Penetrationstests




Penetrationstests und IT-Sicherheitsaudits

Unsere Vision

Wir identifizieren Sicherheitsprobleme frühzeitig und geben praktikable Empfehlungen zur Behebung der Schwachstellen.

Unsere Leistung

Wir bieten Black-, Grey- und White-Box-Penetrationstests sowie strukturierte Security Assessments für IT-Infrastrukturen und Anwendungen an.

Auswahl des richtigen Sicherheitstests

Während Black-, Grey- und White-Box-Tests etablierte Arten von Penetrationstests sind, möchten wir Ihre Aufmerksamkeit auf eine Dienstleistung lenken, die wir "strukturiertes Assessment" nennen. Unsere strukturierten Assessments erweitern den Umfang von White-Box-Penetrationstests, indem wir eine oder zwei 3-stündige Auditsitzungen mit der operativen/entwickelnden Abteilung des Unternehmens durchführen und die Architektur des Dienstes, Liefermodelle, Geschäftsprozesse und Supportprozesse besprechen. Zusätzlich schauen wir uns typische IT-bezogene Prozesse wie Backup und Restore, Administration, Benutzer- und Berechtigungsmanagement, Patch-Management-Prozesse, Außerbetriebnahme, etc. an. Dieser erweiterte Umfang verschafft uns zu Beginn des strukturierten Assessments ein großes Basiswissen über das später zu untersuchende Assessment-Ziel und hilft uns, prozessbezogene Schwachstellen zu identifizieren. Der nächste Schritt des Assessments ist eine klassische White-Box-Penetrationstest-Übung. Während die White-Box-Übung eine Momentaufnahme des Sicherheitszustands zu einem bestimmten Zeitpunkt wäre, wird durch den erweiterten Umfang des strukturierten Assessments sichergestellt, dass auch mögliche zukünftige Mängel durch entsprechende Prozesse adressiert werden. Beim Patch-Management beispielsweise wird die White-Box-Übung den Patch-Status zu einem bestimmten Zeitpunkt validieren, während die Prozessüberprüfung, die als Teil des strukturierten Assessments durchgeführt wird, sicherstellt, dass ein solider Patch-Management-Prozess für die Zukunft etabliert wird.

Scoping

In Absprache mit unseren Kunden definieren wir den geeigneten Testumfang und unterstützen sie somit ein individuelles und optimales Verhältnis zwischen Kosten und Sicherheit zu erreichen.

Durchführung

Während des vereinbarten Zeitrahmens wird der Pentest oder das Assessment beim Kunden vor Ort oder per Fernzugriff durchgeführt. Die Ergebnisse werden in Absprache mit dem Kunden dokumentiert. Ein Pentest-Bericht wird erstellt und dem Kunden ausgehändigt.

Follow-Ups

Wir bieten einen zusätzlichen Service an, bei dem wir regelmäßige Follow-up-Aktivitäten durchführen, um den Status der Implementierung der Behebungsmaßnahmen zu verfolgen, Fragen zu klären und den Betrieb und das Entwicklungsteam bei der Behebung der Schwachstellen zu begleiten.

Retest

Wir bieten einen zusätzlichen Service an, bei dem wir die zuvor identifizierten Schwachstellen erneut überprüfen, um sicherzustellen, dass die Behebungsmaßnahmen erfolgreich implementiert wurden.