FAQ - Häufig gestellt Fragen

Heutzutage ist ein Großteil der Cyberangriffe vollständig automatisiert und durchforstet das gesamte öffentliche Internet. Dabei wird weder nach der Größe noch nach dem Wert der angegriffenen Ziele unterschieden. Jede Komponente der Unternehmensinfrastruktur, die über das öffentliche Internet erreichbar ist, ist Angriffen ausgesetzt, darunter Systeme für den Fernzugriff von Mitarbeitenden im Homeoffice oder cloudbasierte Anwendungen. Ohne angemessenes Cybersecurity-Testing können personenbezogene Daten, geistiges Eigentum oder Finanzdaten vollständig verloren gehen oder offengelegt werden.

• Schwachstellenanalyse (Vulnerability Scanning)
  Die Schwachstellenanalyse ist der Prozess, bei dem ein Computer, eine Anwendung oder ein Netzwerk mithilfe automatisierter Programme, Tools und manueller Methoden auf Sicherheitslücken untersucht wird.
• Penetrationstest
  Ein Penetrationstest ist ein Audit von Computersystemen, Anwendungen oder Netzwerken, um Sicherheitslücken zu identifizieren sowie deren Schweregrad und potenzielle Auswirkungen zu bewerten.
• Risikoanalyse (Risk Assessment)
  Die Risikoanalyse bestimmt die Wahrscheinlichkeit, mögliche Konsequenzen und die damit verbundenen Kosten von Sicherheitsverletzungen bei Komponenten oder Infrastrukturen. Ziel ist es, die sicherheitskritischsten Teile eines Systems zu identifizieren, um die richtige Strategie entsprechend den relevantesten Bedrohungen umzusetzen.
• Ethisches Hacking (Ethical Hacking)
  Ethisches Hacking umfasst die Praxis, mit vorheriger Genehmigung nach Sicherheitslücken in Computersystemen zu suchen oder gefundene Probleme im Rahmen eines als "Responsible Disclosure" bekannten Prozesses an den jeweiligen Anbieter oder Autor zu melden. Sicherheitsforscher, die ethisches Hacking betreiben, werden auch "White-Hat-Hacker" genannt, im Gegensatz zu böswilligen Akteuren, die als "Black-Hat-Hacker" bezeichnet werden. Bugshell arbeitet ausschließlich mit ethischen Hackern zusammen.
• Responsible Disclosure
  Responsible Disclosure ist der Prozess der Meldung von Sicherheitsproblemen an den Autor oder Anbieter eines betroffenen Produkts oder einer betroffenen Infrastruktur. Dies umfasst in der Regel die Identifizierung des Ansprechpartners, die Einrichtung eines vertraulichen Kommunikationskanals, die Übermittlung der Schwachstellendetails sowie die Vereinbarung einer Sperrfrist, während der diese Informationen geheim gehalten werden. Nach Behebung der Schwachstelle oder Ablauf der Frist können die Details öffentlich kommuniziert werden, damit alle möglicherweise Betroffenen entsprechende Maßnahmen ergreifen können. Dies steht im Gegensatz zur vollständigen Offenlegung (Full Disclosure), bei der Informationen über Schwachstellen ohne Rücksicht auf das Vorhandensein eines Fixes veröffentlicht werden.
• Red Teaming
  Red Teaming ist eine Form des Penetrationstests, bei der die für Entwicklung oder Überwachung der Angriffsziele verantwortlichen Parteien nicht im Voraus über die Prüfung informiert werden. Es können auch alternative Angriffsmethoden wie Social Engineering eingesetzt werden. Das Ziel von Red Teaming ist es, die tatsächliche Widerstandsfähigkeit und die Prozesse in der getesteten Umgebung möglichst realitätsnah widerzuspiegeln.
• Social Engineering
  Social Engineering konzentriert sich auf den menschlichen Faktor der Informationssicherheit. Bei einem Social-Engineering-Angriff versucht ein Angreifer durch Methoden wie Einschüchterung, das Vortäuschen von Autorität oder Vertrauensaufbau Zugang zu digitaler Infrastruktur, vertraulichen Informationen oder persönlichen Daten zu erlangen. Solche Angriffe werden ständig von Betrügern durchgeführt, zum Beispiel in Form von Phishing.
• Phishing
  Phishing ist eine Form des Betrugs, bei der typischerweise E-Mails, die offiziellen Mitteilungen ähneln, im Namen der Zielpersonen an ahnungslose Empfänger gesendet werden. Wer durch die Nachricht getäuscht wird, kann den Angreifern privilegierte Informationen – wie Ausweisdaten – oder Zugang zu wertvollen Ressourcen wie Online-Banking-Zugangsdaten verschaffen.

