Planen Sie jetzt die Durchführung der nächsten Penetrationstests

Mit über 28 verschiedenen Arbeitspaketen haben wir unterschiedlichste Möglichkeiten Sicherheitslücken in Ihren Unternehmen zu identifizieren.

Hohe und kritische Findings werden unverzüglich an Sie gemeldet.

Wenn akute Gefahr droht das Systeme nicht verfügbar sind oder die Integrität und Vertraulichkeit von Daten verletzt wird, melden wir uns umgehend bei Ihnen!

Wir passen den Aufwand an Ihre Anforderungen an.

Sie testen für einen Kunden, aus Gründen der Compliance oder aus Prinzip? Wir testen so viel wie nötig, um das Sicherheitsniveau festzustellen. Auf Nachfrage mit Stundennachweisen.

Eine Woche nach dem Test erhalten Sie den finalen Report.

Alle Ergebnisse Ihres Tests werden innerhalb einer Woche verschriftlich und Ihnen auf einem sicheren Weg zur Verfügung gestellt. Rückfragen können so zeitnah von den Testern beantwortet werden.

Wir führen Penetrationstest für unterschiedlich große Unternehmen durch

Von klein – mittelständischen Unternehmen bis hin zu Konzernen, öffentlicher Verwaltung und Organisationen der kritischen Infrastruktur – wir führen Tests in unterschiedlichsten Größen durch. Auf dem aktuellen Stand, nach Standards wie den OWASP Top 10 und auf Basis der ISO 27001.

Das Logo des Land-NRW als Referenz der AWARE7 GmbH
Das Logo der Allianz als Referenz der AWARE7 GmbH
Das Logo von SAP als Referenz der AWARE7 GmbH
Das Logo der Munich RE als Referenz der AWARE7 GmbH
Das Logo der Sparkasse als Referenz der AWARE7 GmbH
Das Logo der VDMA als Referenz der AWARE7 GmbH

Setzen Sie auf die Expertise unserer Pentester, so einfach geht’s

1. Kontaktaufnahme & Austausch erster Details
Nachdem Sie zu uns Kontakt aufgenommen haben, terminieren wir ein erstes Gespräch, in dem wir Ihr Anliegen detaillierter besprechen. Wir reservieren den gewünschten Durchführungszeitraum unter Vorbehalt und bestimmen die Arbeitspakete und den Umfang. Im Anschluss erhalten Sie ein Angebot.

2. Angebotsannahme und Kick-off Termin
Ihr Termin ist reserviert, sobald Sie das Angebot angenommen haben. Sie erhalten eine Auftragsbestätigung und alle notwendigen Verträge. Alle benötigten Informationen sollten für den Kick-off Termin vorliegen.

3. Durchführung des Tests
Wir beginnen zum vereinbarten Termin mit der Durchführung des Tests, welcher durch einen intensiven Austausch begleitet wird.

4. Versand des Reports und Ergebnispräsentation
Wir stellen Ihnen den Report zur Verfügung und führen im Anschluss bei Bedarf einen Termin durch, in welchem wir Ihren Technikern sowie dem Management die Testergebnisse und empfohlenen Maßnahmen präsentieren.

Arturs-Nikitins-TopInformationSecurityConsultant

Arturs Nikitins

Account Manager
Vertrieb

Sie wünschen eine persönliche Beratung?

Gerne stehe ich Ihnen mit unserer Expertise zur Verfügung.

0209 8830 676 – 4

arturs@aware7.de

Termin buchen

Unsere Pentest Arbeitspakete in der Übersicht

Analyse der externen Angriffsfläche

Externer Pentest

Von außen analysieren wir Ihre Angriffsfläche und untersuchen die bereitgestellten oder in Erfahrung gebrachten IP-Adressen

Web-Applikation

Wir testen Ihre Web-Anwendung. Sie können uns vor der Live Schaltung beauftragen. Alternativ können Sie uns eine Testinstanz bereitstellen.

Schnittstellen (API)

Sie stellen Schnittstellen zum Austausch von Informationen und Daten bereit? Wir prüfen diese auf Verfügbarkeit, Vertraulichkeit und Integrität.

Mobile App

Sie verantworten den Betrieb einer Android, iOS oder hybriden Anwendung? Wir überprüfen alle gängigen Formate und Umsetzungen.

Passwortaudit

Wir prüfen die Stärke der verwendeten Passwörter Ihrer AD-Nutzer:innen mithilfe von einfachen und komplexeren Passwortangriffen.

