Mehr und mehr Geräte sind heutzutage mit dem Internet verbunden (Internet of Things). Das kann durchaus praktisch sein, beispielsweise wenn Vorgänge aus der Ferne gesteuert oder überwacht werden, die früher die Präsenz eines Mitarbeiters erforderlich gemacht haben. Allerdings ergeben sich dadurch auch vielfältige Angriffsmöglichkeiten für Hacker, da IoT Geräte häufig nur schlecht gesichert sind. Falls Sie herausfinden möchten, ob dies auch für die von Ihnen entwickelten oder genutzten IoT Geräte gilt, können Sie mit unserem IoT Penetrationtest (Large) die Sicherheit Ihres Geräts sowie dazugehöriger Webservices und Infrastruktur testen lassen.
Welchen Umfang hat der IoT Penetrationtest (Large)?
Dieser Penetrationtest hat einen Umfang von zehn Tagen.
Was ist im Penetrationtest enthalten?
Dieser Penetrationtest enthält alle Elemente des IoT Penetrationtest (Small):
- Welche Funktionalitäten vorhanden sind, die für einen Hacker interessant sein könnten
- Ob Dokumentationen öffentlich zugänglich sind und ob diese Hinweise auf Schwachstellen enthalten
- Ob die verwendete Software Sicherheitslücken aufweist
- Ob typische IoT Schwachstellen vorhanden sind
Dieser Penetrationtest enthält zusätzlich alle Elemente des IoT Penetrationtest (Medium):
- Ob dazugehörige Webservices (z.B. zur Konfiguration oder Verwaltung des Geräts) Schwachstellen aufweisen
- Ob fehlerhaft konfigurierte Geräte online auffindbar sind
Zusätzlich prüfen wir folgendes:
- Ob die Infrastruktur (z.B. Datenbank Server, Cloud Anwendungen) mit denen das Gerät kommuniziert, Schwachstellen aufweist
- Ob Side Channel Angriffe, z.B. auf die Verschlüsselung, möglich sind
Um den Test durchzuführen, benötigen wir mindestens zwei Einheiten Ihres IoT Geräts.
Was erhalten Sie im Anschluss an den IoT Penetrationtest (Large)?
Im Anschluss an den Penetrationtest erhalten Sie einen detaillierten Report, der alle gefundenen Schwachstellen auflistet. Enthalten ist dabei jeweils folgendes:
- Der “Ort” an dem die Schwachstelle auftrat (z.B. eine bestimmte Funktion des Geräts)
- Eine Kurzbeschreibung der Schwachstelle
- Eine ausführlichere Beschreibung der Schwachstelle, sowie des Risikos, das sich daraus ergibt
- Eine Anleitung wie die Schwachstelle gefunden wurde, sodass Ihre Entwickler den Vorgang nachvollziehen können
- Eine Empfehlung mit Gegenmaßnahmen, durch die die Schwachstelle behoben oder in ihrer Auswirkung abgemildert werden kann
Zusätzlich erhalten Sie von uns eine Umsetzungstabelle. In diese können Sie eintragen, wer für die Beseitigung der jeweiligen Schwachstellen verantwortlich ist und sich eine Notiz zum aktuellen Stand erstellen. Auf diese Weise haben Sie stets einen Überblick darüber, wo Sie beim Beheben der Sicherheitslücken stehen und was noch zu tun ist.
Dieser Penetrationtest eignet sich für Sie, wenn:
- Sie ein Zertifikat für den durchgeführten Penetrationtest benötigen
- Sie Angriffszenarien benötigen, die die Ausnutzung der Schwachstellen in einem größeren Kontext zeigen
- Sie sehen möchten wie Schwachstellen tatsächlich in der Praxis ausgenutzt werden können
- Sie nicht nur das Gerät selbst, sondern auch dazugehörige Webservices (z.B. zur Konfiguration) testen wollen
- Sie nicht nur das Gerät selbst, sondern auch die dazugehörige Infrastruktur (z.B. Datenbank Server, Cloud Anwendungen) testen wollen
Dieser Penetrationtest eignet sich für Sie nicht, wenn:
- Sie lediglich einen ersten Eindruck von der Sicherheit des Geräts erhalten wollen
Falls Sie lediglich einen ersten Eindruck von der Sicherheit Ihres IoT Geräts erhalten möchten, prüfen Sie bitte unser IoT Penetrationtest (Small) Angebot.
