Wir führen Penetrationstest für unterschiedlich große Unternehmen durch
Von klein – mittelständischen Unternehmen bis hin zu Konzernen, öffentlicher Verwaltung und Organisationen der kritischen Infrastruktur – wir führen Tests in unterschiedlichsten Größen durch. Auf dem aktuellen Stand, nach Standards wie den OWASP Top 10 und auf Basis der ISO 27001.
Setzen Sie auf die Expertise unserer Pentester, so einfach geht’s
1. Kontaktaufnahme & Austausch erster Details
Nachdem Sie zu uns Kontakt aufgenommen haben, terminieren wir ein erstes Gespräch, in dem wir Ihr Anliegen detaillierter besprechen. Wir reservieren den gewünschten Durchführungszeitraum unter Vorbehalt und bestimmen die Arbeitspakete und den Umfang. Im Anschluss erhalten Sie ein Angebot.
2. Angebotsannahme und Kick-off Termin
Ihr Termin ist reserviert, sobald Sie das Angebot angenommen haben. Sie erhalten eine Auftragsbestätigung und alle notwendigen Verträge. Alle benötigten Informationen sollten für den Kick-off Termin vorliegen.
3. Durchführung des Tests
Wir beginnen zum vereinbarten Termin mit der Durchführung des Tests, welcher durch einen intensiven Austausch begleitet wird.
4. Versand des Reports und Ergebnispräsentation
Wir stellen Ihnen den Report zur Verfügung und führen im Anschluss bei Bedarf einen Termin durch, in welchem wir Ihren Technikern sowie dem Management die Testergebnisse und empfohlenen Maßnahmen präsentieren.
Silas Borgmeier
Account Manager
Vertrieb
Sie wünschen eine persönliche Beratung?
Gerne stehe ich Ihnen mit unserer Expertise zur Verfügung.
Unsere Pentest Arbeitspakete in der Übersicht
Analyse der externen Angriffsfläche
Externer Pentest
Von außen analysieren wir Ihre Angriffsfläche und untersuchen die bereitgestellten oder in Erfahrung gebrachten IP-Adressen
Web-Applikation
Wir testen Ihre Web-Anwendung. Sie können uns vor der Live Schaltung beauftragen. Alternativ können Sie uns eine Testinstanz bereitstellen.
Schnittstellen (API)
Sie stellen Schnittstellen zum Austausch von Informationen und Daten bereit? Wir prüfen diese auf Verfügbarkeit, Vertraulichkeit und Integrität.
Mobile App
Sie verantworten den Betrieb einer Android, iOS oder hybriden Anwendung? Wir überprüfen alle gängigen Formate und Umsetzungen.
Passwortaudit
Wir testen Ihre Web-Anwendung. Sie können uns vor der Live Schaltung beauftragen. Alternativ können Sie uns eine Testinstanz bereitstellen.
Datenleaks
Sie stellen Schnittstellen zum Austausch von Informationen und Daten bereit? Wir prüfen diese auf Verfügbarkeit, Vertraulichkeit und Integrität.
Darknet Recherche
Sie verantworten den Betrieb einer Android, iOS oder hybriden Anwendung? Wir überprüfen alle gängigen Formate und Umsetzungen.
Cloud Auditierung
Wenn Sie Kunden eine Desktop Applikation bereitstellen, überprüfen wir diese auf Schwachstellen die für Sie und Ihre Kunden gefährlich sind.
Desktop Applikation
Wenn Sie Kunden eine Desktop Applikation bereitstellen, überprüfen wir diese auf Schwachstellen die für Sie und Ihre Kunden gefährlich sind.
Single-Sign-On
Wir testen Ihre Web-Anwendung. Sie können uns vor der Live Schaltung beauftragen. Alternativ können Sie uns eine Testinstanz bereitstellen.
Analyse der internen Angriffsfläche
Interner Pentest
Von innen analysieren wir Ihre Angriffsfläche. Erfahren Sie das Schadenspotenzial, wenn es ein Angreifer geschafft hat in Ihre Infrastruktur vorzudringen
Evil Employee
Gezielt wird untersucht, welche Möglichkeiten ein Mitarbeiter besitzt, der grob fahrlässig einen Vorfall verursachen kann.
Stolen Notebook
Erfahren Sie wie groß das Schadenspotenzial ist, wenn ein Laptop in die falschen Hände gerät.
WLAN-Audit
Sie stellen kabellose Verbindungsmöglichkeiten bereit? Wir untersuchen, wie sicher diese gestaltet sind.
Konfigurationsaudit
Wir überprüfen die Umsetzung Ihrer Konfiguration gegen Best Practices und ermöglichen Ihnen so das Sicherheitsniveau festzustellen.