Eine Schwachstelle (Vulnerability) in der Cybersicherheit ist eine Sicherheitslücke in einem Computer, einer Anwendung oder einem Netzwerk, die von einer externen Bedrohung ausgenutzt werden kann, um die Sicherheit zu gefährden.

Die Kosten eines Penetrationstests ergeben sich hauptsächlich aus dem Zeitaufwand und den beteiligten Experten. In der Regel werden die Kosten nach Tagessatz berechnet. Die folgenden drei Faktoren geben einen guten Überblick über die Kostenschätzung eines Projekts:

• Spezifisch vs. allgemein – Je konkreter ein Penetrationstest definiert ist, desto einfacher lässt sich der Zeit- und Arbeitsaufwand abschätzen.
• Standard vs. individuell – Bestimmte Penetrationstests sind häufiger als andere. Das bedeutet, dass Prozesse teilweise automatisiert werden können, was die Kosten erheblich senkt.
• Einfach vs. komplex – Je nach Schwierigkeitsgrad eines Projekts kann die Anforderung eines Kunden nur durch die Zusammenarbeit mit erstklassigen Experten in einem bestimmten Bereich erfüllt werden, was zu einem höheren Stundensatz führt.

Wenn Sie wissen möchten, wie die Kosten für Ihr Projekt aussehen, kontaktieren Sie uns gerne.

Ein Penetrationstest ist sicher, wenn er korrekt durchgeführt wird. Bugshell stellt sicher, dass die höchste Expertenqualität auf ein Projekt angewendet wird und alle Verfahrensstandards eingehalten werden. Wir bei bugshell arbeiten ausschließlich mit verifizierten europäischen Sicherheitsexperten. Unser Mission-Control-Team (MC) fungiert als Qualitätskontrollorgan zwischen unseren Experten & Kunden.

Penetrationstest-Berichte folgen keinen offiziell festgelegten, standardisierten Richtlinien. Er sollte jedoch alle notwendigen Informationen enthalten, die in der Pre-Engagement-Phase im Projektumfang besprochen wurden, und dabei grob folgender Struktur folgen:

• Zusammenfassung für die Geschäftsleitung (Executive Summary)
• Technische Risikoanalyse
• Schwachstellenbewertung
• Handlungsempfehlungen

Bugshell betrachtet den Penetrationstest-Bericht als einen der kritischsten Aspekte des Penetrationstests. Nur ein gut strukturierter, verständlicher und konsistenter Bericht kann angemessen erklären, warum Schwachstellen behoben werden müssen und wie dies zu tun ist. Aus diesem Grund kombiniert bugshell automatisierte Reporting-Tools, erfahrene Pentester und ein Mission-Control-Team (MC), um die höchste Ergebnisqualität zu gewährleisten.

Ein Penetrationstest besteht aus sechs Phasen:

• Pre-Engagement
  In der ersten Phase werden die Erwartungen festgelegt. Dazu gehören die Beschreibung des Prozesses, des Zeitplans, der Ziele und der rechtlichen Implikationen. Die Definition des Projektumfangs ist von entscheidender Bedeutung, um Fehlalarme zu vermeiden und die Integrität der IT-Infrastruktur des Kunden nicht zu gefährden.
• Reconnaissance (Aufklärung)
  Nachdem der anfängliche Projektumfang definiert wurde, beginnt das Mission-Control-Team (MC) von bugshell gemeinsam mit dem Pentester-Netzwerk, so viele öffentlich verfügbare Informationen (OSINT) über den Kunden zu sammeln, um potenzielle Angriffsziele zu identifizieren. In dieser Phase ist es nicht ungewöhnlich, dass sich der Projektumfang an neu identifizierte Sicherheitsrisiken anpasst. Je nach Art des angeforderten Penetrationstests kann diese Phase kurz gehalten werden oder sehr umfangreich sein.
• Bedrohungsmodellierung & Schwachstellenidentifikation
  In der dritten Phase werden die in der Aufklärungsphase gesammelten Informationen mit Erkenntnissen über das Zielsystem – wie Ports, Dienste, Hosts und mehr – kombiniert. In dieser Phase wird der Großteil des automatisierten Scannens durchgeführt, potenzielle Schwachstellen werden identifiziert und die Exploit-Strategie wird festgelegt.
• Exploitation (Ausnutzung)
  Mit dem gesammelten Wissen zielt der Penetrationstest gezielt auf verschiedene potenzielle Einstiegspunkte ab. Verschiedene Exploit-Taktiken werden eingesetzt, um zu bewerten, wie man gezielt in ein Computersystem eindringen kann. Dieser Schritt ähnelt dem Vorgehen eines echten Angreifers sehr, jedoch werden beim Penetrationstest die Schwachstellen nur identifiziert und nicht tatsächlich missbraucht.
• Post-Exploitation
  In der Post-Exploitation-Phase werden die Ergebnisse analysiert. Mit Unterstützung von bugshell bewertet das Pentester-Team, wie leicht Schwachstellen ausgenutzt werden könnten und wie schwerwiegend die Auswirkungen auf das betroffene Unternehmen wären. Faktoren wie der Zugang zu kritischen Assets, die Anzahl kompromittierter Systeme und Schlupflöcher werden kategorisiert und bewertet. In dieser Phase beschreiben die Pentester auch ihren genauen Ansatz, sammeln Beweise und stellen sicher, dass das System in dem Zustand hinterlassen wird, in dem es ursprünglich vorgefunden wurde.
• Reporting (Bericht)
  Da die Details des Berichtsstandards und mögliche Anpassungen bereits in der Pre-Engagement-Phase mit dem Kunden besprochen wurden, erstellt das MC-Team einen detaillierten Bericht über alle in den vorangegangenen Phasen identifizierten Punkte. Im Unterschied zu anderen Penetrationstest-Unternehmen verwendet bugshell sowohl automatisierte Reporting-Tools als auch erfahrene Pentester zur Erstellung eines standardisierten Berichts. Dieses System stellt sicher, dass sich die Pentester in unserem Netzwerk auf ihre eigentliche Pentesting-Expertise konzentrieren können.

