Penetrationstests: Schwachstellen finden & priorisieren

Penetrationstests: Schwachstellen finden & priorisieren

Schwachstellen erkennen, bevor Angreifer es tun

Ein Penetrationstest (Pentest) ist eine gezielte technische Sicherheitsanalyse, mit der wir Schwachstellen in Anwendungen, Netzwerken oder Cloud-Umgebungen identifizieren und bewerten. Im Risiko- und Informationssicherheitsmanagement werden Penetrationstests zudem häufig zur Wirksamkeitsprüfung der implementierten Sicherheitsmaßnahmen eingesetzt. In einem Penetrationstest simulieren wir reale Angriffe unter kontrollierten Bedingungen mit dem Ziel:

  • Sicherheitsmängel und Schwachstellen aufzudecken, bevor sie durch echte Angreifer ausgenutzt werden können
  • die Wirksamkeit vorhandener Sicherheitsmaßnahmen zu überprüfen, bevor ein System in die produktive Phase übergeht

Unsere zertifizierten Penetrationstester prüfen Systeme, Anwendungen, Infrastrukturen und Prozesse (Prüfobjekte) nach anerkannten Standards wie jene der OWASP Foundation als auch der IS-Penetrationstest-Methode des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Als Ergebnis erhalten Sie einen hochwertigen Prüfbericht mit praxisnahen Handlungsempfehlungen, die Sie unmittelbar zur Risikoreduktion umsetzen können.

Typische Ziele unserer Kunden:

  • Nachweis der Wirksamkeit von Sicherheitsmaßnahmen (z. B. ISO 27001, NIS-2, DORA, MDR/FDA)
  • Aufdecken von Schwachstellen und Sicherheitsmängeln welche durch die vorhandenen Schutzmaßnahmen nicht oder nur unzureichend behandelt werden
  • Vorbereitung auf Audits oder Zertifizierungen

Möchten Sie den Ernstfall realistisch durchspielen? Dann ist unsere Angriffssimulation & Red Teaming die passende Ergänzung.

Vorgehensweise unserer Penetrationstests

Grundsätzlich findet zunächst ein kostenfreies persönliches Gespräch mit dem Interessenten statt, um seinen individuellen Bedarf zu verstehen und eine realistische Aufwandsschätzung zu ermöglichen. Dabei spielen insbesondere folgende Faktoren eine Rolle:

  • Anzahl und Art der Prüfobjekte (sieh unten für Beispiele)
  • gewünschte Vorgehensweise
  • gewünschte Prüftiefe
  • bevorzugter Prüfort

Auf Basis dieses ersten Austauschs erhält der potenzielle Auftraggeber anschließend ein kostenfreies, unverbindliches Angebot.

Im folgenden finden Sie eine Auswahl möglicher Prüfobjekte. Bitte zögern Sie nicht uns dennoch zu kontaktieren, falls Sie sich in der folgenden Liste nicht wiederfinden. Gerne prüfen wir Ihren individuellen Bedarf.

Web-Anwendung und API

Wir simulieren gezielte Angriffe auf Ihre Webanwendungen, um Sicherheitslücken zu identifizieren, bevor Angreifer sie ausnutzen. Unsere Prüfungen orientieren sich an den OWASP Top 10 und werden auf die Besonderheiten Ihrer Applikationen abgestimmt. Optional führen wir auch Code Reviews durch, um potenzielle Schwachstellen direkt im Quellcode aufzudecken.

Mobile Apps

Mobile Anwendungen verarbeiten oft sensible Daten und greifen auf exponierte Backends zu. Wir analysieren sowohl die App selbst als auch die verbundenen Systeme, um potenzielle Schwachstellen ganzheitlich zu erkennen, basierend auf den OWASP Mobile Top 10.

  • Sicherheitsanalyse von App & Backend
  • Prüfung von Datenflüssen und Authentifizierungsmechanismen
  • Analyse der Kommunikationskanäle und API-Schnittstellen
  • Empfehlungen zur Absicherung von Entwicklungs- und Build-Prozessen
  • Vertiefung durch Mobile-Security-Schulungen
IoT- & Hardware-Tests

Das Internet of Things (IoT) verbindet Geräte, Daten und Cloud-Systeme und erhöht damit die Angriffsfläche. Wir prüfen Ihre Hardware und deren Software-Stacks auf Schwachstellen, untersuchen Kommunikationsprotokolle sowie Schnittstellen (z. B. JTAG) und bewerten Ihre Update- und Sicherheitsstrategien.

