IT-Security Consulting und Pentests

Gerne unterstütze ich Sie als Freelancer auf dem Weg zu sichereren Anwendungen und besserem Schutz Ihrer Kundendaten. Nehmen Sie noch heute Kontakt mit mir auf: +49 151 12059413 pentest@lauritz-holtmann.de LinkedIn WhatsApp

English Version below

Durch die fortschreitende Digitalisierung werden täglich mehr Prozesse digital abgebildet. Hierbei fallen viele Daten an, welche auch das Interesse von bösartigen Akteuren ("Hackern") wecken. In den letzten Jahren stiegen sowohl die Anzahl von Hackerangriffen als auch die damit einhergehenden finanziellen Schäden der Betroffenen1 2.

Penetrationstests (kurz “Pentests”)3 bieten eine hervorragende Möglichkeit, durch eine manuelle technische Sicherheitsanalyse gezielt Sicherheitslücken in Ihren Systemen und Anwendungen zu identifizieren. Hierbei wird bewusst die Perspektive einer angreifenden Person eingenommen, um Schwachstellen zu identifizieren und diese im Anschluss ergänzt um konkrete Handlungsempfehlungen anschaulich in einem Bericht aufzuarbeiten.

Fachliche Schwerpunkte

In den vergangenen Jahren habe ich sowohl klassische Webanwendungs-Pentests, als auch Pentests mobiler Anwendungen (Android, iOS) und Pentests der Umsetzungen von Single Sign-On Authentifizierungsverfahren durchgeführt.

Pentests von Webanwendungen, wie beispielsweise Webshops oder Kundenportale, führe ich in Anlehnung an den OWASP Web Security Testing Guide4 und die OWASP Top 105 durch. Bei den OWASP Top 10 handelt es sich hierbei um eine regelmäßig aktualisierte Sammlung der relevantesten Websicherheitsschwachstellen.

Mobile Anwendungen ("Apps") sind durch ihren Einsatz in öffentlichen Netzwerken und Anforderungen an die Benutzbarkeit, wie beispielsweise langlebigen Sitzungen, besonderen Herausforderungen ausgesetzt. Pentests von mobilen Anwendungen führe ich in Anlehnung an den OWASP Mobile Security Testing Guide6 durch.

Single Sign-On ("SSO") Lösungen haben sich sowohl im privaten als auch geschäftlichen Umfeld spätestens im vergangenen Jahrzehnt durchgesetzt, um der wachsenden Anzahl an Benutzerkonten und der damit einhergehenden Tendenz zum Wiederverwenden von Passwörtern zu begegnen. Prominente Identity Provider in diesem Kontext sind beispielsweise Facebook, Google, Apple, Keycloak, AWS Cognito oder Okta. Dass auch bei der Verwendung von Standard-Komponenten kritische Schwachstellen in der Umsetzung existieren können, zeigen prominente Beispiele wie Flickr (detaillierter technischer Blog-Post).
Pentests von SSO-Lösungen führe ich sowohl auf Grundlage von Best-Practices wie dem OAuth 2.0 Security Best Current Practice7 als auch auf Grundlage aktueller Forschungsergebnisse durch.

Typischer Ablauf eines Pentests

Ein Pentest ist typischer Weise in die nachfolgenden Phasen gegliedert:

  1. Organisatorisches Meeting zur Abstimmung der Rahmenbedingungen
  2. Technisches Meeting zur Vorbereitung des Pentests
  3. Durchführung des Pentests
    1. Enger Austausch mit allen (technischen und organisatorischen) Beteiligten, beispielsweise per Chat oder E-Mail
    2. Auf Wunsch, unmittelbaren Zugriff auf alle identifizierten Schwachstellen über eine webbasierte Plattform, bereits während der Durchführung des Pentests
  4. Bereitstellung eines detaillierten Berichts im PDF-Format
  5. Abschluss-Meeting inklusive Ergebnispräsentation

Ergebnisbericht

Zentrales Element eines Pentests ist der Bericht. Ein beispielhafter Bericht ist hier einsehbar.

Wie das verlinkte Beispiel zeigt, ist der Bericht wie folgt gegliedert:

  1. Einleitung
  2. Beschreibung des Testgegenstands
  3. Technische Details zu den identifizierten Schwachstellen
  4. Abschließende Zusammenfassung

Der Bericht wird gemäß Ihrer Präferenzen entweder auf Deutsch oder auf Englisch erstellt.

English Version

Cybercrime and hacking are increasing threats. Penetration tests (pentests) are a powerful tool to identify weaknesses and vulnerabilities in applications and systems, and can help to improve the overall security maturity of your assets.

During a pentest, assets in a defined scope are analyzed from an attacker’s perspective. Identified vulnerabilities are then documented in a detailed manner alongside recommendations for the remediation, to enable you to take immediate actions.

Feel free to reach out, so that we can discuss how I could support you as a freelancer to make your assets more secure and protect your customer’s data: +49 151 12059413 pentest@lauritz-holtmann.de LinkedIn WhatsApp

Exemplary Timeline of a Pentest

An exemplary timeline of a pentest execution could look as follows:

  1. Organizational meeting to discuss the general conditions and the scope
  2. Technical meeting to discuss which preparatory actions need to be taken
  3. Execution of the pentest
    1. Continuous communications and status updates for all stakeholders, for instance via chat or e-mail
    2. Optional: Immediate access to results in a draft state, for instance via a shared folder or Git repository
  4. Creation and submission of the detailed PDF report
  5. Final meeting with a presentation of results

Report

After the pentest execution is done, you receive a detailed PDF report. An example of the structure of such a report can be found here.

As the example outlines, the report is structured as follows:

  1. Introduction to the pentest and background information
  2. Defintion of the pentest scope
  3. Detailed information about each finding
  4. A conclusion including high-level recommendations

The report could be created either in German or English.

  1. Tagesschau: Teure Hackerangriffe auf deutsche Firmen ↩︎

  2. Heise Online: Versicherer Hiscox: Cybercrime für deutsche Unternehmen besonders teuer ↩︎

  3. Wikipedia: Penetrationstest (Informatik) ↩︎

  4. OWASP Web Security Testing Guide ↩︎

  5. OWASP Top 10 ↩︎

  6. OWASP Mobile Security Testing Guide ↩︎

  7. OAuth 2.0 Security Best Current Practice ↩︎