• © shutterstock.com by Myvisuals

Technische Sicherheitsprüfung / Penetrationtesting

Cyber-Angriffe nehmen weltweit stetig zu und werden durch Darknet-Angebote, wie z.B. Ransomware-as-a-Service (RaaS), immer ausgefeilter, zielgerichteter und aggressiver. Abhängig von den unterschiedlichsten Zielen, welche die Angreifer verfolgen, resultieren die Angriffe primär in der Erpressung von Lösegeldern, oder den Diebstahl von Ressourcen und Informationen. Dabei werden höchst kreativ unzählige Schwachstellen und Angriffsvektoren ausgenutzt – von ungepatchten Systemen, Fehlern in selbstentwickelten Anwendungen und Systemkonfigurationen bis hin zur „Schwachstelle Mensch“.

Angepasst an die speziellen Anforderungen unserer Kunden bieten wir ein umfangreiches Portfolio, um Sie in jeglicher Hinsicht präventiv auf einen möglichen Cyber-Angriff vorzubereiten. In der Regel gehen all unseren Penetrationstests automatisierte Schwachstellenscans voraus. Aufbauend auf diesen ersten Ergebnissen erkennen und eliminieren unsere mehrfach zertifizierten Penetrationstester mögliche „False Positives“ und gehen anschließend bei manuellen Tests in die Tiefe. Dabei versetzen sie sich durch ihre langjährige Erfahrung in die Rolle eines realen Angreifers, identifizieren die größten Gefahren und Risiken für das System und Ihr Unternehmen, und suchen gezielt nach den entsprechenden Schwachstellen.

Abhängig davon, ob Sie uns ein Testsystem zur Verfügung stellen können, oder wir „am offenen Herzen operieren“, passen unsere Penetrationstester individuell ihr Vorgehen an, um z.B. an einem Livesystem die Systemstabilität oder die Konsistenz der reellen Daten nicht zu gefährden.

Wenn nicht anders mit Ihnen abgesprochen, werden in unseren Penetrationstests relativ selten tatsächliche Exploits gegen Ihre Systeme angewendet. Einer der Gründe ist, dass bei einem Exploit nie die Systemstabilität garantiert werden kann – die Wahrung der Schutzziele hat vor Allem in Produktivumgebungen für uns höchste Priorität. Bei regulären Penetrationstests liegt unser Fokus also primär in der Auffindung möglichst vieler, für Sie und Ihre Systeme relevanter Angriffsvektoren.

Bei speziellen Anforderungen Ihrerseits können wir ebenfalls tiefergehende Penetrationstests anbieten, bei denen die Schwachstellen Ihrer Systeme tatsächlich ausgenutzt und öffentlich verfügbare Exploits angewandt werden.

Darüber hinaus bieten wir Ihnen an die Awareness Ihrer Mitarbeiter durch eine auf Sie und Ihre Firma zugeschnittene Social Engineering Kampagnen zu überprüfen. In einem weiterführenden RedTeam Penetrationstest, der die Königsdisziplin unter den Penetrationstests darstellt, können Sie uns damit beauftragen jegliche Perimeter Ihres Unternehmens in Bezug auf die IT- und Informationssicherheit zu testen.

Anschließend an sämtliche Penetrationstest-Module liefern wir Ihnen einen umfangreichen Bericht mit den von uns identifizierten und verifizierten Schwachstellen. Neben der technischen Beschreibung der Schwachstelle und einer Empfehlung ihrer Beseitigung führen wir themenspezifische Referenzen auf, um ihren technischen Mitarbeitern weiterführenden Quellen für das Verständnis und Behebung der Schwachstellen an die Hand zu geben. In einer sogenannten „Management Summary“ fassen wir außerdem die Kernergebnisse des Penetrationstests verständlich und kurz für die Managementebene zusammen.

© shutterstock.com by ESB Professional

Unsere Leistungen

  • WebApplikationen

    Umfangreiche Überprüfung Ihrer WebApplikation nach dem aktuellen OWASP Top10-Standard in der 2017er Fassung.

     

  • Mobile Geräte und Applikationen

    Umfangreiche Überprüfung Ihrer mobilen Applikation nach dem aktuellen OWASP Mobile Top10-Standard in der 2016er Fassung. Zusätzlich dazu können wir die Konfiguration Ihres eingesetzten Mobile Device Managements (MDM) untersuchen und bewerten.

     

  • Infrastruktur

    Ob externer oder interner Infrastrukturpenetrationstest – bei diesem Penetrationstest-Modul überprüfen wir Ihre IP-Range auf die Umsetzung sogenannter „Best Practices“, melden Ihnen, wenn Sie Software mit bekannten Schwachstellen im Einsatz haben, Klartextprotokolle nutzen, oder Ihre Netzwerkkonfiguration sonstige Risiken birgt.

     

  • Medizintechnik

    In speziellen Fällen können wir uns bestimmte medizinische Gerätschaften im Detail anschauen – ob Sie nun selbst der Hersteller sind, oder diese nur einsetzen. Beim letzteren und im Fall von kritischen Schwachstellen, würden wir Sie ebenfalls beim „Responsible Disclosure“ an den Hersteller unterstützen, als auch ein entsprechendes technisches Advisory verfassen.

  • Client

    Beim Client-Penetrationstest überprüfen wir Ihr Client-Gerät in der Standardkonfiguration. Abhängig von Ihrem Use-Case können wir untersuchen was passiert, wenn das Gerät (im Falle eines Laptops) verloren wird, oder was ein „Interner Angreifer“ (durch Absicht oder Fehlbenutzung) im schlimmstmöglichen Fall anstellen kann. Auch sprechen wir „Best Practice“ Empfehlungen für die Härtung der Geräte aus.

  • WLAN

    Überprüfung der WLAN-Konfigurationen, sowie Netz- und Client-Segmentierungen. Außerdem ist es vor allem im Klinik-Umfeld wichtig zu prüfen, ob kritische Geräte über das WLAN eingebunden sind und ob bzw. wie diese gegen z.B. Deauthentication-Angriffsmethoden geschützt sind.

  • Social Engineering

    Dabei überprüfen wir nach Absprache mit Ihnen die Awareness Ihrer Mitarbeiter. Dabei bietet es sich an zu versuchen, sowohl über das Vishing (Voice Phishing – über Telefon), als auch über das klassische Phishing (per E-Mail), den Mitarbeitern sensitive Daten wie ihre Zugangsdaten, Patienteninformationen, etc. zu entlocken.

Ihr Mehrwert

  • Prüfung und Beratung durch branchenerfahrene Sicherheitsexperten

  • Bessere Einschätzung des eigenen aktuellen Schutzniveaus Ihrer IT-Systeme und Eignungsprüfung etablierter Schutzmaßnahmen

     

  • Reduzierung von Haftungsrisiken, die durch die nicht ausreichende Absicherung Ihrer Systeme entstehen

     

  • Nachweis der Erfüllung regulatorischer Anforderungen etablierter Standards, wie ISO/IEC 27001, BSI Grundschutz sowie Branchenspezifischen Sicherheitsstandards und der DSGVO

  • Kalkulationssicherheit (Festpreis)

Senden Sie uns gerne eine unverbindliche Anfrage

info@aurasec.de 030 408173352 Schau vorbei. Informiere dich!