Penetrationtests

Die Königsdisziplin

Red Teaming Penetrationstest

IT-Sicherheitsstrategien stehen auf den elementaren Grundsäulen der Prävention, Detektion und Reaktion. IT-Infrastruktur sollte state of the art sein, eine angemessene IT-Sicherheitskultur gepflegt, physische IT-Sicherheit gewährleistet sein.

Doch halten alle Ihre Sicherheits­strategien einem Angriff stand? Viele Sicherheits­konzepte klingen in der Theorie verlockend, aber scheitern in der Praxis. Welche von ihnen tatsächlich effektiv sind, lässt sich ohne eine praktische Überprüfung selten beurteilen.

Zeit zu prüfen, ob auch Ihre Sicherheits­maßnahmen sich amortisieren.

Angreifer suchen sich zumeist das verwundbarste Glied einer Kette aus – das muss nicht immer die IT sein. Oft können Angriffsvektoren in der physischen IT-Sicherheit oder auch in der Sicherheitskultur des Unternehmens genutzt werden, um an schützenswerte Informationen zu gelangen. Im Rahmen des Red Teaming Penetrationstest überprüfen wir Ihr Unternehmen ganzheitlich – mit jeglichen Mitteln die einem potenziellen Angreifer auch zur Verfügung stehen könnten.

So erhalten Sie einen realistischen Einblick in die Verteidigungs- und Reaktionsfähigkeit Ihres Unternehmens.

Red Teaming
Wir prüfen ganzheitlich:
Technik – Wir führen Angriffe gegen Ihre Unternehmens-IT durch.
Menschen – Wir prüfen wie Ihre Mitarbeiter auf tatsächliche Hacker­angriffe reagieren.
Wird IT-Sicherheit auch wirklich im Rahmen der Unternehmes­kultur gelebt?
Physische IT-Sicherheit – Wir prüfen wie Ihr Unternehmens­gebäude, Server­räume sowie weitere relevante Einrichtungen Ihres Unter­nehmens abgesichert sind.

Anerkannte Standards – Wir arbeiten nach anerkannten Standards wie ISECOM OSSTMM, PTES, OWASP sowie den Vorgaben und Empfehlungen des TIBER-EU Frameworks der Europäischen Zentralbank. Darüber hinaus sind unsere Projekte für Vermögensschäden sowie Personen- und Sachschäden versichert.

 

 

Penetrationstest

Was wir wissen

Penetrationstests finden nicht nur Sicherheits­lücken, sondern sparen Geld ein.
Die durchschnittlichen Kosten pro Sicherheits­vorfall betrugen 3,86 Millionen Dollar (weltweit, Jahr 2018).

Was wir machen

Wir helfen Unter­nehmen dabei, die tatsächliche Sicherheits­lage ihrer IT kompromiss­los und unabhängig zu bestimmen. Dabei agieren wir wie potenzielle Angreifer, indem wir Angriffs­vektoren und Schwach­stellen durch reale Angriffe identifizieren. So erhalten Sie einen realistischen und kompromiss­losen Einblick in die aktuelle Sicherheits­lage ihrer IT.
Wir liefern keine Hypothesen, sondern Klarheit, genau zu wissen, was (noch) zu tun ist.

Anerkannte Standards – Wir arbeiten nach anerkannten Standards wie PTES, OWASP sowie dem Durchführungskonzepts für Penetrationstests des Bundesamtes für Sicherheit in der Informationstechnik. Darüber hinaus sind unsere Projekte für Vermögensschäden sowie Personen- und Sachschäden versichert.

Frischer Wind – Wir glauben daran, dass IT-Sicherheit heute anders sein muss. Sicherheit heißt Vertrauen in unabhängige Lösungen. Sicherheit ist eben kein Produkt, sondern ein stetiger Prozess. Genau deshalb arbeiten wir mit holistischen Beratungsmethoden und verstehen Unternehmen als ganzheitlichen Sicherheitsfaktor – so wie es ein Angreifer auch tun würde. Weil ein Konzept noch kein System macht.

Kollaborativ – Wir schauen über den Tellerrand hinaus: Viele Angriffe finden aus Osteuropa und Asien heraus statt. Genau deshalb arbeiten wir mit internationalen Expertenteams an den Standorten Wien, Kiew und Singapur zusammen. Diverse Sichtweisen – weil Angreifer eben nicht nur aus Deutschland stammen.

Das Ziel von Penetration­testing ist das effiziente Eindringen in informations­technische Systeme. Wir agieren wie potenzielle Angreifer, identifizieren Angriffsvektoren und nutzen diese technisch aus. So erhalten Sie einen realistischen Blick in die (Un-)Sicherheiten Ihrer IT-Lösungen und können Sicherheitslücken schließen, bevor Angreifer diese ausnutzen.