Datenleaks

Die Pentester der AWARE7 erhalten eine Liste von Mitarbeitenden und gleichen diese mit Datendiebstählen ab. Die Liste wird gegen eine Vielzahl von Datenleaks getestet.

Darknet Recherche

Wir durchsuchen mit Schlüsselwörtern, Datenpunkte und Datensätze, welche im Darknet kursieren und unter anderem für kriminelle Aktivitäten genutzt werden.

Cloud Auditierung

Diese Durchführung dient dazu, die Konfigurationen von Cloud Umgebungen auf gängige Fehlkonfigurationen hin zu untersuchen.

Desktop Applikation

Wenn Sie Kunden eine Desktop Applikation bereitstellen, überprüfen wir diese auf Schwachstellen die für Sie und Ihre Kunden gefährlich sind.

Single-Sign-On

Durch unsere Pentester wird ein profesioneller Angriff auf eine Anwendung mit einer Single-Sign-on (SSO) Implementierung simuliert.

Analyse der internen Angriffsfläche

Interner Pentest

Von innen analysieren wir Ihre Angriffsfläche. Erfahren Sie das Schadenspotenzial, wenn es ein Angreifer geschafft hat in Ihre Infrastruktur vorzudringen

Evil Employee

Gezielt wird untersucht, welche Möglichkeiten ein Mitarbeiter besitzt, der grob fahrlässig einen Vorfall verursachen kann.

Stolen Notebook

Erfahren Sie wie groß das Schadenspotenzial ist, wenn ein Laptop in die falschen Hände gerät.

WLAN-Audit

Sie stellen kabellose Verbindungsmöglichkeiten bereit? Wir untersuchen, wie sicher diese gestaltet sind.

Konfigurationsaudit

Wir überprüfen die Umsetzung Ihrer Konfiguration gegen Best Practices und ermöglichen Ihnen so das Sicherheitsniveau festzustellen.

Code-Review

Der von Ihnen bereitgestellte Code wird hinsichtlich des Informations- und IT-Sicherheitsniveaus bewertet.

Social Engineering

Gezielt wird von den AWARE7 Analysten versucht Informationen und Zugang zu Räumen zu erlangen.

Physical Pentest

Es wird die Resilienz von Gebäuden und Zugangsbeschränkungen analysiert. Anschließend wird gezielt versucht in sensible Räume vorzudringen.

Interne Angriffsfläche Cloud

Es wird untersucht, wie anfällig das Cloud-Netzwerk des Auftraggebers gegenüber Angriffen von internen Diensten ist.

Rückrufservice

Schreiben Sie uns Ihr Anliegen. Gerne rufen wir Sie zu einer bestimmten Uhrzeit zurück.

Terminservice

Vereinbaren Sie einen digitalen Gesprächstermin mit uns.

Kontaktformular

Hinterlassen Sie eine Nachricht über unser Kontaktformular. Wir melden uns zurück.

Ein Auszug unserer Pentester

VincentReckendrees-Pentester-AWARE7GmbH

Vincent
Reckendrees, MSc

Head of Penetration Testing

Vincent Reckendrees, M.Sc., ist ein engagierter Pentester bei der AWARE7 GmbH, der mit seinem Master of Science fundierte Kenntnisse in der IT-Sicherheit mitbringt und Unternehmen bei der Identifikation und Abwehr von Cyberbedrohungen unterstützt.

ProfDrMatteoGroße-Kampmann-Referent-AWARE7GmbH

Prof. Dr. Matteo
Große-Kampmann

Senior Penetration Testing Expert

Matteo Große-Kampmann ist ein hoch qualifizierter Pentester bei der AWARE7 GmbH, der seine Expertise in der Erkennung und Behebung von Sicherheitslücken hat. Er forscht interdisziplinär in den Bereichen IT-Sicherheit, Datenschutz und Privatsphäre.

RomanMazuritskiy-Pentester-AWARE7GmbH

Roman
Mazuritskiy, BSc

Penetration Testing Expert

Roman Mazuristkiy, B.Sc., arbeitet als Pentester bei der AWARE7 GmbH und nutzt sein umfassendes Wissen aus seinem Bachelorstudium, um Sicherheitslücken in IT-Systemen aufzudecken und effektive Schutzmaßnahmen zu entwickeln.

ThomasHenning-Referent-AWARE7GmbH

Thomas
Henning, BSc

Penetration Testing Expert

Thomas Henning ist ein zertifizierter OSCP-Pentester und besitzt einen Bachelor of Science. Bei der AWARE7 GmbH nutzt er seine umfassende Fachkenntnis und analytische Fähigkeiten, um Sicherheitslücken in IT-Systemen aufzudecken und maßgeschneiderte Sicherheitslösungen zu entwickeln.

