SchĂŒtzen Sie Webshop, Internet Banking Plattform, Mobile App, ICS (SCADA/DCS), IoT Device oder IT Infrastruktur mittels Penetration Test / Ethical Hacking, Code Review, Reverse Engineering oder APT Test durch unsere zertifizierten Penetration Tester und Security Researcher.

Was ist ein Penetrationstest

Penetrationstests (kurz: Pentests) sind die PrĂŒfung möglichst aller Systembestandteile und Anwendungen eines Netzwerk- und Softwaresystems auf Sicherheit. Erfahrene IT-Security Consultants versuchen dabei mit der Methodik eines Angreifers (ugs. Hacker) in kritische Systembereiche vorzudringen.

Die Penetrationstests erfordern Absprachen, Vorbereitung, Planung von Testverfahren und Zielen, sowie die Auswahl der möglichen Werkzeuge. Dies unterscheidet Penetrationstests von simplen Schwachstellen-Scans.

Ihre IT-Infrastruktur ist dauerhaft Sicherheitsangriffen ausgesetzt. Dies macht Sie verwundbar fĂŒr Gefahren, die vielleicht noch gar nicht zu erkennen sind. Industrie- und Wirtschaftsspionage sind dabei so allgegenwĂ€rtig wie noch nie. Dennoch sind Sie als Unternehmen darauf angewiesen, dass Ihre Systeme funktionieren und keiner Gefahr ausgesetzt sind. Die KomplexitĂ€t Ihrer Strukturen lĂ€sst allerdings das eigene Risiko nicht hinreichend erkennen.

Damit Sie sich hinreichend schĂŒtzen können und Ihre Schwachstellen kritisch EinschĂ€tzen können, werden Penetrationstests durchgefĂŒhrt. Wir bewerten in einem transparenten Prozess die Sicherheitslage Ihrer IT-Infrastruktur und geben Ihnen konkrete Handlungsempfehlungen.

Die Kompetenz und Erfahrung unserer IT-Security Consultants hilft Ihnen, ihr Risiko einzuschÀtzen und zu minimieren.

Ablauf unserer Penetrationstests

Was verbirgt sich dahinter?


Unsere Pentests gehen weit ĂŒber automatisierte Security Scans hinaus. Hier ĂŒbernimmt der durchfĂŒhrende Sicherheitsexperte die Rolle eines Hackers – aber legal. Zur Informationsbeschaffung nutzt er professionelle Werkzeuge und versucht gezielt, individuell und erfinderisch, in die Systeme des Unternehmens einzudringen. Diese Simulation eines realen Angriffs liefert qualitativ hochwertige Ergebnisse, die wir gemeinsam mit konkreten VerbesserungsvorschlĂ€gen fĂŒr Sie in Berichtsform ĂŒbergeben.

SÀmtliche Projekte starten mit einem Kick-Off-Meeting, um Ihre spezifischen Anforderungen zu verstehen, Testbedingungen zu definieren und offene Punkte zu klÀren.

Nach dem Kick-Off-Meeting werden beispielsweise die Penetration Tests gemĂ€ss den folgenden Projektphasen durchgefĂŒhrt:

  • Testvorbereitung
  • Informationsbeschaffung
  • Analyse und Verifikation von SicherheitslĂŒcken
  • Optional: Entwicklung und Anwendung von Exploits (als Proof of Concept)
  • Verfassen des Schlussberichts
  • Optional: ProjektprĂ€sentation oder nur Diskussion des Schlussberichts


Akkurates Reporting


Unsere Reports sind strukturiert, exakt und aussagekrÀftig. Sie sind keine gewöhnlichen Scanergebnisse, sondern werden von Experten manuell verfasst, kontrolliert und enthalten keine False Positives. Beispielberichte (anonymisiert) sind auf Anfrage erhÀltlich.



Berichte mit nachvollziehbaren Bewertungen und Korrekturmaßnahmen



Unsere manuell erstellten Berichte beschreiben akkurat die gefundenen Schwachstellen und deren relative Risiken. Der Schweregrad (Konsequenz eines erfolgreichen Angriffs) und die Ausnutzbarkeit einer Schwachstelle werden konservativ anhand nachvollziehbarer Kriterien eingestuft. Korrekturmaßnahmen werden genau beschrieben, damit Entwickler die getestete Anwendung mit Hilfe des Berichtes selbststĂ€ndig absichern können. Unsere Berichte besitzen einen erprobten Aufbau. Dennoch erstellen wir auf Wunsch selbstverstĂ€ndlich auch Berichte mit Bezug auf OWASP, CWE oder andere Standards. Unsere Penetrationstests sind somit gleichzeitig Grundlage fĂŒr eine vollstĂ€ndige Risikobewertung, als auch fĂŒr die Absicherung des untersuchten Systems.

