Durch die zunehmende Digitalisierung sind Unternehmen heute diversen Bedrohungen, wie Industriespionage, internen Angriffen durch verärgerte Mitarbeiter, Denial-Of-Service-Attacken oder Ransomware ausgesetzt.

Penetrationstests (kurz Pentests, auch: Ethical Hacking oder Pentesting) stellen ein wichtiges Werkzeug zur rechtzeitigen Erkennung und Schließung von Sicherheitslücken dar, um sensible Unternehmensdaten zu schützen.

In Absprache mit Ihnen überprüfen unsere OSCP-zertifizierten Pentester die Systeme systematisch nach typischen Schwachstellen. Dabei orientieren wir uns an relevanten Branchenstandards wie OWASP Top 10, MITRE ATT&CK®, PTES und den Richtlinien des BSI.

Jeder Fund wird dokumentiert und bewertet, um Ihnen anschließend zu helfen, diese Sicherheitslücken zu schließen. Gerne stellen wir in Nachtests sicher, dass die Lücke auch wirklich behoben wurde. Dabei herrscht selbstverständlich absolute Geheimhaltung und Diskretion, um sicherzugehen dass Informationen zu Schwachstellen nicht in falsche Hände geraten.

Welche Art von Pentest ist für mein Unternehmen der richtige?

Anwendungen

Sie haben eine Anwendung (Web, Desktop oder Mobile) und möchten sichergehen dass die Daten Ihrer Nutzer geschützt sind und Ihre APIs abgesichert sind? In einem Anwendungs-Penetrationstest nehmen wir Ihre Anwendung und alle Anbindungen unter die Lupe und untersuchen Berechtigungskonzepte, Kryptografie und decken Schwachstellen im Code auf.

Infrastrukturen

Sie sind besorgt, dass ein Angreifer über Ihre öffentlich verfügbaren Systeme wie VPNs, Nextcloud, MDM-Systeme oder Mailserver in Ihr Unternehmen eindringt und Schaden verursacht? In einem Infrastruktur-Penetrationstest testen wir Ihre öffentlich verfügbaren Server auf Schwachstellen und nutzen dabei realistische Angriffsszenarien, sammeln Informationen via Open-Source Intelligence (OSINT) und liefern Ihnen ein akkurates Bild Ihrer Organisation aus Sicht eines externen Angreifers.

Social Engineering Audit

Die größte Schwachstelle für Unternehmen ist und bleibt der Mensch – haben Sie Angst dass Ihr Unternehmen einer Phishing-Kampagne zu Opfer fällt? Wir simulieren Phishing-Angriffe auf ethische Weise, in Absprache mit Ihnen, um sicherzustellen, dass Ihre Mitarbeiter sensibilisiert sind. Sprechen Sie uns für einen Social Engineering Audit an.

Innentäter Pentest

Ist ein Angreifer über Phishing oder das Ausnutzen einer Sicherheitslücke bereits im Unternehmensnetz angelangt, hängt es von der Härtung Ihrer internen Systeme ab, wie hoch der Schaden ausfällt. Aber auch verärgerte (Ex-)Mitarbeiter können zum Täter werden. In einem Innentäter Penetrationstest (auch Assumed Breach Audit genannt), testen wir die Ausweitung von Privilegien, ausgehend von einem Standardnutzer in Ihrem Active Directory, und helfen Ihnen, das Schadenrisiko im Falle eines erfolgreichen Angriffs zu minimieren. Hierbei können wir auch einen Arbeitslaptop auf Härtung testen um sicherzugehen, dass ein gestohlener Laptop nicht zu einem Unternehmenshack führt.

Kontaktieren Sie uns heute

Wir beraten Sie in einem unverbindlichen Gespräch

Häufig gestellte Fragen (FAQ):

Wie beauftrage ich einen Penetrationstest?

In einem ersten Schritt kontaktieren Sie uns bitte über unser Kontaktformular oder telefonisch. In einem unverbindlichen Vorgespräch klären wir den Umfang der Prüfung. Wir melden uns dann mit einem Angebot bei Ihnen zurück. Nach Unterzeichnung der Verträge legen unsere Experten los und Sie erhalten nach Abschluss des Penetrationstests einen detaillierten Bericht mit einer Beschreibung aller gefundenen Schwachstellen und Empfehlungen zu deren Beseitigung.

Was ist der Unterschied zwischen einem Whitebox, Blackbox und Greybox Pentest?

In einem Blackbox-Test wird ein externer Angreifer simuliert, der keine Vorkenntnisse oder Insiderwissen über ein Ziel besitzt. In Greybox-Tests sind dem Angreifer mehr Informationen über das Ziel bekannt, wie beispielsweise eine Liste von Diensten, die auf den Zielhosts laufen. In einem Whitebox-Test erhält der Angreifer das Maximum an Informationen: Für eine Anwendung wird beispielsweise der Quellcode zur Verfügung gestellt.

 

Wir beraten Sie gerne und finden das richtige Modell für Ihren Anwendungsfall.

Kann man einen Penetrationstest auch automatisiert durchführen?

Sogenannte automatisierte Pentests sind häufig nur als Penetrationstest getarnte Schwachstellenscans – hierdurch werden durch den Einsatz von Scanning-Tools lediglich offensichtliche Sicherheitslücken (sogenannte Low-Hanging-Fruits) gefunden. Auch wenn ein Schwachstellenscan ein Teil eines Penetrationstest ist, liegen Schwachstellen jedoch häufig im logischen Design einer Anwendung oder in der sinnvollen Verbindung von mehreren kleineren Sicherheitslücken in Exploit-Chains. Diese können nur durch einen erfahrenen Penetrationstester erkannt werden.

Muss ein Innentäter-Pentest vor Ort stattfinden?

Nein – wir versenden unsere Pentest-Box direkt an Sie und Sie müssen diese nur in Ihrem Netzwerk anschließen. Diese verbindet sich über eine abgesicherte VPN-Verbindung direkt mit unserem Büro in Bremen und unsere Pentester können direkt loslegen.

 

Gerne überprüfen wir aber auch Ihre physische Sicherheit vor Ort und sehen uns Ihre Büros und Arbeitsräume an.

Wie läuft ein Social Engineering Audit / eine Phishing Simulation ab?

Für eine Phishing Simulation wählen wir in einem Kickoff zunächst einen oder mehrere angemessene Szenarien, welche wir simulieren wollen und entscheiden ob wir Ihre Mitarbeiter nach dem Phishingversuch durch eine Aufklärungsseite aufklären wollen.

Nach einigen Testläufen und Anpassungen führen wir die Kampagne durch. Sie erhalten anschließend einen Bericht mit Erfolgsstatistiken und Beschreibung des Szenarios. Optional führen wir auch Sensibilisierungsworkshops für Ihre Mitarbeiter durch, um sicherzustellen dass Phishing in Zukunft bei Ihnen keinen Erfolg haben wird.