Penetrationtest as a service

Die Königsdisziplin als fortlaufender service

Cyberangriffe – das größte Geschäftsrisiko in 2022 weltweit*.  Zeit zu prüfen, wie gut sie aufgestellt sind.

*Allianz Risk Barometer 2022, 18. Januar 2022 

 

Was wir wissen

Cyberangriffe gehören zu den größten Risiken, denen Unternehmen heute gegenüberstehen. Wie sicher sind Ihre IT-Systeme wirklich? Mit Penetration Testing as a Service (PTaaS) bieten wir Ihnen eine kontinuierliche Lösung, um Ihre Systeme regelmäßig auf Schwachstellen zu prüfen – mit einer Kombination aus automatisierten und/oder manuellen Penetrationstests, um Ihre IT-Sicherheit und Compliance-Vorgaben auf höchstem Niveau zu gewährleisten.

Deshalb KALWEIT ITS

Das Ziel von Penetration­testing ist das Eindringen in informations­technische Systeme. Wir agieren wie potenzielle Angreifer, identifizieren Angriffsvektoren und nutzen diese technisch aus. So erhalten Sie einen realistischen Blick in die (Un-)Sicherheiten Ihrer IT-Lösungen und können Sicherheitslücken schließen, bevor Angreifer diese ausnutzen.

Als unabhängiges Beratungsunternehmen mit Spezialisierung auf die Disziplinen der IT-Sicherheit gehört die Durchführung von Penetrationtests zu unserer Königsdisziplin. Branchenspezifische Anforderungen aus dem Banken- oder Gesundheitswesen stellen für uns keine Herausforderung dar.

Automatisierte und manuelle Tests – eine starke Kombination

 

  • Automatisierte Penetrationstests: Diese Tests prüfen Ihre IT-Systeme regelmäßig auf bekannte Schwachstellen und Sicherheitslücken, was eine schnelle und wiederkehrende Überprüfung ermöglicht.
  • Manuelle Penetrationstests: Um die tiefere Sicherheit Ihrer Systeme sicherzustellen, führen unsere erfahrenen Sicherheitsexperten manuelle Tests durch. Diese decken gezielt komplexe oder neuartige Schwachstellen auf, die von automatisierten Tools oft nicht erkannt werden. Manuelle Tests sind besonders wertvoll bei spezifischen Anwendungen, komplexen Infrastrukturen oder nach signifikanten Änderungen in Ihrer IT-Landschaft.

PTaaS und IT-Compliance

Neben dem Schutz vor Cyberbedrohungen unterstützt PTaaS auch die Einhaltung wichtiger IT-Compliance-Vorgaben. Regulierungen wie DORA, BAIT, DiGAV und weitere branchenrelevante Standards fordern strikte Maßnahmen zur Sicherstellung der IT-Sicherheit und -Integrität. Penetrationstests spielen dabei eine zentrale Rolle:

  • Compliance-Anforderungen erfüllen: PTaaS hilft Ihnen, kontinuierlich regulatorische Vorgaben zu erfüllen, indem Ihre IT-Systeme regelmäßig auf Schwachstellen geprüft werden. So stellen Sie sicher, dass Sie in Übereinstimmung mit nationalen und internationalen Richtlinien agieren.
  • Prüfung und Nachweis der IT-Sicherheit: Durch regelmäßige und dokumentierte Penetrationstests können Sie Nachweise für Audits oder Aufsichtsbehörden erbringen, dass Ihre IT-Systeme den aktuellen Sicherheitsstandards entsprechen und Maßnahmen zur Risikominimierung getroffen wurden.
  • Compliance-Anforderungen erfüllen: PTaaS hilft Ihnen, kontinuierlich regulatorische Vorgaben zu erfüllen, indem Ihre IT-Systeme regelmäßig auf Schwachstellen geprüft werden. So stellen Sie sicher, dass Sie in Übereinstimmung mit nationalen und internationalen Richtlinien agieren.
  • Prüfung und Nachweis der IT-Sicherheit: Durch regelmäßige und dokumentierte Penetrationstests können Sie Nachweise für Audits oder Aufsichtsbehörden erbringen, dass Ihre IT-Systeme den aktuellen Sicherheitsstandards entsprechen und Maßnahmen zur Risikominimierung getroffen wurden.

