PenetrationstestsPenetrationstests

Penetrationstests

Wir bringen langjährige Erfahrung im Bereich von Audits und Penetrationstests mit. Unsere Berater sind regelmäßig auf internationalen Hacker-Konferenzen und forschen selbst nach Schwachstellen. Dadurch können wir Ihre IT-Lösungen nicht nur auf konzeptioneller Ebene auf potenzielle Sicherheitsrisiken hin untersuchen, sondern auch tatsächlich vorhandene technische und organisatorische Schwachstellen finden sowie angemessen bewerten.

Wir kennen die aktuellen Angriffstechniken sowie Methoden und finden regelmäßig unbekannte Schwachstellen in Standardsoftware. Ein Penetrationstest geht bei uns je nach Wunsch weit über einen Standardscan hinaus. So finden wir immer wieder Schwachstellen in vermeintlich sicheren Systemen und Anwendungen, die andere Prüfer übersehen haben.

Auf diese Weise können Sie sicherstellen, dass Sie Ihre Schwachstellen finden und die Lücken schließen, bevor sie ein Angreifer findet und ausnutzt.

Beispiele für Prüfungsaspekte:

  • Sicherheit von Web-Applikationen, Webservices und Portalen
    Sicherheitsüberprüfung auf Anwendungsebene für Web-Applikationen jeder Art (Kundenportale, Webshops, HR-Portale, Onlinebanking, Intranet usw.). Die Überprüfungen werden gemäß anerkannten Standards durchgeführt (Beispiel: ASVS).
     
  • Quellcode-Prüfungen
    Bei Quellcode-Prüfungen wird der Quellcode von Web-Applikationen, Mobile Apps, Fat Clients usw. auf Sicherheitslücken untersucht.
     
  • Prüfung mobiler Apps
    Sicherheitsüberprüfung von Mobile Apps für die Betriebssysteme iOS und Android
     
  • Konfigurationsüberprüfung von Azure-, AWS- und Google-Cloud-Umgebungen
    Unsere Berater sichten die Konfiguration der jeweiligen Cloud-Umgebung und bewerten diese im Hinblick auf sicherheitsrelevante Einstellungen.
     
  • Prüfung mobiler Endgeräte
    Die Prüfung simuliert einen Angreifer mit physischem Zugriff auf das zu untersuchende Endgerät (Beispiele: Notebook, Smartphone).
     
  • Prüfung von Spezialgeräten, Embedded-Systemen oder selbstentwickelten Produkten des Kunden
    Hierzu zählen beispielsweise Prüfungen von IoT-Geräten, Hausautomation und Komponenten im Umfeld von ICS (Industrial Control Systems)
     
  • Überprüfung der Systemsicherheit und Härtung von Servern und Endgeräten
    Ziel der Prüfung ist es, sicherheitsrelevante Fehlkonfigurationen bzw. Schwachstellen auf Betriebssystemebene zu identifizieren, die Angriffe ermöglichen bzw. erleichtern.
     
  • WLAN-Reviews/-Audits
    Überprüfung auf Bedrohungen und Schwachstellen der WLAN-Infrastruktur und der beteiligten WLAN-Komponenten.
     
  • Social Engineering
    Mithilfe verschiedener Social-Engineering-Techniken wird versucht, an sensible Unternehmensdaten oder IT-Systeme zu gelangen. Hierbei werden in Abstimmung mit dem Kunden diverse Social-Engineering-Szenarien durchgespielt.
     
  • Innentäteranalysen
    Die Prüfung simuliert einen internen Angreifer (Beispiel: Praktikant, Mitarbeiter). Sie dient der Feststellung, welche Schwachstellen und Risiken aus Sicht eines Innentäters bestehen.
     
  • Strukturelle Analyse von DMZ-Strukturen und Netzwerk-Reviews
    Konzeptionelle Betrachtung vorhandener Netzwerkarchitekturen (Beispiel: DMZ)
     
  • Prüfung des ISMS, Überprüfung von Prozessen oder Richtlinien
     
  • Datenschutz-Audits im Kontext der IT-Sicherheit

Mehr zu unseren Red-Team-Assessments, die sich in mehreren Punkten von einem klassischen Penetrationstest unterscheiden, finden Sie hier:

Aktuelle Veröffentlichungen zu diesem Thema finden Sie hier:

Wie von allein? Vom Schwachstellenscan zum automatisierten Pentesting
iX Mai 2022

Angriffspläne – Herausforderungen im Rahmen von Red Team Assessments
iX Juli 2019

Der ultimative Pentest: Red-Team-Assessments – „echte“ Angriffe für mehr Sicherheit
kes 12.04.2019