Lassen Sie Schwachstellen nicht zum Risiko für Ihren Geschäftserfolg werden

IT-Netzwerke und Applikationen werden stetig an neue Anforderungen angepasst und mit der Zeit immer komplexer. Die eingesetzte Technik bietet eine Angriffsfläche für Cyberkriminelle und interne Angreifer.

So sorgfältig die präventiven Bausteine einer Sicherheitsinfrastruktur auch ausgewählt und implementiert werden, einen Nachweis über die Wirksamkeit dieser Maßnahmen und das erreichte Schutzniveau bietet nur deren Überprüfung im Rahmen eines Penetration Test.

Bei einem Penetration Test nehmen wir die Rolle eines internen oder externen Angreifers ein. Dabei führen wir gezielte Angriffe auf Netzwerke, Systeme und Applikationen durch und decken somit Schwachstellen auf – sowohl über das Internet, vor Ort im lokalen Netzwerk oder direkt auf den Zielsystemen. Für jede Schwachstelle arbeiten wir geeignete Lösungsvorschläge für die Behebung aus.

Sie haben Fragen?

Falls Sie mehr zu diesem Thema erfahren möchten, freuen wir uns über Ihre Kontaktaufnahme.

 

Zum Kontaktformular

Unser Portfolio

Die Prüfungen werden nach einer nachvollziehbaren Methodik durchgeführt, die sich nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) und dem Standard des Open Web Application Security Project (OWASP) richtet.

Ihr Mehrwert

Mit einem Penetration Test erkennen Sie operative Risiken und erhalten Entscheidungskriterien für die Auswahl effektiver und effizienter Schutzmaßnahmen. Der Test stellt einen wesentlichen Baustein eines funktionsfähigen Sicherheitsprozesses dar und umfasst folgende Aspekte: 

  • Ermittlung bekannter sowie unbekannter Schwachstellen 

  • Analyse der Sicherheit der IT-Infrastruktur sowie der Einhaltung der Compliance-Vorgaben

  • Definition von Maßnahmen zur Verbesserung der Sicherheit von IT-Systemen und ‑Applikationen

  • Bestätigung Ihrer IT-Sicherheit durch einen externen Dritten

 

Darum SVA

  • Ausschließlich erfahrene und qualifizierte Prüfer mit mehrjähriger Berufserfahrung im Bereich Penetration Testing
  • Mitarbeiter mit den Zertifizierungen Offensive Security Certified Professional (OSCP) und Offensive Security Certified Expert (OSCE)
  • Sie erhalten für den Prüfnachweis einen qualifizierten und vom SVA-Prüfer selbst erstellten Abschlussbericht
  • Dieser Bericht ist für sachverständige Dritte verständlich und nachvollziehbar

Network Penetration Testing

Die kontinuierlich fortschreitende Digitalisierung geht einher mit einer zunehmenden Vernetzung von IT-Ressourcen. Dadurch sind immer mehr Applikationen und Schnittstellen netzwerkseitig erreich- und angreifbar. Im Rahmen eines Network Penetration Test ermitteln erfahrene Penetration Tester von SVA typische Schwachstellen eines Netzwerks über das Internet oder innerhalb des Unternehmensnetzwerks. Hierbei simulieren unsere Prüfer Angriffe sowohl von externen als auch internen Angreifern auf eine IT-Infrastruktur. Ziel des Penetration Test ist es, in kurzer Zeit einen umfassenden Überblick über das aktuelle IT-Sicherheitsniveau zu erlangen. Außerdem gehört die Erstellung von Maßnahmenempfehlungen zum Umfang der Prüfung.

WLAN Penetration Testing

Wireless Local Area Networks (WLANs) sind aufgrund ihrer hohen Datenraten, Kosteneffizienz, Flexibilität und Benutzerfreundlichkeit sehr beliebt. Gleichzeitig stellen sie ein beträchtliches Sicherheitsrisiko dar, da Daten drahtlos übertragen werden und es keinen physischen Zugriffschutz gibt. Das WLAN hat einen besonders hohen Schutzbedarf, da es einen drahtlosen Zugriffspunkt in das interne Netzwerk bietet. Wir analysieren die WLAN-Infrastruktur auf typische Schwachstellen und führen Angriffe auf diese durch. Dabei werden alle verfügbaren Netzwerke, beispielsweise auch Gastzugänge, in die Prüfung einbezogen. 

Web Application Penetration Testing

Immer mehr Webanwendungen werden Mitarbeitern, Partnern und Kunden über das Internet oder innerhalb des Unternehmensnetzwerks zur Verfügung gestellt. SVA bietet für diese Webanwendungen eine spezielle Prüfung an. Wir analysieren die Anwendungen auf typische Schwachstellen und logische Fehler. Die Prüfung deckt dabei sowohl Standardsoftware als auch selbstentwickelte Anwendungen ab und kann sowohl mit als auch ohne Zugriff auf den Quellcode erfolgen. Wir berücksichtigen in den Prüfungen unter anderem die zehn häufigsten Sicherheitsrisiken in Webanwendungen gemäß des Open Web Application Security Project (OWASP Top 10). Des Weiteren folgt der Testablauf und -umfang dem BSI-Standard.

