Wir führen Penetrationstest für unterschiedlich große Unternehmen durch
Von klein – mittelständischen Unternehmen bis hin zu Konzernen, öffentlicher Verwaltung und Organisationen der kritischen Infrastruktur – wir führen Tests in unterschiedlichsten Größen durch. Auf dem aktuellen Stand, nach Standards wie den OWASP Top 10 und auf Basis der ISO 27001.
Setzen Sie auf die Expertise unserer Pentester, so einfach geht’s
1. Kontaktaufnahme & Austausch erster Details
Nachdem Sie zu uns Kontakt aufgenommen haben, terminieren wir ein erstes Gespräch, in dem wir Ihr Anliegen detaillierter besprechen. Wir reservieren den gewünschten Durchführungszeitraum unter Vorbehalt und bestimmen die Arbeitspakete und den Umfang. Im Anschluss erhalten Sie ein Angebot.
2. Angebotsannahme und Kick-off Termin
Ihr Termin ist reserviert, sobald Sie das Angebot angenommen haben. Sie erhalten eine Auftragsbestätigung und alle notwendigen Verträge. Alle benötigten Informationen sollten für den Kick-off Termin vorliegen.
3. Durchführung des Tests
Wir beginnen zum vereinbarten Termin mit der Durchführung des Tests, welcher durch einen intensiven Austausch begleitet wird.
4. Versand des Reports und Ergebnispräsentation
Wir stellen Ihnen den Report zur Verfügung und führen im Anschluss bei Bedarf einen Termin durch, in welchem wir Ihren Technikern sowie dem Management die Testergebnisse und empfohlenen Maßnahmen präsentieren.
Silas Borgmeier
Account Manager
Vertrieb
Sie wünschen eine persönliche Beratung?
Gerne stehe ich Ihnen mit unserer Expertise zur Verfügung.
Unsere 360° Analyse in der Übersicht
Analyse der externen & internen Angriffsfläche
Externer Pentest
Von außen analysieren wir Ihre Angriffsfläche und untersuchen die bereitgestellten oder in Erfahrung gebrachten IP-Adressen
Interner Pentest
Von innen analysieren wir Ihre Angriffsfläche. Erfahren Sie das Schadenspotenzial, wenn es ein Angreifer geschafft hat in Ihre Infrastruktur vorzudringen
Evil Employee
Gezielt wird untersucht, welche Möglichkeiten ein Mitarbeiter besitzt, der grob fahrlässig einen Vorfall verursachen kann.
WLAN-Audit
Sie stellen kabellose Verbindungsmöglichkeiten bereit? Wir untersuchen, wie sicher diese gestaltet sind.
Rückrufservice
Schreiben Sie uns Ihr Anliegen. Gerne rufen wir Sie zu einer bestimmten Uhrzeit zurück.
Terminservice
Vereinbaren Sie einen digitalen Gesprächstermin mit uns.
Kontaktformular
Hinterlassen Sie eine Nachricht über unser Kontaktformular. Wir melden uns zurück.
Ein Auszug unserer Pentester
Vincent
Reckendrees, BSc
Head of Penetration Testing
Vincent Reckendrees, B.Sc., ist ein engagierter Pentester bei der AWARE7 GmbH, der mit seinem Bachelor of Science fundierte Kenntnisse in der IT-Sicherheit mitbringt und Unternehmen bei der Identifikation und Abwehr von Cyberbedrohungen unterstützt.
Mario
Klawuhn, BSc
Senior Penetration Testing Expert
Mario Klawuhn, OSCP, ist ein hochqualifizierter Pentester bei der AWARE7 GmbH, der durch seine Zertifizierung als Offensive Security Certified Professional (OSCP) seine Expertise in der Erkennung und Behebung von Sicherheitslücken unter Beweis stellt.
Roman
Mazuritskiy, BSc
Penetration Testing Expert
Roman Mazuristkiy, B.Sc., arbeitet als Pentester bei der AWARE7 GmbH und nutzt sein umfassendes Wissen aus seinem Bachelorstudium, um Sicherheitslücken in IT-Systemen aufzudecken und effektive Schutzmaßnahmen zu entwickeln.
Thomas
Henning, BSc
Penetration Testing Expert
Thomas Henning ist ein zertifizierter OSCP-Pentester und besitzt einen Bachelor of Science. Bei der AWARE7 GmbH nutzt er seine umfassende Fachkenntnis und analytische Fähigkeiten, um Sicherheitslücken in IT-Systemen aufzudecken und maßgeschneiderte Sicherheitslösungen zu entwickeln.
Tim
Barsch, BSc
Penetration Testing Expert
Tim Barsch, B.Sc., ist ein erfahrener Pentester bei der AWARE7 GmbH, der mit seinem Bachelor of Science fundiertes technisches Wissen und analytische Fähigkeiten einsetzt, um die IT-Sicherheit von Unternehmen zu stärken.