Wie funktioniert PTaaS?

  1. Automatisierte und manuelle Tests: Wir führen regelmäßig automatisierte und manuelle Penetrationstests durch, um Schwachstellen in Ihrer IT-Infrastruktur zu identifizieren – von den typischen bis hin zu den besonders tiefen und komplexen Schwachstellen.
  2. Detaillierte Berichte: Sie erhalten kontinuierlich Berichte, die sowohl automatisierte als auch manuelle Testergebnisse umfassen. Diese Berichte liefern detaillierte Einblicke in gefundene Schwachstellen, Risikobewertungen und konkrete Handlungsempfehlungen.
  3. Sofortige Benachrichtigung bei kritischen Lücken: Bei besonders schwerwiegenden Sicherheitslücken informieren wir Sie sofort, damit Sie umgehend Maßnahmen ergreifen können, um Ihre Systeme zu schützen und Compliance-Risiken zu vermeiden.
  4. Kontinuierliche Verbesserung und Compliance: PTaaS ermöglicht Ihnen nicht nur die Verbesserung Ihrer IT-Sicherheitsmaßnahmen, sondern stellt auch sicher, dass Sie dauerhaft compliant bleiben, da Ihre Systeme regelmäßig überprüft und aktualisiert werden.

Vorteile von PTaaS:

  • Kombination von automatisierten und manuellen Tests: Durch die Verbindung von schnellen, automatisierten Scans und tiefgehenden, manuellen Tests decken wir alle Schwachstellen ab – von einfachen Sicherheitslücken bis hin zu versteckten, komplexen Risiken.
  • Proaktiver Schutz und IT-Compliance: PTaaS bietet Ihnen nicht nur umfassenden Schutz, sondern hilft Ihnen auch, die Compliance-Anforderungen wie DORA, BAIT, DiGA und andere Vorschriften zu erfüllen.
  • Transparente Berichte und Nachweise für Audits: Sie erhalten regelmäßig umfassende Berichte, die Sie bei internen Sicherheitsüberprüfungen, Audits und zur Vorlage bei Aufsichtsbehörden unterstützen.
  • Flexibilität und Skalierbarkeit: PTaaS passt sich den spezifischen Bedürfnissen und der Größe Ihres Unternehmens an – egal, ob Sie eine kleine IT-Abteilung oder eine komplexe Unternehmensstruktur haben. Wir sind in der Lage auch große Projektvoluminas in kürzester Zeit durchzuführen.
  • Kosten- und Zeiteffizienz: Profitieren Sie von kontinuierlicher Sicherheit und Compliance zu planbaren und transparenten Kosten, ohne den Aufwand und die hohen Einmalkosten herkömmlicher Penetrationstests.
    Wir glauben daran, dass IT-Sicherheit heute anders sein muss. Sicherheit heißt Vertrauen in unabhängige Lösungen. Sicherheit ist eben kein Produkt, sondern ein stetiger Prozess. Genau deshalb arbeiten wir mit holistischen Beratungsmethoden und verstehen Unternehmen als ganzheitlichen Sicherheitsfaktor – so wie es ein Angreifer auch tun würde. Weil ein Konzept noch kein System macht.
    Wir arbeiten nach anerkannten Standards wie beispielsweise PTES, NIST, OWASP Testing Guide, PCI-DSS, Cyber Kill Chain sowie dem Durchführungskonzept für Penetrationtests des Bundesamtes für Sicherheit in der Informationstechnik. Darüber hinaus sind unsere Projekte für Vermögensschäden sowie Personen- und Sachschäden versichert.

Wir unterstützen Sie bei jeglichen Arten von Penetrationtests:

  • Perimetertest
  • Client-Test
  • Innentätertest
  • Tests von Webapplikationen/Anwendungssoftware/mobilen Applikationen
  • Tests von Kernbankensystemen und Einzelhandelsnetzen
  • Security Review
  • Tests von Motorsteuergeräten
  • Tests von IoT-Geräten, Firmware und Hardware
  • Tests im Cloud-Umfeld (AWS, Microsoft Azure oder Google Cloud)
  • Tests von Flutter-Lösungen
  • Tests von SAP-Umgebungen
  • Tests von WLAN-Infrastruktur

Starke Expertise in der Durchführung von Penetrationtests im Banken- und Finanzwesen, Gesundheitswesen, Kritischer Infrastrukturen sowie Einzelhandelsunternehmen.