Penetrationstests können mit 3 verschiedenen Methoden durchgeführt werden:

• White-Box-Methode – Pentester arbeiten mit vollständigem Hintergrundwissen über das Ziel. Dieses Wissen hilft ihnen, Probleme gezielt zu identifizieren, bildet jedoch kein realistisches Angriffsszenario ab.
• Grey-Box-Methode – Pentester werden teilweise über das Ziel informiert. Dies senkt die Gesamtprojektkosten und simuliert gleichzeitig einen realistischen Angriff.
• Black-Box-Methode – Pentester haben keinerlei Wissen über ihr Ziel. Dies ist die realistischste Simulation eines Außenangriffs, benötigt jedoch mehr Zeit und ist weniger effizient.

Um einen Penetrationstest zu beauftragen, starten Sie am einfachsten mit dem bugshell Konfigurator, um Ihr Projekt zu beschreiben. Unser Mission-Control-Team (MC) nimmt anschließend Kontakt mit Ihnen auf, um Anforderungen abzustimmen, Sicherheitsstandards zu vereinbaren und den Projektumfang zu definieren. Weitere Details finden Sie in den obigen Abschnitten zu Testmethoden und -phasen.

Zunächst werden Umfang, Ziel, Zeitplan und Methode des Penetrationstests definiert. In der Regel wird der Test in einer Reihe von simulierten Angriffen durchgeführt und gliedert sich in 6 verschiedene Phasen. Während des Penetrationstests kann der Kunde festlegen, wie häufig Statusupdates erfolgen sollen.

Ein Penetrationstest liefert Erkenntnisse über die Sicherheit eines Ziels zum Zeitpunkt der Durchführung. Er ist zwar ein guter Einmalindikator für die Sicherheit eines Systems, kann jedoch nicht garantieren, dass dieser Status dauerhaft aufrechterhalten wird. Dies liegt hauptsächlich daran, dass Systeme sich ständig weiterentwickeln. Aus diesem Grund werden regelmäßige Wiederholungstests dringend empfohlen. Je aktiver eine Plattform, ein System oder eine App weiterentwickelt wird, desto häufiger sollte ein Penetrationstest wiederholt werden.

Typischerweise identifizieren Pentester Schwachstellen in vier einfachen Schritten:

• Aufklärung der Ressourcen (Fähigkeiten & Assets) eines Ziels
• Priorisierung aller identifizierten Ressourcen nach Wichtigkeit
• Identifikation von Schwachstellen jeder Ressource
• Bewertung der Schwachstellen nach Schweregrad & Auswirkung

Da die Bewertung solcher Schwachstellen oft nicht einheitlich ist, unterstützt das bugshell Mission-Control-Team die Pentester während des gesamten Prozesses.

Ja. Mit der Fix & Recheck-Funktion der Plattform können Sie Schwachstellen beheben, sobald sie gemeldet werden. Sie müssen nicht bis zum Abschluss des Projekts warten. Nach der Behebung können Sie direkt beim zuständigen Pentester eine Nachprüfung anfordern, um die erfolgreiche Behebung zu bestätigen. Jede Schwachstelle durchläuft klar gekennzeichnete Zustände: Fix ausstehend, Bereit für Recheck und Behoben. So hat Ihr gesamtes Team stets den aktuellen Stand im Blick.