Hendrik
Siewert, MSc
Penetration Testing Expert
Hendrik Siewert, M.Sc., ist ein Pentester bei der AWARE7 GmbH, der mit seinem Master of Science fortgeschrittene Kenntnisse und innovative Ansätze zur Identifikation und Behebung von Sicherheitslücken in IT-Systemen einbringt.
IT-Security Made in Germany
Das Angreifen und Testen von Anwendungen ist das Mittel zum Zweck. Das mittelfristige Ziel ist es stets das IT-Sicherheitsniveau zu erhöhen und damit den langfristigen Schutz von Kunden- und Unternehmensdaten zu ermöglichen. Wir haben das Siegel “IT-Security made in Germany” vom TeleTrust Bundesverband IT-Sicherheit e.V. ausgestellt bekommen. Die Urkunde zur Erklärung und Gestattung der Nutzung des Siegels kann eingesehen werden.
Auch wenn wir weltweit tätig sind, ist und bleibt unser Hauptsitz in Deutschland
Seit der Gründung befindet sich der Unternehmenssitz der AWARE7 GmbH in Deutschland. Der Standort Deutschland wird von unseren internationalen Kunden geschätzt.
Produkte und Dienstleistungen sind frei von versteckten Zugängen
Alle von uns erbrachten Dienstleistungen erfolgen nach ethischen Grundsätzen. Die Beseitigung aller Zugänge nach einem Test ist obligatorisch und fest im Prozess integriert.
Forschung & Entwicklung findet ausschließlich in Deutschland statt
Neue Produkte sowie die Zusammenarbeit mit Studenten und Instituten sind in unserer Unternehmens-DNA. Wir forschen und entwickeln aus Deutschland heraus.
Planen Sie jetzt Ihren nächsten Penetrationstest
Unsere eingesetzte Methodik bei der Durchführung von Penetrationstests
Auch wenn jeder Penetrationstest eine individuelle Leistungserbringung darstellt, so kennzeichnet sich jede Durchführung durch Ihre Systematik und Methodik aus. Die von uns angewandte Methodik setzt sich aus folgenden Bestandteilen zusammen.
- Kick-off
Der Kick-off findet je nach Komplexität des Penetrationstests einen Monat bis eine Woche vor dem vereinbarten Durchführungszeitraum statt. In diesem sollen Roadblocks und Absprachen für die erfolgreiche Durchführung evaluiert werden. Vonseiten der AWARE7 GmbH nehmen an diesem Termin die Penetrationstester sowie das Projektmanagement teil. Am Kick-off Termin sollten die folgenden Stakeholder ihrerseits teilnehmen:
– Alle relevanten Risiko- oder Projekteigentümer
– Informationssicherheitsbeauftragte
– Technisches Personal mit Kenntnissen über das Zielsystem - Recon
Unter Reconnaissance, Recon oder auch Aufklärung versteht man die Arbeit der Informationsbeschaffung, bevor ein echter Angriff durchgeführt wird. Die Idee ist, so viele Informationen wie möglich über das Ziel zu sammeln. Um dies zu erreichen, werden viele verschiedene, öffentlich zugängliche Informationsquellen genutzt. Die extrahierten Informationen erlauben oft schon einen detaillierten Einblick in die betroffenen Systeme.
Bei einem Penetrationstest des Active Directories bedeutet dies beispielsweise, dass in einem ersten Schritt alle Systeme, welche Teil des Active Directories sind, enumeriert werden. Die Identifikation der Systeme wird parallel zur Identifikation der Netzwerkdienste mit gängigen Netzwerkscannern, wie nmap oder massscan, durchgeführt. - Enumeration und Vulnerability Identification
In der Enumerationphase wird von einer passiven Informationssammlung, wie in der Reconphase, in eine aktive übergegangen und die Informationssammlung somit weiter angereichert. Zusätzlich werden die Informationen aus der Reconphase genutzt, um potenzielle Angriffsvektoren zu identifizieren. In der Enumerationphase werden automatisierte Scans gestartet und ein Vulnerability Assessment gegen die entsprechenden Systeme durchgeführt. Während der Enumerationphase würde im Kontext eines Active Directory Penetrationstests, zum Beispiel eine Untersuchung der Active Directory Konfiguration stattfinden. So würden die Pentester Informationen über Gruppen, Nutzer, GPOs (Group Policy Object), Richtlinien und Shares sammeln.
