Wir bringen langjährige Erfahrung im Bereich von Penetrationstests mit. Unsere Berater sind regelmäßig auf internationalen Hacker-Konferenzen und forschen selbst nach Schwachstellen. Dadurch können wir Ihre IT-Lösungen nicht nur auf konzeptioneller Ebene auf potenzielle Sicherheitsrisiken hin untersuchen, sondern auch tatsächlich vorhandene technische und organisatorische Schwachstellen finden sowie angemessen bewerten.
Wir kennen die aktuellen Angriffstechniken sowie Methoden und finden regelmäßig unbekannte Schwachstellen in Standardsoftware. Ein Penetrationstest geht bei uns je nach Wunsch weit über einen Standardscan hinaus. So finden wir immer wieder Schwachstellen in vermeintlich sicheren Systemen und Anwendungen, die andere Prüfer übersehen haben.
Auf diese Weise können Sie sicherstellen, dass Sie Ihre Schwachstellen finden und die Lücken schließen, bevor sie ein Angreifer findet und ausnutzt.
Beispiele für Prüfungsaspekte:
- Sicherheit von Web-Applikationen, Webservices und Portalen
- Quellcode-Prüfungen
- Prüfung mobiler Apps
- Konfigurationsüberprüfung von Azure-, AWS- und Google-Cloud-Umgebungen
- Prüfung mobiler Endgeräte
- Prüfung von Spezialgeräten, Embedded-Systemen oder selbstentwickelten Produkten des Kunden
- Überprüfung der Systemsicherheit und Härtung von Servern und Endgeräten.
- WLAN-Reviews/-Audits
- Social Engineering
- Strukturelle Analyse von DMZ-Strukturen und Netzwerk-Reviews
- Datenschutz-Audits im Kontext der IT-Sicherheit
Red-Team-Assessments
Ein Red-Team-Assessment unterscheidet sich von einem klassischen Penetrationstest in mehreren Punkten. Der größte Unterschied besteht darin, dass nicht eine Anwendung oder ein System, sondern alle Assets eines Unternehmens gleichermaßen im Fokus stehen. Dabei spielt es keine Rolle, ob es sich hierbei um ein IT-System, einen Mitarbeiter, einen Standort oder auch um ein Unternehmen in der Holding-Struktur handelt.
Stattdessen steht die Simulation realer Angriffstechniken und -taktiken im Vordergrund. Dazu werden in aller Regel konkrete Ziele definiert, die das Red-Team erreichen soll. Dies kann beispielsweise der Zugriff auf ein bestimmtes System oder eine Datenbank mit sensiblen Informationen sein.Mögliche VariantenVeröffentlichungen Für die Zielerreichung werden anschließend alle relevanten Phasen der sogenannten Cyber Kill Chain durchlaufen: beginnend mit der Informationsgewinnung, der Angriffsplanung und der Vorbereitung der Angriffe bis hin zu deren Durchführung. Dabei ist es in erster Linie nicht relevant, auf welchem Weg diese Ziele erreicht werden, sodass mehrere Vektoren abgedeckt werden. Typischerweise umfasst dies Angriffe auf extern erreichbare Dienste und Cloud-Umgebungen, Phishing-Angriffe, physische Angriffe vor Ort und den aktiven Einsatz von Social Engineering.
Anders als bei Penetrationstests geht es bei einem Red-Team-Assessment nicht darum, möglichst viele Schwachstellen in einem konkreten Prüfobjekt zu identifizieren. Vielmehr sollen ganzheitliche Defizite in der Prävention sowie in den Erkennungs- und Reaktionsfähigkeiten aufgezeigt werden. Daher wählt das Red-Team im Gegensatz zu einer klassischen Sicherheitsüberprüfung primär möglichst „leise“ Angriffstechniken und -formen aus, weshalb sich ein Red-Team-Assessment in der Regel über einen längeren Zeitraum erstreckt.
Aufgrund der genannten Rahmenbedingungen richtet sich diese Form der Überprüfung an Unternehmen, bei denen bereits ausgereifte Maßnahmen zur Prävention und Erkennung eines Sicherheitsvorfalls sowie zur Reaktion darauf implementiert sind.