Der Penetration Test Schlussbericht enthÀlt:

  • Management Summary
  • Projektumfang und -ziele
  • Risikokategorisierung
  • Detaillierter Massnahmenkatalog
  • Risk Assessment Value (Benchmark): Sicherheitsniveau als Zahlenwert

Strukturierte Tests mit einer klaren Methodologie


Wir testen immer nach einer klaren Methodologie. Unser Pentests sind strukturiert und erfolgen nach einem mit Ihnen abgestimmten Plan. Je nach Systemart verwenden wir eine passende Methodologie, zum Beispiel

  • OWASP (passend fĂŒr Websysteme, Webservices usw.)
  • OSSTMM (passend fĂŒr Netzwerke, VoIP, WLAN usw.)
  • BSI (passend fĂŒr Rechenzentren, Anlagen, ErfĂŒllung von BSI Grundschutz-Normen usw.)


Falls erwĂŒnscht senden wir Ihnen den toolgenerierten Output, die Action Logs und Dump Files der Penetration Tests.



SchĂŒtzen Sie proaktiv Ihre IT Assets mittels Penetration Test


Es gibt keinen «typischen» Penetration Test. Deshalb bieten wir verschiedene Typen von Penetrationstests / Ethical Hacking (inkl. APT Tests) an, optimal ausgerichtet auf die spezifischen Anforderungen von Web Applikationen, Mobile Apps, SAP Lösungen, ICS (SCADA/DCS), IoT Devices, diverse Angriffsvektoren und Rahmenbedingungen oder Ihre individuellen WĂŒnsche (z.B. hĂ€lt Ihr SOC, Cloud oder Service Provider, was er verspricht?).

Unsere Penetration Tests helfen Ihnen dabei, Schwachstellen zu identifizieren, deren Risiken zu klassifizieren und passende Gegenmassnahmen zu planen und umzusetzen. Wir erstellen als Teil des verstĂ€ndlichen Schlussberichts detaillierte, priorisierte Massnahmenempfehlungen um Ihre IT Assets vor unerwĂŒnschten AktivitĂ€ten zu schĂŒtzen.

Sie erhalten den optimalen Penetrationstest fĂŒr Ihre Anforderungen


Um sicherzustellen, dass Ihre Anforderungen erfĂŒllt werden, bieten wir eine breite Palette an Tests an. Diese schließen Folgendes ein:
Web / Mobile


  • Webanwendungen
  • Webservices (REST/SOAP)
  • Applicationserver
  • iOS Apps
  • Android Apps

Infrastruktur


  • Netzwerke
  • Unix-Server
  • Windows-Server
  • VoIP
  • WLAN

Industrie


  • Automotive (CAN, Flex, Kontrolsysteme)
  • Embedded
  • SCADA
  • Internet of Things (IoT)

Enterprise


  • IBM (Server, Mainframe)
  • SAP (Modules, Netweaver, Fiori, HANA, usw.)
  • Oracle (Datenbanken, Appserver, ESB)

Testing Modelle im Überblick


BlackBox

Das „BlackBox“ testing Modell entspricht einem simulierten Angriff von außen. Es bestehen meist keinerlei vorab Informationen ĂŒber die zu testendenden Ziele, der Penetrationstester geht daher vor wie ein Angreifer und beschafft sich diese Informationen selbst.

WhiteBox

Beim „WhiteBox“ testing Modell wird mit vorab zur VerfĂŒgung gestellten Informationen gearbeitet. Diese können IP-Adressen, WLAN Passwörter, Informationen zu Backends bis hin zur Offenlegung von Source-Code sein (statischer Audit).

GreyBox

Kombiniert die Eigenschaften des „BlackBox“ und des „WhiteBox“ Modelles. GreyBox Tests bringen meist die besten Ergebnisse, allerdings gehen GreyBox-Tests auch oft mit höherem Aufwand einher, da die durchzufĂŒhrenden Tests dadurch insgesamt skalieren.

Newsletter


Sie haben noch ungeklÀrte Fragen?



Schildern Sie Ihre Fragen gerne in unserem Kontaktformular oder rufen Sie uns an!
Kontaktformular