Mobile App Penetration Testing

Mobile Apps sind in vielen Organisationen ein fester Bestandteil der IT-Infrastruktur und werden für geschäftsrelevante Prozesse genutzt. Meist ist über mobile Anwendungen auch ein Zugriff auf Kundeninformationen möglich. Bei unzureichender Absicherung kann dies ein Datenschutzrisiko darstellen. Die Untersuchung von Android- und iOS-Apps gehört zum täglichen Aufgabenprofil unserer Penetration Tester. Innerhalb dieses Themenkomplexes erfolgt zunächst eine Sichtung der Dokumentation, um einen Eindruck über die Funktionsweise sowie mögliche Schwachstellen der Lösung zu erhalten. Darauf aufbauend berücksichtigen wir in den Prüfungen unter anderem die zehn häufigsten Sicherheitsrisiken in mobilen Anwendungen gemäß des Open Mobile Application Security Project und führen dynamische sowie statische Tests (Code-Review) durch.

Internet of Things (IoT) Penetration Testing

Homogene Unternehmensnetzwerke, die nur aus IT-Komponenten bestehen, gehören der Vergangenheit an. Steuerungsgeräte für Gebäude- oder Produktionstechnik, Medizintechnik, Kassensysteme und viele andere smarte Systeme sind heute in zahlreichen Netzwerken zu finden und teilweise auch mit dem Internet verbunden. Neben vielen neuen Möglichkeiten eröffnen diese IoT-Systeme aber auch neue Angriffsvektoren. Während sich kritische IT-Systeme zumeist in zutrittskontrollierten Bereichen befinden, sind IoT-Geräte oft leichter zugänglich. Deshalb bietet SVA eine spezielle Prüfung für diese an. Dabei sichten unsere Penetration Tester zuerst die Dokumentation des Systems, um sich einen Eindruck über die Funktionsweise sowie über mögliche Angriffsvektoren zu verschaffen. Anschließend wird eine Analyse der Hardware, Software, Netzwerkkomponenten, Webanwendungen sowie der eingesetzten drahtlosen Protokolle durchgeführt, sodass alle Schnittstellen des Systems betrachtet werden.

Active Directory Penetration Testing

Das Active Directory bildet das Rückgrat einer IT-Netzwerkinfrastruktur und steht bei Angreifern besonders im Fokus. Eine Kompromittierung des Active Directory stellt eine erhebliche Bedrohung für ein Unternehmen dar, da dies neben Produktionsausfällen oder Datenverlusten häufig auch mit einem Reputationsschaden verbunden ist. Deshalb ist eine Absicherung des Active Directory dringend notwendig. Im Rahmen eines Active Directory Penetration Test versuchen unsere Experten, ihre Rechte als normaler Domain-Benutzer zu erweitern. Ziel ist die komplette Übernahme der Domain. Dabei werden Angriffe durchgeführt und Werkzeuge eingesetzt, wie sie auch aktuell von Hackern verwendet werden. Dadurch wird ein realistisches Bild des aktuellen Sicherheitsniveaus Ihres Active Directorys gewonnen. 

Cloud Penetration Testing

Netzwerkkomponenten und Applikationen werden mehr und mehr in die Cloud ausgelagert, anstatt diese on-premises zu betreiben. Konzepte wie SaaS (Software as a Service) oder Managed Services treiben diese Entwicklung zusätzlich voran. Weiterhin bietet die Cloud die Möglichkeit einer bedarfsgerechten Skalierung. Wir prüfen die Sicherheit Ihrer Anwendungen und Kommunikationskomponenten wie Message Queues oder API-Schnittstellen in der Cloud, sodass Sie Ihre Geschäftsprozesse nicht nur sicher abbilden, sondern auch schützen können. 

Physical Penetration Testing

Sicherheit in Unternehmen ist nicht nur auf der Ebene der IT-Systeme relevant. Auch die Zugangssicherheit zu sensiblen Bereichen wie Büro-, Server- oder Lagerräumen muss geprüft werden. Diese sind heute nicht mehr nur mit Schloss und Schlüssel begehbar, sondern es werden vermehrt auch elektronische Schließanlagen eingesetzt. Diese können durch Lösungen wie Mitarbeiterausweise als Authentifizierungsmerkmal sehr dynamisch und flexibel genutzt werden. Wir stellen die Sicherheit dieser Schließsysteme auf die Probe, damit Ihre Türen vor Angreifern verschlossen bleiben, die sich ihre eigene Zugangskarte ausgestellt haben.

Sie haben Fragen?

Falls Sie mehr zu diesem Thema erfahren möchten, freue ich mich über Ihre Kontaktaufnahme.

Zum Kontaktformular
Photo
Mark Sobol
Mark Sobol
Fachbereichsleiter IT Security

Mehr von uns

Podcast

 

 

Sie mögen gerne Podcasts? Dann entdecken Sie unsere Podcast-Vielfalt.

 

 

Hören Sie rein

Expertenblog

 

 

Sie lesen gerne? Dann werfen Sie einen Blick auf unseren Blog. 

 

 

 

Lesen sie rein

YouTube

 

 

Sie bevorzugen Videos? Dann ist unser YouTube-Kanal das richtige für Sie.

 

 

Schauen sie rein

Social Media

 

 

Sie bleiben gerne up to date? Dann folgen Sie uns in den sozialen Medien.