Schützen Sie Webshop, Internet Banking Plattform, Mobile App, ICS (SCADA/DCS), IoT Device oder IT Infrastruktur mittels Penetration Test / Ethical Hacking, Code Review, Reverse Engineering oder APT Test durch unsere zertifizierten Penetration Tester und Security Researcher.

Was ist ein Penetrationstest

Penetrationstests (kurz: Pentests) sind die Prüfung möglichst aller Systembestandteile und Anwendungen eines Netzwerk- und Softwaresystems auf Sicherheit. Erfahrene IT-Security Consultants versuchen dabei mit der Methodik eines Angreifers (ugs. Hacker) in kritische Systembereiche vorzudringen.

Die Penetrationstests erfordern Absprachen, Vorbereitung, Planung von Testverfahren und Zielen, sowie die Auswahl der möglichen Werkzeuge. Dies unterscheidet Penetrationstests von simplen Schwachstellen-Scans.

Ihre IT-Infrastruktur ist dauerhaft Sicherheitsangriffen ausgesetzt. Dies macht Sie verwundbar für Gefahren, die vielleicht noch gar nicht zu erkennen sind. Industrie- und Wirtschaftsspionage sind dabei so allgegenwärtig wie noch nie. Dennoch sind Sie als Unternehmen darauf angewiesen, dass Ihre Systeme funktionieren und keiner Gefahr ausgesetzt sind. Die Komplexität Ihrer Strukturen lässt allerdings das eigene Risiko nicht hinreichend erkennen.

Damit Sie sich hinreichend schützen können und Ihre Schwachstellen kritisch Einschätzen können, werden Penetrationstests durchgeführt. Wir bewerten in einem transparenten Prozess die Sicherheitslage Ihrer IT-Infrastruktur und geben Ihnen konkrete Handlungsempfehlungen.

Die Kompetenz und Erfahrung unserer IT-Security Consultants hilft Ihnen, ihr Risiko einzuschätzen und zu minimieren.

Ablauf unserer Penetrationstests

Was verbirgt sich dahinter?


Unsere Pentests gehen weit über automatisierte Security Scans hinaus. Hier übernimmt der durchführende Sicherheitsexperte die Rolle eines Hackers – aber legal. Zur Informationsbeschaffung nutzt er professionelle Werkzeuge und versucht gezielt, individuell und erfinderisch, in die Systeme des Unternehmens einzudringen. Diese Simulation eines realen Angriffs liefert qualitativ hochwertige Ergebnisse, die wir gemeinsam mit konkreten Verbesserungsvorschlägen für Sie in Berichtsform übergeben.

Sämtliche Projekte starten mit einem Kick-Off-Meeting, um Ihre spezifischen Anforderungen zu verstehen, Testbedingungen zu definieren und offene Punkte zu klären.

Nach dem Kick-Off-Meeting werden beispielsweise die Penetration Tests gemäss den folgenden Projektphasen durchgeführt:

  • Testvorbereitung
  • Informationsbeschaffung
  • Analyse und Verifikation von Sicherheitslücken
  • Optional: Entwicklung und Anwendung von Exploits (als Proof of Concept)
  • Verfassen des Schlussberichts
  • Optional: Projektpräsentation oder nur Diskussion des Schlussberichts


Akkurates Reporting


Unsere Reports sind strukturiert, exakt und aussagekräftig. Sie sind keine gewöhnlichen Scanergebnisse, sondern werden von Experten manuell verfasst, kontrolliert und enthalten keine False Positives. Beispielberichte (anonymisiert) sind auf Anfrage erhältlich.



Berichte mit nachvollziehbaren Bewertungen und Korrekturmaßnahmen



Unsere manuell erstellten Berichte beschreiben akkurat die gefundenen Schwachstellen und deren relative Risiken. Der Schweregrad (Konsequenz eines erfolgreichen Angriffs) und die Ausnutzbarkeit einer Schwachstelle werden konservativ anhand nachvollziehbarer Kriterien eingestuft. Korrekturmaßnahmen werden genau beschrieben, damit Entwickler die getestete Anwendung mit Hilfe des Berichtes selbstständig absichern können. Unsere Berichte besitzen einen erprobten Aufbau. Dennoch erstellen wir auf Wunsch selbstverständlich auch Berichte mit Bezug auf OWASP, CWE oder andere Standards. Unsere Penetrationstests sind somit gleichzeitig Grundlage für eine vollständige Risikobewertung, als auch für die Absicherung des untersuchten Systems.