TimBarsch-Pentester-AWARE7GmbH

Tim
Barsch, BSc

Penetration Testing Expert

Tim Barsch, B.Sc., ist ein erfahrener Pentester bei der AWARE7 GmbH, der mit seinem Bachelor of Science fundiertes technisches Wissen und analytische Fähigkeiten einsetzt, um die IT-Sicherheit von Unternehmen zu stärken.

HendrikSiewert-Pentester-AWARE7GmbH

Hendrik
Siewert, MSc

Penetration Testing Expert

Hendrik Siewert, M.Sc., ist ein Pentester bei der AWARE7 GmbH, der mit seinem Master of Science fortgeschrittene Kenntnisse und innovative Ansätze zur Identifikation und Behebung von Sicherheitslücken in IT-Systemen einbringt.

IT-Security Made in Germany

Das Angreifen und Testen von Anwendungen ist das Mittel zum Zweck. Das mittelfristige Ziel ist es stets das IT-Sicherheitsniveau zu erhöhen und damit den langfristigen Schutz von Kunden- und Unternehmensdaten zu ermöglichen. Wir haben das Siegel “IT-Security made in Germany” vom TeleTrust Bundesverband IT-Sicherheit e.V. ausgestellt bekommen. Die Urkunde zur Erklärung und Gestattung der Nutzung des Siegels kann eingesehen werden.

Auch wenn wir weltweit tätig sind, ist und bleibt unser Hauptsitz in Deutschland

Seit der Gründung befindet sich der Unternehmenssitz der AWARE7 GmbH in Deutschland. Der Standort Deutschland wird von unseren internationalen Kunden geschätzt.

Produkte und Dienstleistungen sind frei von versteckten Zugängen

Alle von uns erbrachten Dienstleistungen erfolgen nach ethischen Grundsätzen. Die Beseitigung aller Zugänge nach einem Test ist obligatorisch und fest im Prozess integriert.

Forschung & Entwicklung findet ausschließlich in Deutschland statt

Neue Produkte sowie die Zusammenarbeit mit Studenten und Instituten sind in unserer Unternehmens-DNA. Wir forschen und entwickeln aus Deutschland heraus.

Erfahren Sie mehr über unsere durchgeführten Projekte

Erfolgsgeschichten

Konzernweite Awareness Kampagne für die Gelsenwasser AG

Für die Gelsenwasser AG wurde eine umfangreiche, multimediale Cyber Security Awareness Kampagne für ca. 1.500 MitarbeiterInnen durchgeführt.

Download
Remote Cybersecurity Awareness Event für die Payback GmbH

Die PAYBACK GmbH hat die AWARE7 für eine Awareness Show gebucht, um Mitarbeiter:innen auf digitale Gefahren vorzubereiten und zu sensibilisieren.

Download
Notfalleinsatz als Live Hacking Speaker im Landkreis Dachau

Um 9:00 Uhr wurde der Referent abgesagt, wir um 10:00 Uhr angerufen. Um 17:00 Uhr waren wir pünktlich in Dachau, um die geplante Veranstaltung mit einem Live Hacking Vortrag zu bereichern.

Download
Remote Live Hacking Show auf den Security Days bei der Munich Re

Der größte Rückversicherer der Welt greift seit mehreren Jahren auf die Expertise der AWARE7 GmbH zurück. In den vergangenen Jahren waren wir stets auf den internen Security Days vertreten.

Download
Externer Penetrationstest für die mobile iOS-Applikation der Twinsoft GmbH & Co. KG

Für die Twinsoft GmbH & Co. KG haben wir einen Penetrationstest der BioShare Authenticator App sowie des Backends durchgeführt.

Download
Sehen Sie sich alle Erfolgsgeschichten an
und laden Sie diese kostenfrei herunter

Die Zufriedenheit unserer Kunden spiegelt sich in der Freigabe einer Erfolgsgeschichte wider. Sehen Sie sich jetzt alle unsere Erfolgsgeschichten an.

Alle ERfolgsgeschichten

Planen Sie jetzt Ihren nächsten Penetrationstest

Unsere eingesetzte Methodik bei der Durchführung von Penetrationstests

Auch wenn jeder Penetrationstest eine individuelle Leistungserbringung darstellt, so kennzeichnet sich jede Durchführung durch Ihre Systematik und Methodik aus. Die von uns angewandte Methodik setzt sich aus folgenden Bestandteilen zusammen.