Ablauf der Tests

Im Rahmen des Erstgespräches lernen wir Sie und Ihr Unternehmen besser kennen. In der zweiten Runde des Gespräches besprechen wir gemeinsam mit allen Entscheidungsträgern das weitere Vorgehen. Dabei wird die anzuwendende Methodik des Penetrationtests bestimmt.

Nachdem im Rahmen des Penetrationtests mögliche Angriffsvektoren identifiziert, und deren Eintrittswahrscheinlichkeit sowie Schadenshöhe bestimmt sind, stellen wir Ihnen die Ergebnisse im Rahmen eines Abschlussberichts vor.

Dieser beinhaltet neben einer Management Summary, eine detaillierten Beschreibung der inhärenten Risiken und ein Proof of Concept, sodass Sie die Schwachstellen intern mit eigenen IT-Experten nachvollziehen können.

Kernstück der Dokumentation stellen die umfangreichen Handlungsempfehlungen dar, mit denen Sie einfach und nachvollziehbar eine eigenständige Behebung der Schwachstellen durchführen können.

Unabhängig von einer kostenfreien Nachbesprechung zur Klärung offener Rückfragen oder Unklarheiten bieten wir Ihnen auf Nachfrage gerne auch einen Bestätigung über die erfolgreiche Durchführung eines Penetrationtests zur Verfügung. Diesen können Sie gegenüber Kunden und Geschäftspartner als Nachweis nutzen.

 

 

Der Abschlussbericht enthält folgende Bestandteile:

  • Projektrahmendaten (Projektname, Ansprechpartner, Testzeitraum, Scope)
  • Management Summary
  • Beschreibung der Vorgehensweise und eingesetzte Methoden
  • Zusammenfassung und Bewertung der identifizierten Schwachstellen hinsichtlich deren Kritikalität (inkl. Nennung der CVSS Werte und CVE-Einträge) sowie technisches Proof of Concept
  • Detaillierte technische Beschreibung der identifizierten Schwachstellen / inhärenten Risiken
  • Maßnahmenempfehlung zur Behebung der Schwachstelle sowie Auflistung aller Schwachstellen in tabellarischer Form (Excel).

Buchen Sie Ihren Termin

Kalender öffnen

Ihre Ansprechpartner

Uns erreichen Sie immer persönlich. Weil uns partnerschaftliche Treue weitaus wichtiger ist als kurzfristiger Erfolg.

Philipp Kalweit

Philipp Kalweit

Geschäftsführender Gesellschafter

 

+49 40 285 301 257

hello@kalwe.it

Philipp Kalweit ist erfahrener IT-Sicherheitsberater zu den Themen Security Awareness und offensive IT-Revision. Als Director Strategy & Consulting ist er für die Unternehmensstrategie sowie den Advisory- bzw. Consulting-Bereich verantwortlich. Seit sechs Jahren berät und prüft er Kunden aus dem Mittelstands- und Konzernumfeld, insbesondere EZB- und BaFin-regulierte Organisationen sowie Konzerne im Einzelhandel. Sein Beratungsschwerpunkt liegt in der holistischen IT-Sicherheit. Für seine Arbeit wurde er 2019 durch DIE ZEIT als „Hamburger des Monats“ geehrt und im gleichen Jahr in die Forbes „30 under 30 DACH“-Liste aufgenommen.

 

Günther Paprocki

Günther Paprocki

Geschäftsführender Gesellschafter

 

+49 40 285 301 258

hello@kalwe.it

Seit Mai 2024 ist Dipl.-Wirtschaftsingenieur Günther Paprocki geschäftsführender Gesellschafter bei der KALWEIT ITS. Als Director HR & Operations ist er für das operative Geschäft sowie den Bereich Personal verantwortlich. Von seinen Stationen bei Sharp, Philips und Cisco bringt er frischen Wind in unser Beratungshaus. Ob im Bereich Photovoltaik, E-Mobilität oder das erste Mobilfunknetz in Deutschland – Günther Paprocki war in der Vergangenheit immer in zukunftsweisenden Branchen tätig. Seine jetzige Mission: Cybersecurity in Deutschland stark machen.