  • Prüfung von Embedded Devices, Firmware und Schnittstellen
  • Analyse von Kommunikations- und Cloud-Integrationen
  • Bewertung physischer Angriffsvektoren
  • Empfehlungen für sicheres Device Lifecycle Management
System- & Betriebssystem-Härtung

Wir überprüfen die Konfigurationen Ihrer Systeme (Windows, Linux, macOS) sowie Ihrer Cloud-Plattformen (Azure, AWS, GCP) auf Angriffsresistenz, um sicherzustellen, dass Ihre Systemhärtung dem Stand der Technik entspricht.

  • Analyse und Härtung von Betriebssystemen
  • Prüfung sicherheitsrelevanter Konfigurationen
  • Vergleich mit Best Practices und CIS Benchmarks
  • Empfehlungen zur Automatisierung von Hardening-Prozessen
Netzwerke & Infrastruktur

Wir testen Ihre Netzwerke, On-Premises, Cloud oder Hybrid auf Sicherheitslücken, unautorisierte Zugriffe und fehlerhafte Segmentierungen. Unsere Prüfungen decken Schwachstellen in Firewalls, VPNs, Routern und anderen kritischen Komponenten auf.

  • Netzwerk- und Firewall-Tests
  • Segmentierungs- und Zugriffskontrollen
  • Analyse der Kommunikationspfade und Sicherheitsrichtlinien
  • Bewertung der Angriffsfläche und Empfehlungen zur Härtung
Active Directory & Entra ID

Active Directory (AD), Entra ID und verwandte Dienste wie IAM, DNS oder PKI sind zentrale Angriffspunkte moderner Infrastrukturen. Wir analysieren Konfiguration, Berechtigungsstrukturen und Sicherheitsrichtlinien, um potenzielle Schwachstellen und Privilege Escalation-Pfade aufzudecken.

  • Prüfung von Berechtigungen und Gruppenrichtlinien
  • Erkennung verwaister oder überprivilegierter Konten
  • Analyse von Authentifizierungsmechanismen und Trusts
  • Empfehlungen für sichere Rollen- und Zugriffsmodelle

Hinweis: Planen Sie Penetrationstests idealerweise mit einem Vorlauf von etwa zwei Monaten, damit sich alle Beteiligten ausreichend auf die Sicherheitsprüfung vorbereiten können.

Nach Beauftragung erfolgt die Durchführung des Penetrationstest üblicherweise in den folgenden drei Phasen (Anpassungen an Ihre individuellen Bedürfnisse sind in jeder Phase möglich):

Kurz zusammengefasst:

  1. Vorbereitung: Ziele, Scope, Rahmenbedingungen, Vertraulichkeit und Testumgebung werden geklärt.
  2. Durchführung: Unsere zertifizierten Penetrationstester prüfen Ihre Systeme mit einer Kombination aus automatisierten Verfahren und manuellen Analysen.
  3. Abschluss: Sie erhalten einen priorisierten Prüfbericht, eine Abschlusspräsentation und konkrete Maßnahmenempfehlungen.

Phase 1: Vorbereitung

Nach der Beauftragung beginnt die Vorbereitungsphase, in der alle organisatorischen, rechtlichen und technischen Rahmenbedingungen definiert werden. Ziel ist es, einen rechtskonformen, effizienten und risikominimierten Ablauf des Penetrationstests sicherzustellen.

1. Non-Disclosure-Agreement (NDA)

Zum Schutz sensibler Informationen wird ein NDA bzw. eine Geheimhaltungsvereinbarung abgeschlossen. Darin wird geregelt, dass keinerlei Informationen zu:

  • festgestellten Sicherheitsmängeln,
  • internen Abläufen, Organisationsstrukturen oder IT-Architekturen,
  • sowie geteiltem Know-How

an Dritte weitergegeben werden dürfen.

2. Datenschutz

Sind personenbezogene Daten betroffen, sollte der Datenschutzbeauftragte sowie ggf. die Personalvertretung frühzeitig eingebunden werden. Zu klären sind insbesondere:

  • Zweck des Penetrationstests,
  • Umgang mit personenbezogenen Daten,
  • Verfahren zur Anonymisierung,
  • Löschung sensibler Daten nach Abschluss der Analyse.

Datenschutz hat bei der zentrust jederzeit höchste Priorität.

