INTERESSIERT? NEUGIERIG? ÜBERZEUGT?
Sprechen Sie uns an, wir empfehlen Ihnen die für Sie sinnvollen Penetrationstest - Module und erklären diese in unserer kostenlosen Leistungsbeschreibung.
Welchen Schaden könnte ein Hacker bei Ihnen anrichten? Bietet Ihre Firewall-Architektur ausreichend Schutz? Welche Ihrer Webanwendungen ermöglicht mehr als Sie glauben? Welche Information geben Ihre Mitarbeiter „freiwillig“ an Unbefugte?
In einem funktionierenden Informationssicherheitsmanagementsystem (ISMS) müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. Klassische Einfallstore sind unzureichend gepflegte Netzwerk- und Betriebssystemkonfigurationen, Webanwendungen oder auch Mitarbeiter, die sensible Informationen z. B. aus Hilfsbereitschaft und Unwissenheit weitergeben.
In 2 Minuten zum Angebot für Ihren individuellen Penetrationstest
Wir verstehen uns als „Ethical Hacker“ und nutzen die Tools und Methoden wie „bösartige“ Hacker, nur mit dem Ziel, die gefundenen Lücken zu schließen. Unsere Penetrationstests gibt es in verschiedenen Varianten und Tiefegraden, sie werden permanent weiterentwickelt und basieren auf nationalen und internationalen Standards. Die Qualität unserer Prozesse ist dabei nach DIN EN ISO 9001, unsere eigene Informationssicherheit ist nach ISO 27001 zertifiziert.
Die Auswahl der sinnvollen Module stimmen wir im Vorfeld mit Ihnen ab, auch die Erstellung eines Auditkonzepts zur Planung von derartigen Tests ist Teil unserer Leistungen. Darin werden die durchzuführenden Tests in ihrem Umfang und Detailgrad im Vorfeld geplant, Anforderungen an die Auditoren gestellt und Erwartungen an den Auditbericht definiert.
Wir berücksichtigen dabei auch die Anforderungen spezieller Standards, wie z. Bsp. PCI DSS für Zahlungssysteme, die des Kraftfahrtbundesamtes (KBA) für die Kfz-Zulassung (iKfz MSADP) oder digitaler Medizinprodukte. Somit sind die Penetrationstests Bestandteil Ihres ISMS nach ISO 27001:2017 bzw. BSI IT-Grundschutz und Teil Ihrer internen Audits.
Als Ergebnis erhalten Sie einen umfangreichen und aussagekräftigen Auditbericht mit einer Einschätzung der Risiken und Handlungsempfehlungen. Diese Risikobewertung ist ein wichtiger Bestandteil unserer Dokumentation, dabei werden international anerkannte Datenbanken (Risk Scores) zugrunde gelegt.
Wir erklären Ihnen auch, wie wir zu diesen Ergebnissen gelangt sind. Die Empfehlungen der relevanten BSI-Bausteine werden hinsichtlich ihres Umsetzungsstatus bewertet und dokumentiert. Die Ergebnisse unseres Penetrationstests können damit unmittelbar in ein Informationssicherheitsmanagementsystem (BSI oder ISO27001) einfließen.
Wir testen nicht nur und geben Empfehlungen. Wir setzen die empfohlenen Maßnahmen um bzw. unterstützen Sie dabei.
Auf Wunsch überprüfen wir die Wirksamkeit der getroffenen Gegenmaßnahmen nach deren Umsetzung bzw. in regelmäßigen Abständen. Damit stellen wir sicher, dass auch bei Änderungen Ihrer IT-Landschaft die Sicherheit gewährleistet wird.
Dabei nutzen wir eine Reihe unterschiedlichster OpenSource und kommerzieller Tools bei unseren Penetrations-Tests, wie zum Beispiel:
Weitere Tools und Methoden setzen wir in Abhängigkeit der Anforderungen des jeweiligen Penetrationstests ein (z.B. beim Thema Social Engineering).
