Unser Vorgehen & unsere Erfahrung

Erfahrung und Expertise: Wir sind ein Dienstleister mit nachgewiesener Erfahrung und Expertise in der Durchführung maßgeschneiderter Pentests. Flexibilität und Anpassungsfähigkeit: Wir sind flexibel und in der Lage, den Pentest gemäß Ihren spezifischen Anforderungen zu konfigurieren. Vertragliche Klarheit: Wir bieten klare vertragliche Vereinbarungen über den Umfang, die Ziele und die Verantwortlichkeiten im Rahmen des Pentests und sorgen für eine transparente Preisgestaltung und klare Definition der Leistungen.

Wir gewährleisten die Vertraulichkeit und Integrität der Informationen während und nach dem Pentest weil wir ein erfahrener Pentest-Dienstleister sind, der Ihren spezifischen Anforderungen gerecht wird und Ihnen hilft, die Sicherheitslage Ihres Unternehmens effektiv zu verbessern.

Pentest-Kompetenz

  • zertifizierte Ethical Hacker (CEH / OSCP) und IT-Forensiker (IHK)
  • Durchführung von über 300 Pentest-Projekten pro Jahr
  • Pentests nach BSI-Standard​

Kurzfristige Umsetzung

  • Kickoff innerhalb weniger Tage nach Auftragserteilung
  • Pentest-Umsetzung meist innerhalb von 2-4 Wochen
  • Zuverlässige Einhaltung von Deadlines

Faire & transparente Preise

  • Standard-Pentests zu Festpreisen
  • individuelle Pentests mit voller Kostenkontrolle / Budget-Obergrenzen
  • Angebote aus eigenständigen Modulen, die einzeln beauftragt werden können

Transparenz im Prozess

Kommunikation & Dokumentation
Transparente Kommunikation: Wir halten während des Testprozesses eine offene und transparente Kommunikation mit dem Pentest-Team aufrecht. Dokumentation und Berichterstattung: Wir stellen sicher, dass alle Testaktivitäten und Ergebnisse sorgfältig dokumentiert und in verständlichen Berichten zusammengefasst werden.

Umsetzung der Ergebnisse
Analyse der Berichte: Wir prüfen die Berichte und Empfehlungen und priorisieren die identifizierten Schwachstellen. Maßnahmenplan: Wir entwickeln einen Maßnahmenplan zur Behebung der Schwachstellen und Verbesserung der Sicherheitsmaßnahmen.

Nachtests und kontinuierliche Verbesserung
Nachtests: Wir führen auf Wunsch Nachtests durch, um sicherzustellen, dass die Schwachstellen erfolgreich behoben wurden. Kontinuierliche Überwachung:  Wir implementieren auch regelmäßige Sicherheitsüberprüfungen und Pentests, um die Sicherheitslage kontinuierlich zu verbessern.

Ablauf eines neam Penetrationstest (BSI konform)

Aufgrund der Individualität eines jeden Pentests begleiten unsere Pentest-Experten Sie in jeder der 6 Phasen mit umfangreichem Wissen und Erfahrung. Ein erfahrener Pentester folgt einem systematischen Ansatz, der die Planung, Informationssammlung, Schwachstellenanalyse, Exploitation, Berichtserstellung und Nachtests umfasst. Durch die Kombination von automatisierten Tools und manuellen Techniken können wir tiefgehende und umfassende Sicherheitsbewertungen durchführen und konkrete Empfehlungen zur Verbesserung der Sicherheitslage geben.

 

1. Vorbereitung

In der Vorbereitungsphase werden Ziele, Umfang, Vorgehen, Notfallmaßnahmen sowie rechtliche und organisatorische Aspekte und die nötigen Voraussetzungen definiert.

2. Recherche nach Informationen über das Zielsystem

Öffentliche Quellen ermöglichen das Zusammentragen von nützlichen Informationen über die Zielsysteme und deren Umgebungen. Diese helfen bei der Planung des weiteren Vorgehens und der Identifizierung der Angriffsfläche.

3. Identifikation der verfügbaren Dienste

Die an den Zielsystemen verfügbare Dienste werden festgestellt und anschließend automatisiert und manuell überprüft.

4. Recherche nach Schwachstellen

Mit Hilfe der gesammelten Informationen können zielgerichtet mögliche Schwachstellen der Anwendungen und Betriebssysteme gesucht und identifiziert werden. Sollten während der Überprüfungen kritische Sicherheitslücken festgestellt werden, erfolgt unverzüglich eine Mitteilung, damit die Schwachstelle zeitnah beseitigt werden kann.

5. Ausnutzen der Schwachstellen

In Abstimmung mit dem Kunden erfolgt das Ausnutzen der gefundenen Schwachstellen, um das Ausmaß eines potenziellen Angriffs aufzuzeigen.

6. Dokumentation

Nach Beendigung des Penetrationstests erfolgt die Erstellung eines Berichts. Dieser beschreibt die gefundenen Schwachstellen und Behebungsmaßnahmen sowohl für das Management als auch für die technischen Verantwortlichen. Die Resultate werden anhand ihres Schweregrads kategorisiert und priorisiert.

Die Perspektive ist entscheidend

Ein wichtiges Entscheidungskriterium ist dabei die Perspektive, aus der die Tests durchgeführt werden. Da die Angreifer unterschiedliche Motivationen und Möglichkeiten besitzen, können verschiedene Szenarien durchgespielt werden.

Der White-Box-Test stellt das Gegenstück zum Black-Box-Test dar. Hier erhält der Penetrationstester alle Informationen und Einstellungen über die zu testende Webanwendung bzw. IT-System. Dieser Test soll den Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit Detailkenntnissen simulieren.

Der Grey-Box-Test simuliert einen systematischen Angriff, bei dem ein außenstehender Hacker mit einem Insider des zu betrachtenden IT-Systems zusammenarbeitet. Der Insider verfügt dabei über einen begrenzten Zugang zum System, sowie eingeschränkte Rechte. In diesem Fall erhält der Penetrationstester nur bestimmte Informationen (Infrastruktur, Abwehrmechanismen,…) über das zu testenden IT-System.

Bei diesem Test soll ein realistischer Angriff eines Hackers simuliert werden. Der Penetrationstester erhält beispielsweise nur die URL der Webanwendung bzw. die IP-Adresse des IT-Systems. Die darüber hinaus benötigten Informationen werden in frei zugänglichen Informationsquellen recherchiert.