Der Penetration Test Schlussbericht enthält:

  • Management Summary
  • Projektumfang und -ziele
  • Risikokategorisierung
  • Detaillierter Massnahmenkatalog
  • Risk Assessment Value (Benchmark): Sicherheitsniveau als Zahlenwert

Strukturierte Tests mit einer klaren Methodologie


Wir testen immer nach einer klaren Methodologie. Unser Pentests sind strukturiert und erfolgen nach einem mit Ihnen abgestimmten Plan. Je nach Systemart verwenden wir eine passende Methodologie, zum Beispiel

  • OWASP (passend für Websysteme, Webservices usw.)
  • OSSTMM (passend für Netzwerke, VoIP, WLAN usw.)
  • BSI (passend für Rechenzentren, Anlagen, Erfüllung von BSI Grundschutz-Normen usw.)


Falls erwünscht senden wir Ihnen den toolgenerierten Output, die Action Logs und Dump Files der Penetration Tests.



Schützen Sie proaktiv Ihre IT Assets mittels Penetration Test


Es gibt keinen «typischen» Penetration Test. Deshalb bieten wir verschiedene Typen von Penetrationstests / Ethical Hacking (inkl. APT Tests) an, optimal ausgerichtet auf die spezifischen Anforderungen von Web Applikationen, Mobile Apps, SAP Lösungen, ICS (SCADA/DCS), IoT Devices, diverse Angriffsvektoren und Rahmenbedingungen oder Ihre individuellen Wünsche (z.B. hält Ihr SOC, Cloud oder Service Provider, was er verspricht?).

Unsere Penetration Tests helfen Ihnen dabei, Schwachstellen zu identifizieren, deren Risiken zu klassifizieren und passende Gegenmassnahmen zu planen und umzusetzen. Wir erstellen als Teil des verständlichen Schlussberichts detaillierte, priorisierte Massnahmenempfehlungen um Ihre IT Assets vor unerwünschten Aktivitäten zu schützen.

Sie erhalten den optimalen Penetrationstest für Ihre Anforderungen


Um sicherzustellen, dass Ihre Anforderungen erfüllt werden, bieten wir eine breite Palette an Tests an. Diese schließen Folgendes ein:
Web / Mobile


  • Webanwendungen
  • Webservices (REST/SOAP)
  • Applicationserver
  • iOS Apps
  • Android Apps

Infrastruktur


  • Netzwerke
  • Unix-Server
  • Windows-Server
  • VoIP
  • WLAN

Industrie


  • Automotive (CAN, Flex, Kontrolsysteme)
  • Embedded
  • SCADA
  • Internet of Things (IoT)

Enterprise


  • IBM (Server, Mainframe)
  • SAP (Modules, Netweaver, Fiori, HANA, usw.)
  • Oracle (Datenbanken, Appserver, ESB)

Testing Modelle im Überblick


BlackBox

Das „BlackBox“ testing Modell entspricht einem simulierten Angriff von außen. Es bestehen meist keinerlei vorab Informationen über die zu testendenden Ziele, der Penetrationstester geht daher vor wie ein Angreifer und beschafft sich diese Informationen selbst.

WhiteBox

Beim „WhiteBox“ testing Modell wird mit vorab zur Verfügung gestellten Informationen gearbeitet. Diese können IP-Adressen, WLAN Passwörter, Informationen zu Backends bis hin zur Offenlegung von Source-Code sein (statischer Audit).

GreyBox

Kombiniert die Eigenschaften des „BlackBox“ und des „WhiteBox“ Modelles. GreyBox Tests bringen meist die besten Ergebnisse, allerdings gehen GreyBox-Tests auch oft mit höherem Aufwand einher, da die durchzuführenden Tests dadurch insgesamt skalieren.

Newsletter


Sie haben noch ungeklärte Fragen?



Schildern Sie Ihre Fragen gerne in unserem Kontaktformular oder rufen Sie uns an!
Kontaktformular