Webanwendungen sind mittlerweile ein fester Bestandteil in jeder IT-Umgebung. Da diese Anwendungen oftmals weitreichende Berechtigungen auf interne Informationen besitzen, eröffnen sie den Unternehmen eine neue Welt, die jedoch nicht ohne Gefahren ist. Diese Gefahren entstehen durch Angreifer, die bekannte Schwachstellen in Webanwendungen oder APIs ausnutzen und sich damit Zugriff auf interne Ressourcen (zum Beispiel Datenbanken) ermöglichen.
Wir führen unsere Audits basierend auf etablierten Standards durch:
Penetrationstests von Web-Anwendungen (Webshops, Datawarehouse, CRM, ERP, Webportale etc.) aus Sicht externer Angreifer:
Nicht aktualisierte Content Management Systeme (CMS) sind ein typisches Beispiel für derartige Einfallstore. Sie bieten eine einfache und elegante Lösung, eine Webpräsenz zu entwickeln und redaktionell zu pflegen. Oft wird jedoch die Sicherheit zu Gunsten der einfachen Installation und Konfiguration vernachlässigt, da sich auch IT-ferne Abteilungen wie z.B. das Marketing mit der Pflege der Webpräsenz beschäftigen müssen.
Wir überprüfen u.a.
Penetrationstests von Infrastruktur- und Serverkomponenten
Internet
Aktuelle Zahlen weisen darauf hin, dass die Zahl der Angriffe über das Internet stetig zunimmt. Ziel sind dabei zum Einen die Komponenten Ihres Internetzugangs, aber auch die internen Netzwerk- und Serversysteme.
Intranet
Wir versuchen, Angriffe gegen das Netzwerk von einem Ihrer Standard-Arbeitsplätze aus Sicht eines Mitarbeiters durchzuführen. Zusätzlich prüfen und dokumentieren wir die sichere Konfiguration des Arbeitsplatzes anhand von Checklisten (ausgehend von den passenden BSI-Bausteinen des IT-Grundschutz-Kompendiums). Damit lassen sich u.a. die Folgen von Diebstahl von Endgeräten besser abschätzen. Ergänzend prüfen wir die Angriffsmöglichkeiten, die Angreifer (z. Bsp. Gäste) in Ihrem Unternehmensnetzwerk haben. Typische Angriffsziele sind dabei Fileserver, AD-Domänencontroller, SharePoint- oder Exchange-Umgebungen.
Unsere Durchführung basiert auf etablierten Standards:
Mobile Apps
Um Informationssicherheit bereits in der Softwareentwicklung – insbesondere bei der Entwicklung von Apps für Mobile Devices (Android und iOS) – zu berücksichtigen, sollten regelmäßige Pentests Bestandteil eines Entwicklungsprozesses sein.
Wir prüfen dabei die grundsätzliche Art des Umgangs mit Daten in der App (Speicherung, Authentisierend der Benutzer etc), die möglichen Schwachstellen bei der regulären Nutzung der App (z. Bsp. Logik in der Anwendung, Rechteeinschränkung) und das Zusammenspiel mit den Systemen im Hintergrund (Backend APIs, Datenbanken etc). Unsere Penetrationstests für mobile Anwendungen basieren auf OWASP Mobile Top 10.
Social Engineering
Ohne jegliches technisches Hackerwissen lässt sich das „HumanOS“ – die Mitarbeiter – „angreifen“. Gerade im Rahmen von Wirtschaftsspionage erschleichen sich die Täter häufig den Zugang zu Gebäuden und Firmenrechnern oder sie befragen Mitarbeiter um an die gewünschten Informationen zu gelangen. Im Rahmen unserer Social Engineering – Projekte auditieren wir das vorhandene Sicherheitsbewusstsein bei den Mitarbeitern und die Einhaltung der Sicherheitsrichtlinien. Die – vollständig anonymisierten – Ergebnisse sind ideale Bestandteile einer Security Awareness Kampagne.
Nutzen Sie die Präsentation der (vollständig anonymisierten) Ergebnisse vor den Mitarbeitern bzw. der Leitungsebene, um das Sicherheitsbewusstsein zu erhöhen und an die Einhaltung von Vorgaben und Richtlinien zu appellieren.
Sprechen Sie uns an, wir empfehlen Ihnen die für Sie sinnvollen Penetrationstest - Module und erklären diese in unserer kostenlosen Leistungsbeschreibung.