Ethical Hacking / Pentesting / Red Teaming

Wie wirksam ist Ihr Cybersicherheitskonzept?
Vielleicht nur 30 Sekunden

 

“Sie können verhindern, dass Ihr Gegner sie besiegt, wenn Sie sich verteidigen. Aber Sie können ihn nur besiegen, wenn Sie in die Offensive gehen.”

Sun Tzu

 

Unsere Mitarbeiterinnen und Mitarbeiter kennen die gängigen Penetrationstest-Standards in- und auswendig – auch weil sie bei der Gestaltung aktiv beteiligt waren. Sie garantieren Sorgfältigkeit, Reproduzierbarkeit und Transparenz bei unseren Projekten. Wir kombinieren diese mit Kreativität und durchschnittlich über 10 Jahren Erfahrung als Ethical Hacker mit zahlreichen Zertifikaten.

So testen Sie die Stärken und Schwächen Ihrer IT / OT und Organisation

  • Incident Response
  • Red Teaming
  • Blackbox, Greybox, Whitebox Security Audits and Pentests
    OSSTMM, OWASP, BSI, PCI-DSS, NIST 800-115, ISO/IEC 27002, 27008:2019
  • Web Application Tests
    OWASP
  • IS-Webchecks
    BSI
  • ICS / SCADA Testing
    TeleTrust IEC 62443-4-2
  • Configurationaudit
  • Vulnerability Assessments

Das prüfen wir

  • Office IT
    Drucker Fax, Telefon (VoIP, PBX, Hard- & Soft)
  • Web / Client Applikationen
  • Netzwerke (FW, IPS/IDS, Router, Switch, WLAN, Bluetooth, VPN)
  • Server (Win, Linux, AIX, Unix, Mac OS X)
  • Virtualisierung, Active Directory, NAS
  • OT, ICS, SCADA, PLT, PLC, SPS, DPC, RTU
  • Smart Meter Gateway Penetrationstests (BSI TR 03109-6 & TR 03145-1)
  • Penetrationstests nach den MSADP für i-Kfz Lösungen
  • Ethernet basierte Industrieprotokolle
    TCP/IP, Modbus TCP/IP, LON, LONTalk, BACnet, PROFIBUS, PROFINET, Modbus/ASCII, RTU, TCP; CAN, EtherCAT, CIP, Ethernet Powerlink, S-BUS, Ether-S-Bus, #Ether-S-I/o, KNX(EIB), KNXnet/Ip (EIBnet/IP), HART, HART-IP, OMRON-FINS

 

 

Sie hatten einen Sicherheitsvorfall
oder möchten Ihre Cybersicherheit testen?

Kontaktieren Sie uns.

 

 

Branchenerfahrung

  • Öffentliche Verwaltung
  • Verteidigung
  • Kritische Infrastrukturen
  • Automotive
  • Airlines
  • Financial Services
  • Telekommunikation, Medien, Technology (TMT)
  • Gesundheitswesen
  • Handel / eCommerce

Praxisbeispiele

 

IS Audit Fachverfahren – Behörde mit besonderen Sicherheitsaufgaben

Für ein nationales Fachverfahren der öffentlichen Verwaltung sollten Schwachstellen identifiziert werden. Hauptherausforderung bei diesem Penetrationstest war es, dass die Prüfung am produktiven System erfolgte und somit ein sicherheitsüberprüftes Personal erforderte.

Penetrationstest – Verteidigung

Im Zuge der Fortschreibung eines IT-Sicherheitskonzeptes müssen jährliche Penetrationstests im Datenzentrum und anderen System erfolgen. Eingesetzte Tools waren z.B. Portscanner wie Nmap sowie Angriffswerkzeuge wie OpenVAS, Metasploit Framework und weitere.

IS-Penetrationstest – Betreiber dezentraler Portale für i-Kfz-Zulassungen

Ein Penetrationstest deckte technische und organisatorische Schwachstellen auf, die ein Risiko für die Zulassung durch das KBA dargestellt hätten. Die Mängel konnten hierdurch beseitigt und zusätzliche Sicherheitsmaßnahmen initiiert werden. Es konnte allen Mindestanforderungen entsprochen werden.