Code-Review
Der von Ihnen bereitgestellte Code wird hinsichtlich des Informations- und IT-Sicherheitsniveaus bewertet.
Social Engineering
Gezielt wird von den AWARE7 Analysten versucht Informationen und Zugang zu Räumen zu erlangen.
Physical Pentest
Es wird die Resilienz von Gebäuden und Zugangsbeschränkungen analysiert. Anschließend wird gezielt versucht in sensible Räume vorzudringen.
Interne Angriffsfläche Cloud
Es wird untersucht, wie anfällig das Cloud-Netzwerk des Auftraggebers gegenüber Angriffen von internen Diensten ist.
Rückrufservice
Schreiben Sie uns Ihr Anliegen. Gerne rufen wir Sie zu einer bestimmten Uhrzeit zurück.
Terminservice
Vereinbaren Sie einen digitalen Gesprächstermin mit uns.
Kontaktformular
Hinterlassen Sie eine Nachricht über unser Kontaktformular. Wir melden uns zurück.
Ein Auszug unserer Pentester
Vincent
Reckendrees, BSc
Head of Penetration Testing
Vincent Reckendrees, B.Sc., ist ein engagierter Pentester bei der AWARE7 GmbH, der mit seinem Bachelor of Science fundierte Kenntnisse in der IT-Sicherheit mitbringt und Unternehmen bei der Identifikation und Abwehr von Cyberbedrohungen unterstützt.
Mario
Klawuhn, BSc
Senior Penetration Testing Expert
Mario Klawuhn, OSCP, ist ein hochqualifizierter Pentester bei der AWARE7 GmbH, der durch seine Zertifizierung als Offensive Security Certified Professional (OSCP) seine Expertise in der Erkennung und Behebung von Sicherheitslücken unter Beweis stellt.
Roman
Mazuritskiy, BSc
Penetration Testing Expert
Roman Mazuristkiy, B.Sc., arbeitet als Pentester bei der AWARE7 GmbH und nutzt sein umfassendes Wissen aus seinem Bachelorstudium, um Sicherheitslücken in IT-Systemen aufzudecken und effektive Schutzmaßnahmen zu entwickeln.
Thomas
Henning, BSc
Penetration Testing Expert
Thomas Henning ist ein zertifizierter OSCP-Pentester und besitzt einen Bachelor of Science. Bei der AWARE7 GmbH nutzt er seine umfassende Fachkenntnis und analytische Fähigkeiten, um Sicherheitslücken in IT-Systemen aufzudecken und maßgeschneiderte Sicherheitslösungen zu entwickeln.
Tim
Barsch, BSc
Penetration Testing Expert
Tim Barsch, B.Sc., ist ein erfahrener Pentester bei der AWARE7 GmbH, der mit seinem Bachelor of Science fundiertes technisches Wissen und analytische Fähigkeiten einsetzt, um die IT-Sicherheit von Unternehmen zu stärken.
Hendrik
Siewert, MSc
Penetration Testing Expert
Hendrik Siewert, M.Sc., ist ein Pentester bei der AWARE7 GmbH, der mit seinem Master of Science fortgeschrittene Kenntnisse und innovative Ansätze zur Identifikation und Behebung von Sicherheitslücken in IT-Systemen einbringt.
IT-Security Made in Germany
Das Angreifen und Testen von Anwendungen ist das Mittel zum Zweck. Das mittelfristige Ziel ist es stets das IT-Sicherheitsniveau zu erhöhen und damit den langfristigen Schutz von Kunden- und Unternehmensdaten zu ermöglichen. Wir haben das Siegel “IT-Security made in Germany” vom TeleTrust Bundesverband IT-Sicherheit e.V. ausgestellt bekommen. Die Urkunde zur Erklärung und Gestattung der Nutzung des Siegels kann eingesehen werden.
Auch wenn wir weltweit tätig sind, ist und bleibt unser Hauptsitz in Deutschland
Seit der Gründung befindet sich der Unternehmenssitz der AWARE7 GmbH in Deutschland. Der Standort Deutschland wird von unseren internationalen Kunden geschätzt.
Produkte und Dienstleistungen sind frei von versteckten Zugängen
Alle von uns erbrachten Dienstleistungen erfolgen nach ethischen Grundsätzen. Die Beseitigung aller Zugänge nach einem Test ist obligatorisch und fest im Prozess integriert.
Forschung & Entwicklung findet ausschließlich in Deutschland statt
Neue Produkte sowie die Zusammenarbeit mit Studenten und Instituten sind in unserer Unternehmens-DNA. Wir forschen und entwickeln aus Deutschland heraus.
