Wer braucht Penetrationstest?
Heute sind Penetrationstests eine Standardmassnahme im Informationssicherheits-Management. Ob auf Basis vertraglicher, rechtlicher und regulatorischer Anforderungen oder aus reinem Selbstschutz: Penetrationstests vermitteln Ihnen wertvolle Informationen darüber, ob Ihre Massnahmen funktionieren, wie sie es sollen.
Ihre Vorteile
Wirksamkeitskontrolle
Penetrationstests werden oft zur sogenannten Wirksamkeitskontrolle durchgeführt. Sie dienen der Prüfung vorhandener Sicherheitsmassnahmen und nehmen die Perspektive von Angreifern ein. Diese denken meist völlig anders als Administratoren oder Sicherheitsarchitekten und finden oft auch Lücken in gut designten Abwehrsystemen.
Compliance
Es gibt unzählige direkte oder indirekte regulatorische, gesetzliche und vertragliche Bestimmungen, die die Durchführung von Sicherheitstests an Infrastrukturen oder Anwendungen empfehlen oder verlangen. Mögliche Gründe sind, dass Kunden nur getestete Software oder Systeme akzeptieren oder die Geschäftsleitung das Risiko für die Unternehmung verringern und persönliche Haftung ausschliessen will.
Unsere Erfahrung
Wir haben als einer der ersten Anbieter bereits im Jahr 1998 Penetrationstests angeboten und seither nahezu 2000 solcher Tests an allen denkbaren Systemen, Anwendungen und Produkten in fast allen Branchen durchgeführt. Ob für Office IT, industrielle Anlagen, Gesundheitseinrichtungen oder Bank- und Finanzsysteme inkl. Grosszahlungssysteme wie SWIFT und TARGET II im Zentralbankenumfeld: Unsere Kunden vertrauen auf unsere Expertise.
Arten von Penetrationstests
Wir prüfen für Sie beispielsweise:
- Externe und interne IT-Infrastrukturen oder Infrastrukturkomponenten aus Sicht eines fremden oder eines internen Angreifers («Praktikantenszenario»)
- Web- und andere Anwendungen von Shops über B2B bis zu Online-Banking-Systemen
- WLAN/WiFi-Installationen
- Implementierungen von Remote-Access-Systemen z. B. auf Basis von RDP, Citrix oder SSL-VPNs inkl. der Sicherheit von Home und Remote Offices
- Mobile Anwendungen für Android oder iOS
- REST/SOAP oder andere APIs, Schnittstellen und Protokolle
- Leitsysteme und industrielle Anlagen
- Social Engineering Angriffe wie Phishing, Spear Phishing, Umgehung von Zutrittskontrollen und physischen Sicherheitsmassnahmen
- und vieles mehr- Kontaktieren Sie uns!
Für sehr grosse Infrastrukturen bieten wir XM Cyber Breach and Attack Simulation Software-basierte Tests an. Dies sind automatisierte, passive Tests innerhalb einer realen Infrastruktur, die wichtige Einfallstore und Angriffswege flächendeckend aufdecken können.
Ferner führen wir Szenario-basierte Tests durch («Red Teaming»), bei denen es in der Regel darum geht, hypothetische Angriffsszenarien darzustellen, wobei diese meist an reale zum Einsatz kommende Techniken (APT) angelehnt und weiter gefasst sind als klassische Tests.
Wenn Abwehrteams oder SIEM-Systeme vorhanden sind, bieten wir auch sogenannte Purple-Team-Projekte an. Hierbei arbeiten die Angreifer offen mit den Verteidigern (oder Administratoren) zusammen, um herauszufinden, ob die Systeme zur Angriffserkennung auch den tatsächlichen Techniken und Herangehensweisen von Hackern entsprechen. Oft findet eine dramatische Wirksamkeitssteigerung der Erkennungssysteme statt.
Wir bieten ausserdem Tests gemäss dem für Banken und Finanzdienstleister von der BaFin und der Deutschen Bundesbank zwischenzeitlich verabschiedeten TIBER-DE-Standard an. «TIBER» steht für Threat Intelligence Based Ethical Hacking und «DE» für die deutsche Variante.