Ja. Sie können den Projektzugang direkt über die Plattform auf interne IT-Teams, externe IT-Dienstleister oder Datenschutzbeauftragte erweitern. So lässt sich die Zusammenarbeit über Organisationsgrenzen hinweg einfach und transparent gestalten ohne die bugshell-Umgebung verlassen zu müssen.

Bugshell setzt auf eine live Berichterstellung sobald Schwachstellen während des Tests identifiziert werden. Ein dedizierter bugshell Projektmanager prüft jeden Fund auf Richtigkeit und Verständlichkeit während des gesamten Projekts. Sie können das Berichtsformat anpassen und den Bericht jederzeit während oder nach dem Test herunterladen. Dieses System gewährleistet einen einheitlichen Berichtsstandard für alle Ihre Projekte.

Eine Phishing-Simulation testet, wie gut Ihre Mitarbeitenden auf realistische Phishing- und Social-Engineering-Angriffe reagieren. Bugshell kann gezielt einzelne Abteilungen oder das gesamte Unternehmen ansprechen und Szenarien entwickeln, die realen Bedrohungen sehr nahekommen. Die Plattform erfasst Öffnungen, Klicks und Reaktionen, sodass Sie erkennen, wo Bewusstseinslücken bestehen und wo der größte Schulungsbedarf liegt. Die Ergebnisse sind in Ihrem bugshell-Dashboard abrufbar und werden im Projektbericht dokumentiert.

Beim Red Teaming handelt es sich um eine erweiterte Form des Penetrationstests, bei der die internen Teams, die das Ziel verteidigen, nicht über die Durchführung des Tests informiert werden. Dies spiegelt ein reales Angriffsszenario noch realistischer wider und prüft nicht nur technische Schutzmaßnahmen, sondern auch die Erkennungs- und Reaktionsfähigkeiten Ihrer Organisation. Red Teaming kann auch Social-Engineering-Techniken umfassen und empfiehlt sich besonders für Organisationen mit bereits ausgereifter Sicherheitsbasis, die diese unter realistischen Bedingungen auf die Probe stellen möchten.

Penetrationstests sind ein anerkanntes Kontrollverfahren im Rahmen der ISO/IEC-27001-Norm und werden von Auditoren häufig als Bestandteil eines technischen Schwachstellenmanagementprogramms erwartet. Der strukturierte Ansatz von bugshell, von der Scoping-Phase über die professionelle Durchführung bis hin zum detaillierten Abschlussbericht, liefert genau die Art von dokumentierten Nachweisen, die für die Erfüllung der ISO-27001-Anforderungen benötigt werden. Weitere Details finden Sie auf unserer ISO-27001-Seite.

Viele Cyber-Versicherer verlangen bei der Beantragung oder Erneuerung von Versicherungsschutz mittlerweile Nachweise über regelmäßige Sicherheitstests. Ein bugshell-Penetrationstest mit seinem professionellen, dokumentierten Bericht kann dazu beitragen, Ihren Sicherheitsstatus gegenüber Versicherern zu belegen und sich möglicherweise positiv auf die Konditionen Ihrer Police auswirken. Weitere Informationen finden Sie auf unserer Cyber-Versicherungsseite.

Das Mission-Control-Team (MC) ist die interne Qualitätssicherungsebene von bugshell. Es fungiert als zentrale Anlaufstelle zwischen Ihnen und den Pentesting-Experten während des gesamten Projekts, von der Scoping-Phase und Reconnaissance bis hin zum Abschlussbericht. Jedes Projekt wird von einem erfahrenen MC-Projektmanager geleitet, der das Projekt überwacht, sicherstellt, dass die Prüfung im vereinbarten Umfang bleibt, und die Qualität sowie Richtigkeit aller Befunde prüft, bevor sie an Sie weitergeleitet werden.

Ja. Bugshell sucht laufend nach qualifizierten europäischen Pentestern. Als Community-Mitglied können Sie Projekte auswählen, die Ihren Fähigkeiten entsprechen, selbstständig oder im Team arbeiten und den Verwaltungsaufwand über die bugshell-Plattform deutlich reduzieren. Besonders erfahrene Mitglieder können sich zudem für das Core Team qualifizieren, als Projektleiter fungieren und andere Pentester koordinieren. Besuchen Sie die Bewerbungsseite der Community, um mehr über den Prozess und die Anforderungen zu erfahren.

Das Sicherheitssiegel wird nach erfolgreichem Abschluss eines bugshell-Penetrationstests vergeben. Sobald das Projekt abgeschlossen und alle Befunde geprüft wurden, erhalten berechtigte Unternehmen ein Siegel, das sie auf ihrer Website oder in Marketingmaterialien einsetzen können. Besuchen Sie die Sicherheitssiegel-Seite für vollständige Informationen zu den Voraussetzungen und dem Ablauf.