Erfahren Sie mehr über unsere durchgeführten Projekte
Erfolgsgeschichten
Planen Sie jetzt Ihren nächsten Penetrationstest
Unsere eingesetzte Methodik bei der Durchführung von Penetrationstests
Auch wenn jeder Penetrationstest eine individuelle Leistungserbringung darstellt, so kennzeichnet sich jede Durchführung durch Ihre Systematik und Methodik aus. Die von uns angewandte Methodik setzt sich aus folgenden Bestandteilen zusammen.
- Kick-off
Der Kick-off findet je nach Komplexität des Penetrationstests einen Monat bis eine Woche vor dem vereinbarten Durchführungszeitraum statt. In diesem sollen Roadblocks und Absprachen für die erfolgreiche Durchführung evaluiert werden. Vonseiten der AWARE7 GmbH nehmen an diesem Termin die Penetrationstester sowie das Projektmanagement teil. Am Kick-off Termin sollten die folgenden Stakeholder ihrerseits teilnehmen:
– Alle relevanten Risiko- oder Projekteigentümer
– Informationssicherheitsbeauftragte
– Technisches Personal mit Kenntnissen über das Zielsystem - Recon
Unter Reconnaissance, Recon oder auch Aufklärung versteht man die Arbeit der Informationsbeschaffung, bevor ein echter Angriff durchgeführt wird. Die Idee ist, so viele Informationen wie möglich über das Ziel zu sammeln. Um dies zu erreichen, werden viele verschiedene, öffentlich zugängliche Informationsquellen genutzt. Die extrahierten Informationen erlauben oft schon einen detaillierten Einblick in die betroffenen Systeme.
Bei einem Penetrationstest des Active Directories bedeutet dies beispielsweise, dass in einem ersten Schritt alle Systeme, welche Teil des Active Directories sind, enumeriert werden. Die Identifikation der Systeme wird parallel zur Identifikation der Netzwerkdienste mit gängigen Netzwerkscannern, wie nmap oder massscan, durchgeführt. - Enumeration und Vulnerability Identification
In der Enumerationphase wird von einer passiven Informationssammlung, wie in der Reconphase, in eine aktive übergegangen und die Informationssammlung somit weiter angereichert. Zusätzlich werden die Informationen aus der Reconphase genutzt, um potenzielle Angriffsvektoren zu identifizieren. In der Enumerationphase werden automatisierte Scans gestartet und ein Vulnerability Assessment gegen die entsprechenden Systeme durchgeführt. Während der Enumerationphase würde im Kontext eines Active Directory Penetrationstests, zum Beispiel eine Untersuchung der Active Directory Konfiguration stattfinden. So würden die Pentester Informationen über Gruppen, Nutzer, GPOs (Group Policy Object), Richtlinien und Shares sammeln.
- Exploitation
In der Exploitation Phase versuchen die Penetrationstester Sicherheitsschwachstellen aktiv auszunutzen. Exploits werden entwickelt, um z. B. sensible Informationen zu sammeln oder um es den Pentestern zu ermöglichen, ein System zu kompromittieren und sich darauf zu manifestieren. Bei neuen Zielen werden die Aufklärungs- und Enumerationsphasen erneut durchlaufen, um Informationen über diese neuen Systeme zu sammeln und diese auch auszunutzen. Es werden zum Beispiel im Rahmen eines Active Directory Penetrationstests auf zuvor gesammelte Nutzeraccounts Passwort Angriffe ausgeführt, um diese Accounts zu übernehmen. Zusätzlich werden auch viele weitere verschiedene Angriffe wie zum Beispiel Relay Angriffe durchgeführt.
- Post Exploitation
In der Post Exploitation Phase werden in Zusammenarbeit mit den jeweiligen technischen Ansprechpartnern und Administratoren die Änderungen an Systemen, Prozessen und Benutzern rückgängig gemacht. Da bei einem Penetrationstest nicht ausgeschlossen werden kann, dass Konfigurationen von Systemen manipuliert werden oder Exploit-Skripte platziert werden, ist es wichtig sicherzustellen, dass diese nach dem Test wieder gelöscht und zurückgesetzt werden.
- Report
Die Dokumentation ist ein wesentlicher Bestandteil jedes Penetrationstests. Während des Penetrationstests werden alle Schritte, die zu einem erfolgreichen Angriff führen, ausführlich dokumentiert. So ist sichergestellt, dass nach dem Test alles im Detail nachvollzogen werden kann. Am Ende des Penetrationstests dient diese Dokumentation als Grundlage für einen individuellen Bericht, der die Testergebnisse sowohl für die technische Administration als auch für das Management nachvollziehbar macht. Handlungsempfehlungen sind ein wichtiger Bestandteil der Dokumentation.
