Cybersicherheit: Pentests und Trainings

Pentests untersuchen die Sicherheit von IT-Infrastrukturen, Anwendungen, Schnittstellen oder auch von Prozessen. Wir bieten für die folgenden Untersuchungsgegenstände Tests an: 

Externe Netzwerke

Ihre extern aus dem Internet erreichbaren Systeme sind dem größten Risiko ausgesetzt. Im Rahmen von externen Tests, die am ehesten mit einem klassischem „Hacker-Angriff“ in einem sog. Black-Box-Szenario zu vergleichen sind, werden alle nach außen exponierten Netzwerkdienste nach potentiellen Sicherheitslücken durchsucht. Dabei werden sowohl Ihre Firewall-Regeln als auch die Härtungseinstellungen Ihrer Systeme auf Herz und Nieren überprüft. Die Basis unserer Prüfungen bilden öffentliche Empfehlungen und Richtlinien zur Durchführung von Pentests des Bundesamtes für Sicherheit in der Informationstechnik (BSI), sowie über 15 Jahren Erfahrung auf diesem Gebiet. Darüber hinaus wird jeder Test sorgfältig an den individuellen Prüfgegenstand angepasst und um die notwendigen Prüfungen erweitert. Mehr erfahren 

Interne Netzwerke

Während das Internet als potentielle Gefahrenquelle gilt, wird das Netzwerk innerhalb eines Unternehmens meist als weniger bedroht betrachtet. Fälschlicherweise, denn das Risiko durch einen Innentäter, bspw. durch die Überwindung des äußeren Perimeters, durch böswillige Mitarbeitende oder durch das unabsichtliche Einbringen von Schadsoftware, sollte ebenfalls nicht unterschätzt werden. Das momentan aufstrebende „Zero-Trust“-Modell geht sogar soweit, dass einem internen System genauso wenig Vertrauen wie dem Internet geschenkt werden sollte. Durch einen internen Pentest werden mit Zugang zum Unternehmensnetz – vor Ort oder per VPN – analog zum externen Netzwerk-Pentest alle Netzwerkdienste des Intranets im Hinblick auf Sicherheitslücken und Konfigurationsfehler durchsucht. Weiterhin werden ggf. vorhandene Netzzugangskontrollen (NAC – Network Access Control) sowie Detektions- und Präventionsmaßnahmen gegen lokale Angriffe evaluiert und auf Effektivität überprüft. Das Vorgehen entspricht dabei eher einem Grey-Box-Szenario, kann aber durch die Bereitstellung von detaillierten Netzplänen und weiteren Informationen über die IT-Infrastruktur auch zu einem konkret definierten White-Box-Test erweitert werden. Mehr erfahren

Webapplikationen und Web-APIs

Neben einfachen Websites erfreuen sich browserbasierte Applikationen, kurz Web-Apps, bei Entwicklern und Anwendern zunehmender Beliebtheit. Der Funktionsumfang ist groß, angefangen von Onlineshops über Mail- und Kalenderanwendungen bis hin zu Videosprechstunden. Ebenso groß ist allerdings das Potential für Fehler bei der Programmierung und damit ggf. für schwerwiegende Sicherheitslücken, welche nicht nur Websites und Web-Apps an sich, sondern auch den darunterliegenden Server und dessen Infrastruktur gefährden. Ein Pentest prüft daher die Webanwendung im Hinblick auf bekannte Sicherheitslücken (u. a. „OWASP Top 10“) und logische Fehler – insbesondere in der Rechteverwaltung. Häufig mit modernen Web-Apps verbunden, aber ggf. auch alleinstehend, werden die zugrundeliegenden Programmierschnittstellen (APIs) bzw. Web-Services gemäß den architektur- und protokollspezifischen Besonderheiten ebenfalls auf Sicherheitslücken überprüft. Mehr erfahren

Smartphone-Apps (iOS und Android)