Als unabhängiges Beratungsunternehmen mit Spezialisierung auf die Disziplinen der IT-Sicherheit gehört die Durchführung von Penetrationtests zu unsererer Königsdisziplin. Unser Anspruch ist die Durchführung von wenig automatisierten Penetrationtests mit transparenter und nachvollziehbarer Herangehensweise. Branchenspezifische Anforderungen aus dem Banken- oder Gesundheitswesen stellen für uns keine Herausforderung dar. Wir unterstützen Sie bei jeglichen Arten von Penetrationtests:

– Perimetertest

– Client-Test

– Innentätertest

– Tests von Webapplikationen/Anwendungssoftware/mobilen Applikationen

– Security Review

– Tests von Motorsteuergeräten

– Tests von IoT-Geräten

 

 

 

Automotive Security

Der fortschreitende Prozess der Digitalisierung macht auch vor der Automobilwelt keinen Halt. Durch die zunehmende Anzahl an ECUs im Automobil, sowie der stärkeren Vernetzung von Fahrzeugen (C2X), steigt auch das Risiko vor nicht autorisierten Zugriffen und der Manipulation von sicherheitskritischen Systemen.

Besonders heutzutage sind Fahrzeuge sowohl intern, als auch zu extern, zahlreich vernetzt. So greifen beispielsweise Navigationsgeräte auf Informationen im CAN-Bus zu und bieten gleichzeitig einen externen Zugriff über Schnittstellen wie Bluetooth, WLAN oder LTE. Aber bereits die vorgeschriebene OBD-II-Schnittstelle stellt einen erheblichen Angriffsvektor dar. Beispielhaft für das Manipulieren automobiler Steuergeräte ist vor allem der Trend der sogenannten „Kennfeldoptimierungen“.

Durch erweiterte Kenntnisse kann jedoch auch Gebrauch von Informationen gemacht werden, die über den CAN-Bus übertragen werden, um verschiedenste Fahrzeugfunktionen zu manipulieren oder zur Funktionserweiterung zu nutzen. Die tiefergehende Vernetzung verschiedenster Steuergeräte im Fahrzeug ermöglicht wegweisende Features, wie autonomes Fahren, Geschwindigkeitsregelanlagen oder auch eine verbesserte Navigation.

Die Manipulation von Steuergeräten ist also eine klare und präsente Bedrohung für Autofahrer, Werkstätten, Zulieferer und den Automobilherstellern.

Sei es die Veränderung des Kilometerstands, eine potentielle Leistungserhöhung oder gar die Manipulation von Parametern auf dem CAN-Bus – alles ist heutzutage mit einfachen Handgriffen erledigt.

Dadurch ergeben sich nicht nur kostenintensive Fälle des Garantiebetrugs, die es zu vermeiden gilt, sondern auch potentiell bedrohliche Ausfälle im Straßenverkehr. Durch umfangreiche Expertise in der Thematik der Kennfeldmodifikation, dem CAN-Bus Interface sowie dem Reverse Engineering von Motorsteuergeräten, ermöglichen wir Ihnen einen Einblick in die (Un-)Sicherheiten automotiver Systeme.

Ihre Sicherheit ist unsere Passion. Wir testen Ihr Produkt auf potentielle Schwachstellen und arbeiten mit Ihnen an einer möglichen Lösung, die von softwarebasierten Ansätzen, bis hin zur Entwicklung hardwareunterstützter Maßnahmen reicht.

Ablauf

Im Rahmen des Erstgespräches lernen wir Sie und Ihr Unternehmen besser kennen. In der zweiten Runde des Gespräches besprechen wir gemeinsam mit allen Entscheidungsträgern das weitere Vorgehen. Dabei wird die anzuwendende Methodik des Penetrationtests bestimmt.

Nachdem im Rahmen des Penetrationtests mögliche Angriffsvektoren identifiziert, und deren Eintrittswahrscheinlichkeit und mögliche Schadenshöhe bestimmt sind, stellen wir Ihnen die Ergebnisse im Rahmen eines Abschlussberichts vor.

 

Dieser enthält folgende Bestandteile: 

– Projektrahmendaten (Projektname, Ansprechpartner, Testzeitraum, Scope)

– Management Summary

– Beschreibung der Vorgehensweise und eingesetzte Methoden

– Zusammenfassung und Bewertung der identifizierten Schwachstellen hinsichtlich deren Kriminalität (inkl. Nennung der CVSS Werte und CVE-Einträge) sowie technisches Proof of Concept

– Detaillierte technische Beschreibung der identifizierten Schwachstellen / inhärenten Risiken

– Maßnahmenempfehlung zur Behebung der Schwachstelle sowie Auflistung aller Schwachstellen in tabellarischer Form (Excel).