FAQ – Häufig gestellte Fragen
Ihr IT System wird ohne Kenntnisse unsererseits durch unsere Experten getestet. Wir geben nur Ihren Firmennamen an unsere Tester und diese starten mit der Informationsrecherche. Dieser Angriff orientiert sich nah an einem echten Angreifer, jedoch dauert die initiale Informationsrecherche je nach Umfang des Systems entsprechend lange, sodass ein umfangreicher zeitlicher Rahmen gewählt werden muss, um aussagekräftige Ergebnisse zu erhalten.
Bei einem Grey Box Pentest werden die notwendigsten Informationen über das Zielsystem ausgetauscht. Dazu zählt z.B. die URL der Anwendung, Benutzeranmeldeinformationen oder Benutzerrollen. Der Greybox-Test ist die effektivste Methode zur Untersuchung Ihrer Anwendung. Durch die fehlende, umfangreiche Informationsrecherche im Vergleich zum Black Box Test, kann der Entdeckung und Ausnutzung von Sicherheitslücken mehr Aufmerksamkeit gewidmet werden.
Bei einem White Box Penetrationstest besteht volle Kenntnis über das IT System. Der White Box Penetrationstest beinhaltet ein umfangreiches Code Review. Dieses Review wird mit einem Fokus auf IT-Sicherheit durchgeführt. Architektur- und Infrastrukturaspekte werden ebenfalls untersucht und anschließend bewertet. Der White Box Penetrationstest beansprucht, ähnlich des Black Box Penetrationstests, viel Zeit zur Durchführung. Dieser Umstand spiegelt sich in den Kosten für einen Pentest wider.
Virenscanner und Firewalls reichen heutzutage aus unterschiedlichen Gründen nicht mehr aus um Ihre IT Infrastruktur zu schützen. Gerade bei vernetzten Anwendungen ist der Server die Komponente, welche am besten geschützt werden muss und dort gibt es zumeist keinen Virenscanner. Diese sind hauptsächlich auf Endgeräten wie Laptops oder Workstations zu finden, jedoch nicht im Umfeld von Servern. Ziel eines Penetrationstests ist es an der Firewall vorbei, über eine legitime Anwendung Zugang zum System zu erhalten. Während eine Firewall verhindern soll, dass Angreifer beliebige Dienste missbrauchen, stellt ein Pentest sicher, dass die Angreifer nicht als legitim getarnter Datenverkehr Zugang zum System erhalten.
Penetration Testing ist ein Prozess, kein einmaliges Projekt. Ihre IT Infrastruktur unterliegt einem ständigen Wandel, Ihre Anwendungen verändert sich nahezu täglich, Abhängigkeiten von Programmen können sich ändern und anfällig für neue Angriffe werden. Compliance Anforderungen müssen berücksichtigt und erfüllt werden. Daher ist es wichtig einen kontinuierlichen IT-Sicherheitsprozess einzuführen. Ein einmaliges IT Sicherheitsaudit ist für die Ermittlung des Status Quo unabdinglich. Im Sinne einer langfristig angelegten IT-Sicherheitsstrategie brauchen Sie einen kontinuierlichen Prozess, der Ihnen jährlich die Probleme in Ihrem System aufzeigt und analysiert.
Wenn Sie einen internen Penetrationstest durchführen wollen, gibt es mehrere Möglichkeiten. Wenn Sie unsere Ethical Hacker direkt vor Ort benötigen, bietet sich ein Vor-Ort Test an. In diesem Falle reisen wir zu Ihnen und schauen sich die Netzwerke und Systeme vor Ort an. Wenn Sie das Projekt kosteneffizient planen wollen und eine IT-Abteilung vor Ort haben, können wir Ihnen unsere Pentest-Box schicken. Diese Box hängen Sie ins Netzwerk und wir greifen aus der Ferne darauf zu. So sparen Sie bares Geld und wir belasten die Umwelt nicht.
Die Pentester der AWARE7 GmbH greifen auf einen umfangreichen Werkzeugkasten zur Durchführung eines Penetration Test zurück. Dazu zählen Open Source Tools genau so wie kostenpflichtige Anwendungen. Gerne stellen wir Ihnen einen Auszug unserer Werkzeuge im Erstgespräch oder Kick Off Meeting vor. Dabei greifen wir Ihre IT Systeme ausschließlich von unserer statischen IP-Adresse statt. Sie können sich auf diesem Wege ein konkretes Bild von der Durchführung von Penetration Testing machen. Händisch werden Ergebnisse geprüft und auf Ihre Kritikalität hin überprüft.
