IT-Security - Schützen Sie Ihre digitalen Assets!

Penetration Testing & Red Teaming

Penetration Testing

Penetrationstests dienen dazu, die Sicherheit von Anwendungen und IT-Systemen zu überprüfen, indem ein Angriff durch einen Hacker simuliert wird. Unsere OSCP-zertifizierten Penetrationstester setzen dabei die Techniken und Werkzeuge eines Hackers ein, um Sicherheitsschwachstellen in der zu untersuchenden IT-Umgebung aufzudecken. Dies erlaubt eine systematische Identifizierung der Sicherheitslücken über alle relevanten Angriffsvektoren. Die Angriffsvektoren erstrecken sich von der Netzwerkebene über die Hostebene (Client und Server) bis hin zur Applikation und zur Datenbank, wobei hier sowohl die Architektur als auch der Quellcode Sicherheitslücken enthalten können.

Das primäre Ziel eines Penetrationstests ist die Erarbeitung von Sicherheitsmaßnahmen zur Behebung der identifizierten Sicherheitslücken. Diese Sicherheitsmaßnahmen bilden die Basis zur Definition für eine System- und Netzhärtung, die Ihren Systemanforderungen entspricht.

Vorgehensweise nach etablierten Standards

Wir bieten eine strukturierte Vorgehensweise nach etablierten Standards an. Insgesamt orientieren sich all unsere Penetrationstests am "Durchführungskonzept für Penetrationstests" des Bundesamtes für Sicherheit in der Informationstechnik (BSI), um ein strukturiertes und nachvollziehbares phasenbasiertes Vorgehen zu gewährleisten. Je nach Anwendungsfall werden weitere internationale Standards, wie die OWASP Security Verification Standards und die zugehörigen OWASP Testing Guides mit einbezogen, um Ihre IT-Systeme und Anwendungen nach Best-Practices zu untersuchen.

Ob als Blackbox Penetrationstest ohne jegliche Informationen oder als Whitebox Penetrationstest mit Zugangsdaten, Architekturinformationen oder gar Quelltext, gemeinsam planen wir den für Sie optimalen Penetrationstest. Mittels Threat Modeling nach STRIDE identifizieren wir potentielle Bedrohungen und definieren ein geeignetes Scope. Gerne bieten wir Ihnen auch ein mehrstufiges Vorgehen an, das sich beispielsweise aus einem vorgelagerten Offsite-Blackbox-Penetrationstest Ihrer externen IT-Infrastruktur, einem anschließenden Whitebox-Penetrationstest derselben, sowie einem Onsite-Penetrationstest Ihres internen Firmennetzwerks zusammensetzen könnte.

Mit unserem Purple Team Ansatz betrachten wir Ihre IT-Umgebung nicht bloß aus Angreifersicht (Red Team), sondern auch aus der Verteidigerperspektive (Blue Team), um die Sicherheit Ihres Unternehmens wirksam zu verbessern. Die identifizierten Sicherheitslücken werden anhand des Common Vulnerability Scoring Systems (CVSS) in Risikokategorien eingeteilt und priorisiert in einem Abschlussbericht festgehalten. Neben einer Management-Zusammenfassung beinhaltet der Bericht technische Details zu den identifizierten Schwachstellen sowie konkrete Empfehlungen zu deren Behebung. Auf Wunsch pflegen wir unsere Findings direkt in Ihr Ticket-System ein, um Ihre Entwickler bestmöglich bei der Behebung von Schwachstellen zu unterstützen.

Mit Hilfe eines optionalen Nachtests lässt sich anschließend die Effektivität der umgesetzten Sicherheitsmaßnahmen verifizieren. Außerdem erfolgen Tests auf neu implementierte und zwischenzeitlich neu bekannt gewordene Sicherheitslücken sowie sicherheitsbezogene Seiteneffekte.

Unsere Penetration Testing Leistungen

• IT-Infrastrukturen (Onsite & Offsite)
• Web Applications / Web APIs
• Apps (iOS, Android, Windows App)
• Internet of Things (IoT)
• Backend-Systeme
• SAP

Red Teaming

Im Rahmen eines Red Teaming Assessments überprüfen wir die Sicherheit Ihres Unternehmens als Ganzes aus Angreiferperspektive. Unser Ziel ist es mit allen nötigen Mitteln unbemerkt in Ihr Unternehmensnetzwerk einzudringen, um sensitive Daten zu extrahieren, sei es durch Social Engineering, physischen Zugriff, Schwachstellen in IT-Systemen und Anwendungen, den Einsatz von Malware oder die Umgehung von Firewall und Antivirensystemen. Anhand der Mitre ATT&CK Matrix simulieren wir einen komplexen, gezielten Angriff durch eine professionelle, organisierte Hacker-Gruppen (APT-Simulation).

Durch Red Teaming lassen sich nicht nur technische, sondern auch menschliche und organisatorische Schwachstellen innerhalb Ihres Unternehmens aufdecken. Nicht zuletzt zeigt ein solches Assessment auch wie gut Ihre reaktiven Maßnahmen im Falle eines Sicherheitsvorfalls greifen. Wird ein Angriff bemerkt? Gelingt es dem Blue Team die Gefahr zu isolieren? Durch unser Red Teaming Assessment erhalten Sie Antworten sowie Optimierungsempfehlungen.