3. Geheimschutz (VS–NfD)

Die zentrust kann Systeme prüfen, die bis VS-NfD eingestufte Informationen verarbeiten. Die zuständige Geheimschutzstelle legt fest:

  • wie die Prüfung nach VS-Regelwerken durchzuführen ist,
  • welche Zugangsberechtigungen erforderlich sind.

Nur entsprechend berechtigte Personen erhalten Zugriff auf VS-eingestufte Informationen.

4. Benachrichtigung relevanter Personen

Zu informieren sind u. a.:

  • IT-Sicherheitsbeauftragter,
  • betroffene Fachabteilungen,
  • Drittdienstleister (z. B. Hosting- oder Cloudanbieter),
  • gegebenenfalls Mitarbeitende oder Kunden.

Da Testdurchführungen zu kurzfristigen System- oder Netzwerklasten führen können, ist eine klare Kommunikation vorab essenziell.

5. Abstimmung mit Wartungsfenstern

Der Penetrationstest darf nicht mit Wartungsarbeiten kollidieren. Änderungen während des Tests können:

  • die Aussagekraft der Ergebnisse beeinträchtigen,
  • unnötige Risiken verursachen,
  • zu Fehlinterpretationen führen.

Eine zentrale Abstimmung wird dringend empfohlen.

6. Aufbau einer stabilen Testumgebung

Wo möglich, sollte nicht gegen Produktivsysteme getestet werden. Stattdessen empfiehlt sich eine separate Testumgebung, die der Produktion entspricht hinsichtlich:

  • Sicherheitsmaßnahmen,
  • Netzwerksegmentierung,
  • Rollen- und Benutzerkonzepten,
  • eingesetzten Technologien.

Ziele: minimale Betriebsrisiken, realistische Ergebnisse, sichere Testdurchführung.

7. Informationsbereitstellung

Der Auftraggeber sollte möglichst bereitstellen:

  • Architektur- und Systemdokumentation,
  • Benutzer- und Rollenmodelle,
  • Schnittstellenübersichten,
  • eine Demo aus Anwendersicht.

Dies reduziert Rückfragen und verbessert die Testeffizienz.

8. Sichere Kommunikationskanäle

Zu Beginn wird festgelegt:

  • welche verschlüsselten Kommunikationswege genutzt werden,
  • wie sensible Dokumente (z. B. Zwischenberichte) übermittelt werden.
9. Terminkoordination

Zu planen sind u. a.:

  • Interviews mit verantwortlichen Personen,
  • Zugangsfreigaben,
  • Bereitschaftszeiten für Rückfragen.
10. Prüfbericht: Sprache & Liefertermin
  • verbindlicher Abgabetermin,
  • gewünschte Sprache (Deutsch/Englisch),
  • Format- oder Strukturvorgaben.
11. Festlegung des exakten Prüfzeitraums

Start- und Endzeitpunkte werden fest definiert, damit alle beteiligten Teams vorbereitet sind und notwendige Zugänge rechtzeitig bereitstehen.

Phase 2: Durchführung

Die Durchführung des Penetrationstests stellt die zentrale Projektphase dar. Unter den zuvor abgestimmten Rahmenbedingungen führen unsere zertifizierten Penetrationstester eine umfassende technische Analyse des Prüfobjekts durch. Dabei kommen sowohl etablierte als auch zielgerichtet ausgewählte Methoden, Werkzeuge und Prüfverfahren zum Einsatz, um die Sicherheit des Systems realitätsnah zu bewerten.

Die folgenden Beispiele zeigen exemplarisch die Durchführung verschiedener Penetrationstests:

Penetrationstest Web-Anwendung (Umfang 5 Personentage)
  1. Methodik

Im Rahmen des White-Box-Penetrationstests kombinieren wir automatisierte SAST-Techniken mit einer tiefgehenden manuellen Quellcodeanalyse, um Implementierungsfehler, fehlerhafte Sicherheitslogik und strukturelle Schwachstellen bereits auf Code-Ebene zuverlässig zu identifizieren. Neben der maschinellen Erkennung untersuchen unsere Experten gezielt sicherheitskritische Bereiche, Architekturentscheidungen und komplexe Kontrollflüsse, die automatisierte Tools oftmals nicht erfassen können.

