Ein IT-Sicherheits-Penetrationstest dient der Bewertung des Angriffspotenzials auf IT-Netzwerke und -Systeme. Dabei können sowohl die installierten Anwendungen als auch die Hintergrundsysteme überprüft werden.
Typische Testziele sind Webanwendungen, mobile Anwendungen, Netzwerkkomponenten, Security Gateways und Server. Es gibt zwei Haupttypen von Tests: Blackbox- und Whitebox-Tests. Blackbox-Tests simulieren Angriffe mit begrenzten Informationen, während Whitebox-Tests auf umfassenden Informationen basieren. Die Berlin Cert konzentriert sich auf Whitebox-Tests, da diese gründlicher sind und weniger Risiken bergen. Die Tests können in unterschiedlicher Tiefe durchgeführt werden, wobei destruktive Tests vermieden werden.
Wir setzen automatisierte Schwachstellenscanner ein, die individuell an die Kundenbedürfnisse und Testobjekte angepasst und um manuelle Schritte erweitert werden. Ziel unserer Dienstleistungen ist es, Schwachstellen aufzudecken, ohne unnötige Risiken einzugehen.
Ein Pentest ist auch eine optimale Ergänzung eines Managementsystem für Informationssicherheit (ISMS). Daher ist er z. B. für digitale Gesundheitsanwendungen (DiGA) verbindlich vorgeschrieben.
IT-Sicherheits-Webcheck (Penetrationstest Website / Webanwendung)
Ein IS-Webcheck überprüft Webauftritte mit automatisierten und manuellen Verfahren auf Schwachstellen. Ziel ist es, Sicherheitslücken zu identifizieren und den Betreibern Empfehlungen zur Verbesserung der Sicherheit zu geben.
Pentests für Webanwendungen, Mobil-Applikationen und für DiGA
Das Bundesministerium für Gesundheit sieht die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen, insbesondere bei der Versorgung älterer und chronisch kranker Menschen sowie in ländlichen Regionen. Digitale Anwendungen im Gesundheitswesen können dabei eine wichtige Rolle spielen. Die Technische Richtlinie TR-03161 richtet sich an die Hersteller solcher Anwendungen und legt besonderen Wert auf die IT-Sicherheit, insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
Die Digitalisierung, insbesondere im Gesundheitswesen, birgt Risiken für die Sicherheit sensibler Daten. Ein kompromittiertes Endgerät kann erhebliche finanzielle und gesundheitliche Schäden verursachen. Hersteller sollten daher bereits in der Entwicklungsphase hohe Sicherheitsstandards einhalten. Die Vertraulichkeit von Gesundheitsdaten ist besonders kritisch, da ein Datenleck irreversibel ist und weitreichende soziale und berufliche Folgen haben kann.
Unsere Pentests für Web- und Mobile-Applikationen werden in Anlehnung an die TR-03161 durchgeführt.
Für die Zulassung von Anwendungen als DiGA sind die Ergebnisse beschränkt einsetzbar, da wir kein offizieller IT-Sicherheitsdienstleister des BSI sind.