  1. Kick-off

    Der Kick-off findet je nach Komplexität des Penetrationstests einen Monat bis eine Woche vor dem vereinbarten Durchführungszeitraum statt. In diesem sollen Roadblocks und Absprachen für die erfolgreiche Durchführung evaluiert werden. Vonseiten der AWARE7 GmbH nehmen an diesem Termin die Penetrationstester sowie das Projektmanagement teil. Am Kick-off Termin sollten die folgenden Stakeholder ihrerseits teilnehmen:
    – Alle relevanten Risiko- oder Projekteigentümer
    – Informationssicherheitsbeauftragte
    – Technisches Personal mit Kenntnissen über das Zielsystem

  2. Recon

    Unter Reconnaissance, Recon oder auch Aufklärung versteht man die Arbeit der Informationsbeschaffung, bevor ein echter Angriff durchgeführt wird. Die Idee ist, so viele Informationen wie möglich über das Ziel zu sammeln. Um dies zu erreichen, werden viele verschiedene, öffentlich zugängliche Informationsquellen genutzt. Die extrahierten Informationen erlauben oft schon einen detaillierten Einblick in die betroffenen Systeme. 

    Bei einem Penetrationstest des Active Directories bedeutet dies beispielsweise, dass in einem ersten Schritt alle Systeme, welche Teil des Active Directories sind, enumeriert werden. Die Identifikation der Systeme wird parallel zur Identifikation der Netzwerkdienste mit gängigen Netzwerkscannern, wie nmap oder massscan, durchgeführt.

  3. Enumeration und Vulnerability Identification

    In der Enumerationphase wird von einer passiven Informationssammlung, wie in der Reconphase, in eine aktive übergegangen und die Informationssammlung somit weiter angereichert. Zusätzlich werden die Informationen aus der Reconphase genutzt, um potenzielle Angriffsvektoren zu identifizieren. In der Enumerationphase werden automatisierte Scans gestartet und ein Vulnerability Assessment gegen die entsprechenden Systeme durchgeführt. Während der Enumerationphase würde im Kontext eines Active Directory Penetrationstests, zum Beispiel eine Untersuchung der Active Directory Konfiguration stattfinden. So würden die Pentester Informationen über Gruppen, Nutzer, GPOs (Group Policy Object), Richtlinien und Shares sammeln.

  4. Exploitation

    In der Exploitation Phase versuchen die Penetrationstester Sicherheitsschwachstellen aktiv auszunutzen. Exploits werden entwickelt, um z. B. sensible Informationen zu sammeln oder um es den Pentestern zu ermöglichen, ein System zu kompromittieren und sich darauf zu manifestieren. Bei neuen Zielen werden die Aufklärungs- und Enumerationsphasen erneut durchlaufen, um Informationen über diese neuen Systeme zu sammeln und diese auch auszunutzen. Es werden zum Beispiel im Rahmen eines Active Directory Penetrationstests auf zuvor gesammelte Nutzeraccounts Passwort Angriffe ausgeführt, um diese Accounts zu übernehmen. Zusätzlich werden auch viele weitere verschiedene Angriffe wie zum Beispiel Relay Angriffe durchgeführt.

  5. Post Exploitation 

    In der Post Exploitation Phase werden in Zusammenarbeit mit den jeweiligen technischen Ansprechpartnern und Administratoren die Änderungen an Systemen, Prozessen und Benutzern rückgängig gemacht. Da bei einem Penetrationstest nicht ausgeschlossen werden kann, dass Konfigurationen von Systemen manipuliert werden oder Exploit-Skripte platziert werden, ist es wichtig sicherzustellen, dass diese nach dem Test wieder gelöscht und zurückgesetzt werden.

  6. Report

    Die Dokumentation ist ein wesentlicher Bestandteil jedes Penetrationstests. Während des Penetrationstests werden alle Schritte, die zu einem erfolgreichen Angriff führen, ausführlich dokumentiert. So ist sichergestellt, dass nach dem Test alles im Detail nachvollzogen werden kann. Am Ende des Penetrationstests dient diese Dokumentation als Grundlage für einen individuellen Bericht, der die Testergebnisse sowohl für die technische Administration als auch für das Management nachvollziehbar macht. Handlungsempfehlungen sind ein wichtiger Bestandteil der Dokumentation.

FAQ – Häufig gestellte Fragen

Was ist ein Black Box Penetrationstest?

Ihr IT System wird ohne Kenntnisse unsererseits durch unsere Experten getestet. Wir geben nur Ihren Firmennamen an unsere Tester und diese starten mit der Informationsrecherche. Dieser Angriff orientiert sich nah an einem echten Angreifer, jedoch dauert die initiale Informationsrecherche je nach Umfang des Systems entsprechend lange, sodass ein umfangreicher zeitlicher Rahmen gewählt werden muss, um aussagekräftige Ergebnisse zu erhalten.