Der dynamische Anwendungssicherheitstest (DAST) wird durch unsere Penetrationstester um kreative Angriffstechniken, Angriffsvektorkombinationen und individuelle Angriffspfad-Analysen erweitert, die über die Fähigkeiten jeder automatisierten Lösung hinausgehen. Während DAST die laufende Anwendung und ihre Schnittstellen auf ausnutzbare Schwachstellen prüft, beziehen unsere Tester zusätzlich den konkreten Anwendungskontext, die abbildeten Geschäftsprozesse sowie mögliche unbeabsichtigte Interaktionen zwischen Komponenten ein. Dadurch werden komplexe Schwachstellen erkannt, die nur durch menschliches Verständnis der Anwendung und ihrer Abläufe identifiziert werden können.

Durch die Kombination aus SAST + manueller Codeanalyse sowie DAST + kreativer manueller Angriffssimulation erreichen wir eine besonders hohe Testtiefe und decken sowohl statische Implementierungsfehler als auch realistisch ausnutzbare Schwachstellen in der Laufzeitumgebung ab.

  1. Prüfobjekt und Prüftiefe

Das folgende Prüfobjekt wurde im Rahmen der Vorbesprechung zur Angebotserstellung definiert:

  • Web-Anwendung
    • Wir überprüfen, ob die Web-Anwendung resilient gegen die häufigsten Schwachstellen in Web-Anwendungen ist. Hierzu überprüfen wir alle Schwachstellen-Klassifizierungen, welche in den OWASP Top 10 Web 2025 (aktueller Release-Kandidat, auf Wunsch können alternativ die OWASP Top 10 2021 geprüft werden) aufgeführt sind:
      • A01:2025 - Broken-Access-Control: Wir prüfen, ob Benutzer nur auf die Ressourcen und Funktionen zugreifen können, für die sie autorisiert sind, und ob unautorisierte Zugriffe durch fehlerhafte Zugriffskontrollen verhindert werden.
      • A02:2025 - Security-Misconfiguration: Wir prüfen, ob Systeme, Server und Anwendungen sicher konfiguriert sind, z. B. keine unnötigen Dienste aktiv sind, Standardpasswörter geändert wurden und sicherheitsrelevante Header oder Berechtigungen korrekt gesetzt sind.
      • A03:2025 - Software-Supply-Chain-Failures: Wir prüfen, ob die eingesetzten Bibliotheken, Abhängigkeiten, Build-Prozesse und Software-Komponenten aus vertrauenswürdigen Quellen stammen und gegen Manipulation oder Kompromittierung geschützt sind.
      • A04:2025 - Cryptographic-Failures: Wir prüfen, ob kryptografische Verfahren korrekt implementiert und aktuelle Standards verwendet werden, um die Vertraulichkeit und Integrität sensibler Daten zu gewährleisten.
      • A05:2025 - Injection: Wir prüfen, ob Benutzereingaben korrekt validiert, bereinigt und parametrisiert werden, um Angriffe wie SQL-, Command- oder Script-Injection zu verhindern.
      • A06:2025 - Insecure-Design: Wir prüfen, ob die Anwendung bereits auf Architekturebene sicher entworfen wurde, etwa durch Threat-Modeling, Sicherheitsprinzipien und den gezielten Einsatz von Schutzmechanismen.
      • A07:2025 - Authentication-Failures: Wir prüfen, ob Authentifizierungsmechanismen sicher implementiert sind, z. B. durch starke Passwortrichtlinien, Multi-Faktor-Authentifizierung und korrekte Session-Verwaltung.
      • A08:2025 - Software-or-Data-Integrity-Failures: Wir prüfen, ob Software, Updates und Daten auf Integrität und Authentizität überprüft werden, um Manipulationen und unautorisiertes Ändern von Inhalten zu verhindern.
      • A09:2025 - Logging-and-Alerting-Failures: Wir prüfen, ob sicherheitsrelevante Ereignisse ausreichend protokolliert und Warnmeldungen ausgelöst werden, damit Angriffe oder Anomalien zeitnah erkannt und behandelt werden können.
      • A10:2025 - Mishandling-of-Exceptional-Conditions: Wir prüfen, ob Fehler- und Ausnahmebedingungen korrekt behandelt werden, ohne sicherheitsrelevante Informationen preiszugeben oder ungewollte Zustände zu erzeugen.
  1. Abgrenzung des Prüfumfangs

Im Rahmen des Penetrationstests werden keine physischen Angriffe, Social-Engineering-Tests oder Denial-of-Service (DoS/DDoS)-Szenarien durchgeführt.

