Zu scannende Domäne

Beim Kaufabschluss nennen Sie in dem dafür vorgesehenen Textfeld die zu scannende Domäne (für mehr Domänen klicken Sie bitte hier).
02.

Einwilligungserklärung

Nach Kaufabschluss können Sie in Ihrem Benutzerkonto die Einwilligungserklärung zum Pentest herunterladen, rechtsverbindlich unterzeichnen und wieder hochladen. Ohne unterzeichnete Einwilligungserklärung kann der Pentest nicht durchgeführt werden.
03.

Einführung ins Pentest-Portal

Sie erhalten durch einen unserer Mitarbeiter Zugang zum Pentest-Portal. Bei einem Einführungsgespräch erläutern wir Ihnen technische Details.
04.

Durchführung regelmäßiger Pentests

Regelmäßige Pentests erfolgen voll automatisiert, die Ergebnisse gehen Ihnen per E-Mail zu. Die Scanergebnisse können Sie auch im Portal einsehen. Je nach gewähltem Paket unterstützen wir Sie aktiv bei der Behebung gefundener Schwachstellen.

Unsere Pakete

Basis

Monatlicher Scan
einer Domäne mit
max. 10 IP-Adressen

Technischer Support
nicht inklusive

Mindestvertragslaufzeit:
6 Monate

249,00€
In den Warenkorb Zzgl. 16% USt.

Business

Wöchentlicher Scan
einer Domäne mit
max. 15 IP-Adressen

Technischer Support
15 min / Monat

Mindestvertragslaufzeit:
6 Monate

349,00€
In den Warenkorb Zzgl. 16% USt.

Management

Täglicher Scan
einer Domäne mit
max. 20 IP-Adressen

Technischer Support
30 min / Monat + aktive Info

Mindestvertragslaufzeit:
6 Monate

549,00€
In den Warenkorb Zzgl. 16% USt.

Wollen Sie mehr als eine Domäne scannen lassen? Oder müssen Sie mehr als die angegebenen IP-Adressen scannen?

Dann klicken Sie bitte hier für ein individuelles Angebot!

Entscheidungshilfe: Welches Paket passt zu meinem Unternehmen?

Pentest Basis

Bei dieser Stufe geht es primär um einen monatlichen Überblick der Verwundbarkeit Ihrer Systeme aus dem Internet. Wir empfehlen das Basis-Paket, wenn Sie nur wenige und unkritische Systeme haben, die aus dem Internet erreichbar sein müssen. Außerdem sollten Sie nur selten Änderungen an Ihren Systemen durchführen.

Pentest Business

Wenn Sie auf eine regelmäßige Prüfung der Verwundbarkeit Ihrer Systeme, Anbindungen und angeschlossenen Partnerunternehmen angewiesen sind, empfehlen wir Ihnen das Business-Paket. Es eignet sich, wenn Sie Änderungen an erreichbaren Systemen maximal einmal im Monat durchführen. Der wöchentliche Prüfrhythmus ist angemessen bei mäßig kritischen Systemen (Verfügbarkeit, Vertraulichkeit und Integrität), die aus dem Internet erreichbar sind.

Pentest Management

Haben Sie Systeme mit kritischen Daten, die aus dem Internet erreichbar sind?  Führen Sie laufend Änderungen an erreichbaren Systemen durch? Dann empfehlen wir Ihnen das Management-Paket. Die erreichbaren Systeme, angeschlossene Dienstleister, Internetanbindungen wie auch ggf. im Darknet auftauchende Daten des Unternehmens werden täglich überprüft bzw. gesucht. So können Sie umgehend reagieren, eine Rufschädigung des Unternehmens verhindern oder abmildern und ggfs. drohende Bußgelder vermeiden.

Häufig gestellte Fragen zum Pentest

Welche Produkte werden beim Pentest eingesetzt?

Neben spezifischen Entwicklungen werden OWASP Zap Web Application Security Scanner und Openvas Open Source Schwachstellenscanner eingesetzt.

Erfolgt der Schwachstellenscan durch einen Menschen oder automatisiert?

Der Schwachstellenscan erfolgt vollautomatisch und zeitgesteuert.

Wie bekomme ich die Ergebnisse der Pentests?

Sie erhalten Zugriff auf ein Webportal, in dem Sie alle Details zum Scan und dessen Ergebnisse ansehen können. Zusätzlich erhalten Sie eine E-Mail.

Was ist der Unterschied zwischen einem Scan einer Domäne und dem Scan einer IP-Adresse?

Bei dem Scan einer Domäne wird im ersten Schritt im zugehörigen DNS-Server nach Subdomains oder anderen Einträgen untersucht, die Hinweise auf verwendete IP-Adressen geben. Diese IP-Adressen werden dann einzeln im Detail überprüft.

Bei einer Überprüfung einer IP-Adresse wird nur die spezifische IP-Adresse überprüft. Andere Zusammenhänge, die sich über die anderen verwendeten IP-Adressen oder Verweise im DNS-Server ergeben, wie andere ISP, andere Dienstleister, Schwachstellen anderer Hosts, Verwendung des Domänennamens im Darknet oder Mailadressen mit dem Domänennamen werden nicht überprüft.

Eine Prüfung einer Domäne ist der Prüfung einer spezifischen IP-Adressen vorzuziehen, da sonst nicht alle Schwachstellen einer Domäne erkannt werden können.

Darf der Dienstleister auch ohne Einwilligung geprüft werden?

Ja. Die Prüfung von Dienstleistern erfolgt auf Basis öffentlich verfügbarer Werte. Im Rahmen eines Gutachtens wurde diese Auffassung geprüft und bestätigt. Eine Einwilligung der Dienstleister muss nicht erfolgen.

Was sind CVSS-Scorecards?

Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen. Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten Metrics bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. Eine manuelle Berechnung kann erfolgen auf: https://www.first.org/cvss/calculator/3.1.

Was bedeutet die CVE?

CVE steht für Common Vulnerabilities and Exposures und ist ein Industriestandard zur Benennung von Sicherheitslücken in Computersystemen. Die CVE-Nummer der gefundenen Schwachstelle ist eine Kennung für häufig auftretende Schwachstellen und Sicherheitslücken (Exploits) und deren meist eindeutige Bezeichnung.

Leistungsbeschreibung zum Pentest

Bitte beachten Sie folgende Hinweise zum Leistungsumfang unseres Pentests:

  1. Die Pentests werden von unserem Dienstleister als unser Auftragsverarbeiter durchgeführt. Ein entsprechender Auftragsverarbeitungsvertrag wurde geschlossen. Ihr Vertragspartner ist die activeMind.legal Rechtsanwaltsgesellschaft mbH.
  2. Die Pentests finden vollautomatisch in der gewählten Frequenz statt.
  3. Die Leistungserbringung erfolgt durch die jeweilige Zusendung der Ergebnisse per E-Mail sowie durch Bereitstellung im Pentest-Portal. Die Ergebnisse der Pentests erhalten Sie ausschließlich in deutscher Sprache.
  4. Die Mindestvertragslaufzeit beträgt sechs Monate ab Kaufdatum.
  5. Nach Ablauf der Mindestvertragslaufzeit ist Ihr Paket monatlich kündbar. Laufende bzw. bereits abgerechnete Monate werden nicht erstattet. Die Kündigung erfolgt über Ihr Benutzerkonto auf www.activeMind.shop oder schriftlich.