Sowohl unter iOS als auch auf dem Android-Betriebssystem besteht die Gefahr, dass die Sicherheitsfunktionen der Plattform falsch konfiguriert oder sensible Daten nicht ausreichend geschützt werden. Somit kann ein potentieller Angreifer ggf. auf dem Gerät selbst oder auf dem zugrundeliegenden Backend-System unautorisiert auf sensible Informationen zugreifen oder schadhafte Aktionen ausführen. Im Rahmen eines Pentests werden iOS- oder Android-Apps daher sowohl auf Berechtigungs- und Konfigurationsebene als auch im Hinblick auf programmierbedingte Sicherheitslücken überprüft, wobei auch deren Anbindung an das entsprechende Backend-System eine zentrale Rolle einnimmt. Unsere Prüfungen basieren dabei u. a. auf dem „OWASP Mobile Security Testing Guide“. Mehr erfahren

Large Language Models (LLMs)

Penetrationstests für Large Language Models (LLMs) helfen Sicherheitslücken in Ihren KI-Systemen zu erkennen und zu schließen, wobei sich die Tests an den OWASP LLM Top 10-Standards orientieren. Diese spezialisierten Sicherheitsprüfungen bieten eine umfassende Analyse potenzieller Schwachstellen und konkrete Empfehlungen, um KI-Anwendung sowie die darunterliegende Infrastruktur gegen Angriffe wie Prompt Injections oder Model Theft zu schützen und den Datenschutz sicherzustellen. Mehr erfahren

Microsoft 365

Fehlkonfigurationen zählen zu den häufigsten Ursachen für Sicherheitsvorfälle in Cloud-Umgebungen. Unser Microsoft 365 Sicherheits-Audit deckt potentielle Sicherheitsrisiken im Hinblick auf die Konfiguration in Ihrer Cloud-Umgebung auf und liefert klare Empfehlungen zur Absicherung von Entra ID, Exchange, SharePoint, Teams und mehr. Mehr erfahren

Active Directory

Mithilfe eines Active Directory (AD) kann ein Netzwerk entsprechend den Strukturen des Unternehmens bzw. der Organisation gegliedert werden. Die verschiedenen Objekte in einem Netzwerk – Computer, Dienste, Server, Geräte wie Drucker, aber auch Benutzer, Gruppen etc. – werden so verwaltet. Um die Sicherheit des Netzwerkes zu gewährleisten und sich vor unbefugten Zugriffen zu schützen, ist es empfehlenswert, den Verzeichnisdienst regelmäßig einem Audit zu unterziehen. Wenn Sie Interesse an einem Active-Directory-Audit haben, sprechen Sie uns gerne an!

Alle aus dem Internet erreichbaren Prüfgegenstände, z. B. extern erreichbare Systeme und Web-Anwendungen, werden von unserem Unternehmensstandort aus getestet. Für interne Tests wird meist eine VPN-Verbindung genutzt, da so Nebenkosten eingespart werden und eine längere Testdauer möglich ist. Sollte Ihrerseits kein VPN o. Ä. zur Verfügung stehen, besteht die Möglichkeit eines unserer Testgeräte zu installieren. Auch die Installation der benötigten Software Ihrerseits auf einem eigenen Gerät ist denkbar. Sofern diese Szenarien keine Option darstellen, findet der Pentest durch einen Tester vor Ort statt.

Die zu testende Instanz des Untersuchungsgegenstandes wird von Ihnen festgelegt. Sofern eine Test- oder Staging-Instanz existiert, empfiehlt es sich, den Pentest in einer dieser Umgebungen durchzuführen. Dabei sollte allerdings darauf geachtet werden, dass sich insbesondere die Sicherheitseinstellungen möglichst nah an der Produktivumgebung orientieren, da die Testergebnisse davon beeinflusst werden könnten.

Unabhängig von der gewählten Umgebung hat die Vermeidung von ungewollten Betriebsstörungen und des Ausfalls von Systemen bei jedem Pentest höchste Priorität. Denial-of-Service-Angriffe (kurz DoS-Angriffe) werden daher grundsätzlich nicht durchgeführt.