Penetrationstest Medizingerät, FDA Premarket-Submission (Umfang 15 Personentage)
  1. Regulatorische Rahmenbedingungen für den Penetrationstest im Rahmen der Premarket-Submission FDA

Bei der Durchführung eines White-Box-Penetrationstests im Kontext einer FDA-Premarket-Submission orientieren sich die Prüfmethoden an den sicherheitsrelevanten Empfehlungen der aktuellen FDA-Guidance für Medizinprodukte.

Der Prüfplan wird in der Vorbereitungsphase individuell erarbeitet und bildet die Grundlage für alle nachfolgenden Tests.

Die nachfolgenden Sicherheitsanforderungen dienen als strukturierte Übersicht der wesentlichen Prüfpunkte:

  • Authentication
    • Wir prüfen, ob Authentifizierungsmechanismen der Software und des Betriebssystems unbefugten Zugriff zuverlässig verhindern und ob Identitäten sicher gespeichert, verwaltet und verifiziert werden.
  • Authorization
    • Wir analysieren Rollen- und Berechtigungskonzepte, um sicherzustellen, dass unautorisierte Zugriffe auf sicherheits- oder patientenbezogene Funktionen ausgeschlossen sind.
  • Cryptography
    • Wir bewerten die Implementierung kryptografischer Mechanismen hinsichtlich Vertraulichkeit, Integrität und Authentizität von Daten sowie deren korrekte Konfiguration.
  • Code/Data/Execution Integrity
    • Wir prüfen, ob Schutzmechanismen gegen Manipulationen, unautorisierte Codeausführung oder Integritätsverletzungen wirksam umgesetzt sind.
  • Confidentiality
    • Wir untersuchen, ob sensible Patienten-, Diagnose- und Systemdaten während Speicherung, Übertragung und Verarbeitung angemessen geschützt sind.
  • Event Detection & Logging
    • Wir bewerten, ob sicherheitsrelevante Ereignisse erkannt, protokolliert und ausgewertet werden können, um Angriffe schnell zu identifizieren.
  • Resiliency & Recovery
    • Wir prüfen die Widerstandsfähigkeit des Systems gegenüber Angriffen, Fehlfunktionen oder Datenkorruption und bewerten vorhandene Wiederanlauf- und Recovery-Mechanismen.
  • Updatability / Patchability
    • Wir analysieren, ob sicherheitskritische Updates, Patches und Wartungsverfahren nachvollziehbar, sicher und ohne Gefährdung der klinischen Funktionalität durchgeführt werden können.

Hinweis: Die oben aufgeführten Sicherheitsanforderungen dienen der Übersicht. Ein detaillierter Prüfplan, welcher als Grundlage für den White-Box-Penetrationstest dient, wird durch die Prüfer der zentrust in der Vorbereitungsphase entwickelt.

  1. Analyse von Hardware und physischen Schnittstellen

Der White-Box-Penetrationstest umfasst eine Analyse der Hardware-Komponenten und deren physischen Schnittstellen. Hierbei werden diese Komponenten auf Schwachstellen und Sicherheitsmängel analysiert welche durch einen Angreifer mit temporärem Zugriff auf das Prüfobjekt (Beispiel: Patient für kurze Zeit unbeaufsichtigt mit Prüfobjekt) geprüft.

Die Prüfer bedienen sich in dieser Phase primär „auf dem freien Markt“ zugänglichen Angriffswerkzeugen um dem gewählten Angriffszenario/Angriffspotenzial (siehe unten) Rechnung zu tragen.

  1. Analyse von Software, Betriebssystem und Schnittstellen (SAST & DAST)

Im Rahmen des White-Box-Penetrationstests kombinieren wir automatisierte SAST-Techniken mit einer tiefgehenden manuellen Quellcodeanalyse, um Implementierungsfehler, fehlerhafte Sicherheitslogik und strukturelle Schwachstellen bereits auf Code-Ebene zuverlässig zu identifizieren. Neben der maschinellen Erkennung untersuchen unsere Experten gezielt sicherheitskritische Bereiche, Architekturentscheidungen und komplexe Kontrollflüsse, die automatisierte Tools oftmals nicht erfassen können.