Incident Response / OSSTMM-Audit – Gesundheitswesen

Incident Response nach Schadcodebefall im NAS. Nach der forensischen Untersuchung und Behebung, wurde anhand unterschiedlicher Protokolle und Monitoring-Logs einer Ursachenanalyse durchgeführt. Anschließend wurden aller IT-Systeme in den betroffenen Netzsegment durch einen Penetrationstest auf Sicherheit geprüft.

WLAN-Audit – B2C Kunde

Gegenstand des Sicherheitstests war die Erfassung und Überprüfung aller WLAN-Netze beim Kunden. Insbesondere wurde ein Vergleich durchgeführt, um nicht autorisierte Access Points zu identifizieren und zu lokalisieren.

 

Häufige Fragen und Antworten

White Hat, oder Ethical Hacking , sind Begriffe, die verwendet werden, um Hacking zu beschreiben, das durchgeführt wird, um potenzielle Bedrohungen und Sicherheitslücken in einem System zu identifizieren. Ein Ethical Hacker umgeht, die implementierten Sicherheitsvorkehrungen eines Systems oder Netzwerks und sucht nach Schwachstellen, die von kriminellen Hackern ausgenutzt werden könnten. Dazu nutzt er seine Expertise und persönliche Fähigkeiten im Thema IT-Security, die kriminelle Hacker regelmäßig ebenfalls ausnutzen. Diese daraus hervorgehenden Informationen werden dann verwendet, um die Sicherheit des Systems oder Netzwerks zu verbessern und denkbare Angriffsvektoren zu vermeiden. Das Berufsbild White Hat Hacker kam mit der zunehmenden Cyberkriminalität auf und sie haben meist eine mehrjährige Berufsausbildung.

Ethische Hacker müssen eine Reihe an Regeln befolgen um sich von ihrem Gegenpart, dem Black Hat Hacker abzugrenzen:

  • Den konkreten Auftrag, das Netzwerk zu untersuchen und zu versuchen, potenzielle Sicherheitsrisiken zu identifizieren.
  • So weit möglich: Respekt vor der Privatsphäre von Einzelnen und des Unternehmens.
  • Ethical Hacker beenden ihren Auftrag vorschriftsmäßig und lassen keine Sicherheitslücken offen, die ein Black Hat Hacker später Ausnutzen könnte.
  • Sie fertigen einen Bericht an und informieren den Softwareentwickler oder Hardwarehersteller über alle Sicherheitslücken, die Sie in seiner Software oder Hardware finden.

Für gewöhnlich sind Ethical Hacker im Kundenauftrag von Organisationen, Regierungen und Unternehmen (privater und öffentlicher Sektor) auf der Suche nach Lücken in der IT-Sicherheit und Programmierfehlern, sogenannten Bugs. Besonders oft werden White-Hat-Hacker als Penetration Tester eingesetzt. Beim Pentesting dringt der Ethical Hacker gezielt in ein IT-System ein, nutzt die vorhandenen Angriffsvektoren und zeigt Lösungsmöglichkeiten für eine Verbesserung der IT-Sicherheit auf. Bei Penetrationstests werden Systeme und Netzwerke oft speziell dahin gehend überprüft, ob im System eingenistete Viren oder Trojaner sensible Firmendaten erbeuten können. Zum weiteren Feld des Ethical Hacking zählt das Social Engineering. Denn häufig ist ein IT-System zwar sicher, doch der verantwortliche Mitarbeiter wird durch geschickte Angriffstaktiken zum Sicherheitsrisiko. Hier sind Schulungen für Mitarbeiter, die an kritischen Infrastrukturen arbeiten, vonnöten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Konzept zur Durchführung von Penetrationstests vorgelegt, welches White-Hat-Hackern Richtlinien für sicheres Ethical Hacking an die Hand gibt.