Was ist eine Grey Box Pentest?

Bei einem Grey Box Pentest werden die notwendigsten Informationen über das Zielsystem ausgetauscht. Dazu zählt z.B. die URL der Anwendung, Benutzeranmeldeinformationen oder Benutzerrollen. Der Greybox-Test ist die effektivste Methode zur Untersuchung Ihrer Anwendung. Durch die fehlende, umfangreiche Informationsrecherche im Vergleich zum Black Box Test, kann der Entdeckung und Ausnutzung von Sicherheitslücken mehr Aufmerksamkeit gewidmet werden.

Was ist ein White Box Pentest?

Bei einem White Box Penetrationstest besteht volle Kenntnis über das IT System. Der White Box Penetrationstest beinhaltet ein umfangreiches Code Review. Dieses Review wird mit einem Fokus auf IT-Sicherheit durchgeführt. Architektur- und Infrastrukturaspekte werden ebenfalls untersucht und anschließend bewertet. Der White Box Penetrationstest beansprucht, ähnlich des Black Box Penetrationstests, viel Zeit zur Durchführung. Dieser Umstand spiegelt sich in den Kosten für einen Pentest wider.

Warum schützen Virenscanner und Firewalls nicht ausreichend?

Virenscanner und Firewalls reichen heutzutage aus unterschiedlichen Gründen nicht mehr aus um Ihre IT Infrastruktur zu schützen. Gerade bei vernetzten Anwendungen ist der Server die Komponente, welche am besten geschützt werden muss und dort gibt es zumeist keinen Virenscanner. Diese sind hauptsächlich auf Endgeräten wie Laptops oder Workstations zu finden, jedoch nicht im Umfeld von Servern. Ziel eines Penetrationstests ist es an der Firewall vorbei, über eine legitime Anwendung Zugang zum System zu erhalten. Während eine Firewall verhindern soll, dass Angreifer beliebige Dienste missbrauchen, stellt ein Pentest sicher, dass die Angreifer nicht als legitim getarnter Datenverkehr Zugang zum System erhalten.

Wir haben eine professionelle IT-Sicherheitsuntersuchung durchgeführt – und nun?

Penetration Testing ist ein Prozess, kein einmaliges Projekt. Ihre IT Infrastruktur unterliegt einem ständigen Wandel, Ihre Anwendungen verändert sich nahezu täglich, Abhängigkeiten von Programmen können sich ändern und anfällig für neue Angriffe werden. Compliance Anforderungen müssen berücksichtigt und erfüllt werden. Daher ist es wichtig einen kontinuierlichen IT-Sicherheitsprozess einzuführen. Ein einmaliges IT Sicherheitsaudit ist für die Ermittlung des Status Quo unabdinglich. Im Sinne einer langfristig angelegten IT-Sicherheitsstrategie brauchen Sie einen kontinuierlichen Prozess, der Ihnen jährlich die Probleme in Ihrem System aufzeigt und analysiert.

Wir wollen einen internen Test durchführen – kommen Sie dafür zu uns?

Wenn Sie einen internen Penetrationstest durchführen wollen, gibt es mehrere Möglichkeiten. Wenn Sie unsere Ethical Hacker direkt vor Ort benötigen, bietet sich ein Vor-Ort Test an. In diesem Falle reisen wir zu Ihnen und schauen sich die Netzwerke und Systeme vor Ort an. Wenn Sie das Projekt kosteneffizient planen wollen und eine IT-Abteilung vor Ort haben, können wir Ihnen unsere Pentest-Box schicken. Diese Box hängen Sie ins Netzwerk und wir greifen aus der Ferne darauf zu. So sparen Sie bares Geld und wir belasten die Umwelt nicht.

Welche Pentesting Tools kommen bei einem IT Sicherheitsaudit zum Einsatz?

Die Pentester der AWARE7 GmbH greifen auf einen umfangreichen Werkzeugkasten zur Durchführung eines Penetration Test zurück. Dazu zählen Open Source Tools genau so wie kostenpflichtige Anwendungen. Gerne stellen wir Ihnen einen Auszug unserer Werkzeuge im Erstgespräch oder Kick Off Meeting vor. Dabei greifen wir Ihre IT Systeme ausschließlich von unserer statischen IP-Adresse statt. Sie können sich auf diesem Wege ein konkretes Bild von der Durchführung von Penetration Testing machen. Händisch werden Ergebnisse geprüft und auf Ihre Kritikalität hin überprüft.