Der dynamische Anwendungssicherheitstest (DAST) wird durch unsere Penetrationstester um kreative Angriffstechniken, Angriffsvektorkombinationen und individuelle Angriffspfad-Analysen erweitert, die über die Fähigkeiten jeder automatisierten Lösung hinausgehen. Während DAST die laufende Anwendung und ihre Schnittstellen auf ausnutzbare Schwachstellen prüft, beziehen unsere Tester zusätzlich den konkreten Anwendungskontext, die abbildeten Geschäftsprozesse sowie mögliche unbeabsichtigte Interaktionen zwischen Komponenten ein. Dadurch werden komplexe Schwachstellen erkannt, die nur durch menschliches Verständnis der Anwendung und ihrer Abläufe identifiziert werden können.

Durch die Kombination aus SAST + manueller Codeanalyse sowie DAST + kreativer manueller Angriffssimulation erreichen wir eine besonders hohe Testtiefe und decken sowohl statische Implementierungsfehler als auch realistisch ausnutzbare Schwachstellen in der Laufzeitumgebung ab.

Zusätzlich wird die Härtung des Microsoft Windows Betriebssystems für die definierten Umgebungs- und Betriebsbedingungen während des White-Box-Penetrationstests analysiert. Die Analyse der Härtung umfasst einen Vergleich mit international anerkannten Standards (Sicherheitsempfehlungen) für die sichere Ausführung des Betriebssystems.

Zu diesem Zweck wird der CIS (Center for Internet Security) Benchmark für Microsoft Windows 11 / Windows 11 Enterprise als primärer Referenzstandard herangezogen. Der CIS-Benchmark dient als Baseline für empfohlene Konfigurations- und Sicherheitsmaßnahmen (Gruppenrichtlinien, Registry-Einstellungen, Services, Audit-Konfigurationen, Firewall- und Verschlüsselungseinstellungen etc.). Die Prüfung berücksichtigt die jeweils aktuelle Version des CIS-Benchmarks, die für den Ziel-Build relevant ist.

  1. Bewertung des Angreiferpotenzials (CEM – Common Methodology for IT Security Evaluation)

Zur Bewertung der Sicherheit des Prüfobjekts wurde das Angreiferpotenzial gemäß der Common-Methodology-for-Information-Technology-Security-Evaluation (CEM) bestimmt. Die Bestimmung des Angreiferpotenzials dient dazu, die erwarteten Fähigkeiten, Ressourcen und Motivationen potenzieller Angreifer zu klassifizieren und damit den erforderlichen Prüfaufwand sowie die Aussagekraft der Testergebnisse nachvollziehbar und reproduzierbar zu gestalten. Dabei werden Faktoren wie Fachwissen, Kenntnis des ToE, Zugriffsmöglichkeiten, Ausrüstung sowie Zeitaufwand (siehe Tabelle B.2 der CEM) herangezogen, um das erwartete Angreiferpotenzial zu charakterisieren.

Diese Vorgehensweise ermöglicht eine transparente Einordnung der Prüfergebnisse in Bezug auf die realistisch zu erwartenden Bedrohungsszenarien im Rahmen der beabsichtigten Anwendung und des vorgesehenen Einsatzumfeldes des Prüfobjektes.

Die resultierende Punktzahl erlaubt eine Einordnung des erforderlichen Aufwands zur erfolgreichen Ausnutzung einer Schwachstelle in eine von fünf Kategorien (siehe Tabelle B.3 der CEM):

PunktebereichKategorieBeschreibung
0–9BasicAngriffe können von technisch versierten Laien oder Gelegenheitstätern mit frei verfügbaren Mitteln durchgeführt werden.
10–13Enhanced BasicAngriffe erfordern bereits ein gewisses Maß an Fachwissen und zielgerichtete Vorbereitung.
14–19ModeratAngriffe setzen fundierte technische Kenntnisse und spezialisierte Werkzeuge voraus.
20–24HighAngriffe sind nur mit erheblichem Aufwand, spezieller Ausrüstung und erfahrenem Fachpersonal realisierbar.
≥25Beyond HighAngriffe erfordern außergewöhnliche Ressourcen, umfangreiches Fachwissen und erheblichen zeitlichen Aufwand; sie liegen typischerweise außerhalb des realistisch zu erwartenden Angreiferpotenzials im vorgesehenen Einsatzkontext.

