
Red Teaming Penetrationtest
ganzheitlicher penetrationtest
Red Teaming Penetrationtest
56 Tage können Angreifer durchschnittlich in fremden Unternehmensnetzwerken verbringen, bevor sie entdeckt werden. Zeit zu prüfen, wie sicher sie wirklich sind.
IT-Sicherheitsstrategien stehen auf den elementaren Grundsäulen der Prävention, Detektion und Reaktion. IT-Infrastruktur sollte state of the art sein, eine angemessene IT-Sicherheitskultur gepflegt, physische IT-Sicherheit gewährleistet sein.
Doch halten alle Ihre Sicherheitsstrategien einem Angriff stand? Viele Sicherheitskonzepte klingen in der Theorie verlockend, aber scheitern in der Praxis. Welche von ihnen tatsächlich effektiv sind, lässt sich ohne eine praktische Überprüfung selten beurteilen.
Zeit zu prüfen, ob auch Ihre Sicherheitsmaßnahmen sich amortisieren.
Angreifer suchen sich zumeist das verwundbarste Glied einer Kette aus – das muss nicht immer die IT sein. Oft können Angriffsvektoren in der physischen IT-Sicherheit oder auch in der Sicherheitskultur des Unternehmens genutzt werden, um an schützenswerte Informationen zu gelangen. Im Rahmen des Red Teaming Penetrationstest überprüfen wir Ihr Unternehmen ganzheitlich – mit jeglichen Mitteln die einem potenziellen Angreifer auch zur Verfügung stehen könnten.
So erhalten Sie einen realistischen Einblick in die Verteidigungs- und Reaktionsfähigkeit Ihres Unternehmens.
Wir prüfen ganzheitlich:
Technik | Wir führen Angriffe gegen Ihre Unternehmens-IT durch. |
---|---|
Menschen | Wir prüfen, wie Ihre Mitarbeiter auf tatsächliche Hackerangriffe reagieren. Wird IT-Sicherheit auch wirklich im Rahmen der Unternehmenskultur gelebt? |
Physische IT-Sicherheit | Wir prüfen, wie Ihr Unternehmensgebäude, Serverräume sowie weitere relevante Einrichtungen Ihres Unternehmens abgesichert sind. |
Anerkannte Standards | Wir arbeiten nach anerkannten Standards wie ISECOM OSSTMM, PTES, OWASP Testing Guide sowie den Vorgaben und Empfehlungen des TIBER-EU Frameworks der Europäischen Zentralbank. Des Weiteren orientieren sich alle unsere Sicherheitsüberprüfungen an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik. Darüber hinaus sind unsere Projekte für Vermögensschäden sowie Personen- und Sachschäden versichert. |
-
- Wir glauben daran, dass IT-Sicherheit heute anders sein muss. Sicherheit heißt Vertrauen in unabhängige Lösungen. Sicherheit ist eben kein Produkt, sondern ein stetiger Prozess. Genau deshalb arbeiten wir mit holistischen Beratungsmethoden und verstehen Unternehmen als ganzheitlichen Sicherheitsfaktor – so wie es ein Angreifer auch tun würde. Weil ein Konzept noch kein System macht.
-
- Wir arbeiten nach anerkannten Standards wie beispielsweise PTES, NIST, OWASP Testing Guide, PCI-DSS, Cyber Kill Chain sowie dem Durchführungskonzept für Penetrationtests des Bundesamtes für Sicherheit in der Informationstechnik. Darüber hinaus sind unsere Projekte für Vermögensschäden sowie Personen- und Sachschäden versichert.
Ablauf der Tests

Im Rahmen des Erstgespräches lernen wir Sie und Ihr Unternehmen besser kennen. In der zweiten Runde des Gespräches besprechen wir gemeinsam mit allen Entscheidungsträgern das weitere Vorgehen. Dabei wird die anzuwendende Methodik des Penetrationtests bestimmt.
Nachdem im Rahmen des Penetrationtests mögliche Angriffsvektoren identifiziert, und deren Eintrittswahrscheinlichkeit sowie Schadenshöhe bestimmt sind, stellen wir Ihnen die Ergebnisse im Rahmen eines Abschlussberichts vor.
Dieser beinhaltet neben einer Management Summary, eine detaillierten Beschreibung der inhärenten Risiken und ein Proof of Concept, sodass Sie die Schwachstellen intern mit eigenen IT-Experten nachvollziehen können.
Kernstück der Dokumentation stellen die umfangreichen Handlungsempfehlungen dar, mit denen Sie einfach und nachvollziehbar eine eigenständige Behebung der Schwachstellen durchführen können.
Unabhängig von einer kostenfreien Nachbesprechung zur Klärung offener Rückfragen oder Unklarheiten bieten wir Ihnen auf Nachfrage gerne auch einen Bestätigung über die erfolgreiche Durchführung eines Penetrationtests zur Verfügung. Diesen können Sie gegenüber Kunden und Geschäftspartner als Nachweis nutzen.
Der Abschlussbericht enthält folgende Bestandteile:
- Projektrahmendaten (Projektname, Ansprechpartner, Testzeitraum, Scope)
- Management Summary
- Beschreibung der Vorgehensweise und eingesetzte Methoden
- Zusammenfassung und Bewertung der identifizierten Schwachstellen hinsichtlich deren Kriminalität (inkl. Nennung der CVSS Werte und CVE-Einträge) sowie technisches Proof of Concept
- Detaillierte technische Beschreibung der identifizierten Schwachstellen / inhärenten Risiken
- Maßnahmenempfehlung zur Behebung der Schwachstelle sowie Auflistung aller Schwachstellen in tabellarischer Form (Excel).
Ihr Ansprechpartner
Uns erreichen Sie immer persönlich. Weil uns partnerschaftliche Treue weitaus wichtiger ist als kurzfristiger Erfolg.

Philipp Kalweit
Managing Partner
+49 40 285 301 257