- Exploitation
In der Exploitation Phase versuchen die Penetrationstester Sicherheitsschwachstellen aktiv auszunutzen. Exploits werden entwickelt, um z. B. sensible Informationen zu sammeln oder um es den Pentestern zu ermöglichen, ein System zu kompromittieren und sich darauf zu manifestieren. Bei neuen Zielen werden die Aufklärungs- und Enumerationsphasen erneut durchlaufen, um Informationen über diese neuen Systeme zu sammeln und diese auch auszunutzen. Es werden zum Beispiel im Rahmen eines Active Directory Penetrationstests auf zuvor gesammelte Nutzeraccounts Passwort Angriffe ausgeführt, um diese Accounts zu übernehmen. Zusätzlich werden auch viele weitere verschiedene Angriffe wie zum Beispiel Relay Angriffe durchgeführt.
- Post Exploitation
In der Post Exploitation Phase werden in Zusammenarbeit mit den jeweiligen technischen Ansprechpartnern und Administratoren die Änderungen an Systemen, Prozessen und Benutzern rückgängig gemacht. Da bei einem Penetrationstest nicht ausgeschlossen werden kann, dass Konfigurationen von Systemen manipuliert werden oder Exploit-Skripte platziert werden, ist es wichtig sicherzustellen, dass diese nach dem Test wieder gelöscht und zurückgesetzt werden.
- Report
Die Dokumentation ist ein wesentlicher Bestandteil jedes Penetrationstests. Während des Penetrationstests werden alle Schritte, die zu einem erfolgreichen Angriff führen, ausführlich dokumentiert. So ist sichergestellt, dass nach dem Test alles im Detail nachvollzogen werden kann. Am Ende des Penetrationstests dient diese Dokumentation als Grundlage für einen individuellen Bericht, der die Testergebnisse sowohl für die technische Administration als auch für das Management nachvollziehbar macht. Handlungsempfehlungen sind ein wichtiger Bestandteil der Dokumentation.
FAQ – Häufig gestellte Fragen
Die 360° KMU Analyse ist ein umfassender und kostengünstiger Service, der speziell für kleine und mittelständische Unternehmen (KMUs) entwickelt wurde. Er beinhaltet einen internen und externen Scan der IT-Infrastruktur, um Sicherheitslücken und Optimierungspotenziale zu identifizieren.
Die Analyse umfasst sowohl interne als auch externe Schwachstellenscans der gesamten IT-Infrastruktur. Dazu gehören Netzwerkgeräte, Server, Workstations und Webanwendungen. Zudem werden Konfigurationsfehler und veraltete Software erkannt.
Die Analyse hilft KMUs, Sicherheitslücken zu identifizieren und zu beheben, die ansonsten von Cyberkriminellen ausgenutzt werden könnten. Dies erhöht die IT-Sicherheit und schützt wertvolle Unternehmensdaten.
Die Dauer der Analyse hängt von der Größe und Komplexität der IT-Infrastruktur ab, in der Regel dauert sie jedoch zwischen ein und zwei Wochen und beinhaltet bis zu maximal fünf Personentage.
Es wird empfohlen, die Analyse mindestens einmal jährlich durchzuführen oder nach wesentlichen Änderungen an der IT-Infrastruktur, um sicherzustellen, dass neue Schwachstellen zeitnah erkannt und behoben werden.
Die Kosten variieren je nach Größe und Umfang der IT-Infrastruktur, bewegen sich jedoch stets im vierstelligen Bereich. Bitte kontaktieren Sie uns für ein maßgeschneidertes Angebot, das auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten ist.
Unsere Vorgehensweise ist so konzipiert, dass sie minimal invasive Eingriffe in den Geschäftsablauf darstellen. In den meisten Fällen wird die Analyse ohne wesentliche Beeinträchtigungen der Geschäftstätigkeiten durchgeführt. Im besten Fall testen wir gegen ein Testsystem. Falls das nicht möglich ist, herrscht erhöhte Sensibilität.
Die Ergebnisse werden in einem ausführlichen Bericht zusammengefasst, der alle identifizierten Schwachstellen und potenziellen Optimierungsbereiche auflistet. Zudem werden konkrete Handlungsempfehlungen zur Verbesserung der IT-Sicherheit gegeben.
Wenn Schwachstellen gefunden werden, geben wir konkrete Empfehlungen zur Behebung dieser Sicherheitslücken. Wir unterstützen Sie bei Bedarf auch bei der Umsetzung der empfohlenen Maßnahmen. Finden wir kritische Schwachstellen, melden wir uns unverzüglich.
Sie können die Analyse über unser Online-Buchungssystem auf unserer Website anfordern oder uns direkt kontaktieren, um einen Termin zu vereinbaren. Wir beraten Sie gerne und erstellen ein individuelles Angebot.
Vor der Analyse ist es hilfreich, eine Liste aller zu scannenden Systeme und Netzwerke bereitzustellen. Zudem sollten Zugriffsrechte und notwendige Berechtigungen im Vorfeld geklärt werden.