Im Rahmen des White-Box-Penetrationstest wird erwartet, dass die Wirksamkeit der Schutzmaßnahmen welche durch die Sicherheitsanforderungen aus der FDA-Guidance implizit vorgegeben werden, dem berechneten Angreiferpotenzial standhalten. Kann die Wirksamkeit nicht nachgewiesen werden, so wird dies als eine Abweichung (Fail) erfasst. In den unten aufgeführten Angriffsszenarien wird die für das geschilderte Angriffsszenario spezifische Berechnung in tabellarischer Form aufgeführt

  1. Angriffsszenarien und Angreiferpotenzial

Szenario „Physisch“

In diesem Angriffsszenario wird ein Angreifer simuliert, der für einen kurzen Zeitraum unbeaufsichtigten physischen Zugriff auf das Prüfobjekt erhält. Es wird angenommen, dass der Angreifer aus finanziellen Motiven handelt und ein besonderes Interesse am Zugriff auf unzureichend geschützte Patienteninformationen (Vertraulichkeit) hat. Erfolgt ein erfolgreicher Zugriff, könnten diese Informationen verkauft oder zur Erpressung verwendet werden.

Beispiel: Ein Patient (Angreifer) wird zu einer Untersuchung in der Arzt-Praxis in das Untersuchungszimmer geführt. Die Tür zum Flur wird mit dem Hinweis geschlossen, dass der Arzt in Kürze erscheinen wird. In diesem Zeitraum hat der Angreifer unbeaufsichtigten physischen Zugriff auf das Prüfobjekt.

Da der Angreifer unentdeckt bleiben möchte, scheiden aufwändige physische Manipulationen, beispielsweise das Öffnen des Gehäuses, aus. Der Angriff konzentriert sich daher auf physisch zugängliche Schnittstellen sowie Ein- und Ausgabegeräte des Systems.

Berechnung des Angreiferpotenzials für dieses Szenario:

FaktorKommentarWert
ZeitaufwandWenige Minuten0
FachwissenExperte6
Kenntnis ToEÖffentlich0
ZugriffsmöglichkeitenEinfach1
AusrüstungStandard0
Ergebnis7 (Basic)

Szenario „Netzwerk“

In diesem Angriffsszenario wird ein Angreifer simuliert, der über das Netzwerk auf das Prüfobjekt zugreift. Es wird angenommen, dass sich der Angreifer bereits innerhalb des internen Netzwerks einer Arzt-Praxis befindet.

Der Angreifer handelt aus finanziellen Motiven und hat das Ziel, auf sensible Patienteninformationen zuzugreifen oder die Funktionsfähigkeit des medizinischen Geräts zu beeinträchtigen, um Lösegeldforderungen zu stellen. Das Hauptaugenmerk liegt hierbei auf der Vertraulichkeit und Verfügbarkeit der verarbeiteten Daten.

Beispiel: Nach einer erfolgreichen Kompromittierung eines Arbeitsplatzrechners im Praxisnetzwerk scannt der Angreifer das interne Netz nach erreichbaren Geräten. Das Prüfobjekt wird als vernetztes medizinisches Gerät identifiziert, das über standardisierte Protokolle (z. B. TCP/IP, HTTP oder proprietäre Schnittstellen) kommuniziert. Der Angreifer versucht, über bekannte oder unsicher konfigurierte Netzwerkdienste, Standardzugänge oder fehlende Authentifizierungsmechanismen Zugriff auf das Gerät oder die übertragenen Daten zu erlangen.

Da der Angriff verdeckt und aus der Ferne erfolgt, stehen dem Angreifer keine physischen Manipulationsmöglichkeiten zur Verfügung. Das Angriffsszenario erfordert technisches Fachwissen über Netzwerkinfrastrukturen, gängige Angriffsvektoren sowie Kenntnisse über die Kommunikationsschnittstellen des Prüfobjekts.

Berechnung des Angreiferpotenzials für dieses Szenario:

FaktorKommentarWert
ZeitaufwandZwei Wochen2
FachwissenMehrere Experten8
Kenntnis ToEÖffentlich0
ZugriffsmöglichkeitenEinfach1
AusrüstungSpezialisierte Tools7
Ergebnis18 (Moderate)
  1. Abgrenzung des Prüfumfangs

Im Rahmen des Penetrationstests werden keine Social-Engineering-Tests durchgeführt.

Phase 3: Abschluss

Die Ergebnisse des Penetrationstest werden in einem Prüfbericht (PDF) festgehalten. Die Übermittlung der Lieferobjekte erfolgt in einem AES256 verschlüsselten 7z-Archiv z. B. per E-Mail oder einen vom Kunden bereitgestellten Dateitransfer, das benötigte Passwort wird auf einem sicheren Kanal übermittelt (welcher sichere Kanal genutzt wird, ist Teil der Abstimmung im Kick-Off-Meeting). Nach Fertigstellung des Prüfberichts wird dieser zunächst als Entwurf an den Auftraggeber übermittelt. Der Entwurf dient als Grundlage für die Abschlusspräsentation. Nach Durchführung der Abschlusspräsentation wird der finale Prüfbericht geliefert. Der Prüfbericht wird sich im Detail wie folgt zusammensetzen:

  • Management-Summary, inklusive Schlussfolgerung des Sicherheitsniveaus basierend auf den ermittelten Ergebnissen. Zielgruppe sind Nicht-IT-Kundige.
  • Befundübersicht in tabellarischer Form
  • Durchgeführte Prüfschritte und deren Ergebnisse in tabellarischer Form
  • Rahmenbedingungen, Geltungsbereich, eingesetzte Werkzeuge
  • Detaillierter technischer Befundbericht mit mindestens den folgenden Angaben pro Befund:
    • Bestimmung des Schweregrad gemäß Base-Score des Common-Vulnerability-Scoring-System (CVSS) v4.0 wo anwendbar. Falls nicht anwendbar wird die Risikoklassifikation in Anlehnung an den BSI Standard 200-3 durchgeführt.
    • Detaillierte Beschreibung des Sicherheitsmangels oder der Schwachstelle
    • Empfehlung zur Verringerung des Risikos und/oder Behebung der Schwachstelle
  • Versionshistorie
  • Informationen zur Bereinigung der Testumgebung
  • Glossar
  • Informationen zur sicheren Handhabe des Prüfberichts
  • Log-Files der eingesetzten Tools können auf Anfrage bereitgestellt werden.

Die Abschlusspräsentation auf Basis des Entwurf des Prüfberichts dient der Erläuterung der Ergebnisse sowie der Möglichkeit gegenseitig Fragen zu stellen. Es kann vorkommen, dass Anpassungen an dem Entwurf des Prüfberichts notwendig sind, welche in die finale Version des Prüfberichts einfließen.

Ihre Investition für die Durchführung eines Penetrationstest

Die Höhe der notwendigen Investition in einen unserer Penetrationstests richtet sich üblicherweise nach der Zeit welche unsere Projektleiter und zertifizierten Penetrationstester benötigen. In seltenen Fällen kann es notwendig sein, dass spezielle Hardware zur Durchführung des Penetrationstest beschafft werden muss. Zudem können bei Vor-Ort-Prüfungen auch Reisekosten anfallen.Penetrationstest

In jedem Fall werden unsere Kosten für Sie transparent und verbindlich in einem kostenfreien Angebot ersichtlich. Bei uns gibt es keine versteckten Kosten!

Damit Sie ein Gespür dafür bekommen, in welcher Höhe Ihre Investition für die Durchführung eines unserer Penetrationstests liegen könnte, haben wir Ihnen hier einmal ein paar Beispiele aufgeführt:

SzenarioInvestitionssumme (netto)
Web-Anwendung, APIs (OWASP Top 10)8.000 €
Mobile App iOS & Android (Cross-Plattform)9.000 €
Mobile App iOS & Android (nativ, beide Plattformen)13.000 €
Externe Unternehmensangriffsfläche (Internet-Exposition)8.000 €
Unternehmensnetzwerk & Active Directory (Assumed Breach)12.000 €

Hinweis: Die aufgeführten Investitionskosten variieren von Auftrag zu Auftrag und werden maßgeblich durch Ihre individuellen Bedürfnisse bestimmt.

Wenn Sie ein Interesse an einer längerfristigen Partnerschaft mit größeren Pentest-Volumen haben, bieten wir Ihnen selbsverständlich attraktive Sonderkonditionen.

Warum Penetrationstests mit zentrust?

  • Zertifizierte Penetrationstester mit Erfahrung in regulierten Branchen (u. a. Medizinprodukte, Finanzdienstleister, kritische Infrastrukturen).
  • Kombination aus automatisierten Verfahren und manueller Analyse, inklusive Quellcode-Reviews und kreativer Angriffsszenarien.
  • Ausrichtung an etablierten Standards (OWASP, BSI, CIS Benchmarks, CVSS, CEM).
  • Management-taugliche Berichterstattung mit klarer Risikobewertung und priorisierten Maßnahmen.
  • Auf Wunsch: Begleitung bei der Behebung (Retests, technische Sparrings, Schulungen).