Security
Testing.

Umfassende Sicherheitsprüfungen zur Stärkung Ihrer IT-Infrastruktur sowie Schutz Ihrer Systeme und Daten vor potenziellen Angriffen. 

Wie wirksam ist ihr Cybersicherheitskonzept?


In einer Welt, in der digitale Bedrohungen ständig zunehmen, ist Sicherheit von größter Bedeutung. Unsere Mission ist es, Ihre Systeme und Daten vor potenziellen Angriffen zu schützen. Mit umfassenden Sicherheitsprüfungen von Pentesting bis hin zu Red-Teaming identifizieren wir Schwachstellen und bieten maßgeschneiderte Lösungen, um Ihre IT-Infrastruktur zu stärken. Unser erfahrenes Team nutzt modernste Techniken und Tools, um sicherzustellen, dass Ihre Anwendungen, Netzwerke und Systeme optimal geschützt sind. Darüber hinaus gestalten unsere Experten offizielle Penetrationteststandards aktiv mit. Vertrauen Sie auf unsere Expertise und lassen Sie uns gemeinsam Ihre digitale Sicherheit auf das nächste Level heben. Entdecken Sie unsere Services und erfahren Sie, wie wir Ihnen helfen können, Ihre Sicherheitsanforderungen zu erfüllen. Ihre Sicherheit ist unsere Priorität

Sicherheitstests spielen in der heutigen Bedrohungslage eine essenzielle Rolle. Cyberkriminelle entwickeln immer neuere Methoden, um Schwachstellen in Systemen auszunutzen. Die Herausforderung besteht darin, die permanente Bedrohung zu erkennen und zu beheben, um die Sicherheit von sensiblen Daten und Systemen zu gewährleisten. Unsere Experten identifizieren Ihre potenziellen Schwachstellen und ergreifen präventive Maßnahmen zum besseren Schutz vor möglichen Angriffen.

White Hat, Ethical Hacking oder Pentesting sind Begriffe, die eine autorisierte Methode zur Identifizierung potenzieller Bedrohungen und Schwachstellen in einer Anwendung, einem System oder der Infrastruktur eines Unternehmens beschreiben. Ein Ethical Hacker umgeht die implementierten Sicherheitsvorkehrungen eines Zielobjekts und sucht nach Schwachstellen, die von kriminellen Hackern ausgenutzt werden könnten. Dazu greift er auf seine Expertise und persönlichen Fähigkeiten zum Thema IT-Security zurück, so wie es auch kriminelle oder Black Hat Hacker regelmäßig tun. Diese daraus hervorgehenden Informationen werden dann verwendet, um die Sicherheit des Systems oder Netzwerks zu verbessern und denkbare Angriffsvektoren zu vermeiden. Das Berufsbild White Hat Hacker entwickelte sich mit der zunehmenden Cyberkriminalität. Ethical Hacker durchlaufen meist eine mehrjährige Berufsausbildung.

Ethische Hacker müssen eine Reihe von Regeln befolgen, um sich von ihrem Gegenpart, dem Black Hat Hacker, abzugrenzen:

Sie fertigen einen Bericht an und informieren den Kunden, und wenn möglich, den Softwareentwickler oder Hardwarehersteller über alle Sicherheitslücken, die sie in der Soft- oder Hardware finden.

Sie haben den konkreten Auftrag, ein Netzwerk zu untersuchen und dabei potenzielle Sicherheitsrisiken zu identifizieren.

Soweit möglich: Respekt vor der Privatsphäre von Einzelnen und des Unternehmens.

Ethical Hacker beenden ihren Auftrag Vorschriftenkonform und lassen keine Sicherheitslücken offen, die ein Angreifer später ausnutzen könnte.

Hochqualifizierte Tests durch unser Expertenteam.

Unsere Cybersecurity-Experten kennen die gängigen Penetrationstest-Standards in- und auswendig, auch weil sie bei der Gestaltung aktiv beteiligt sind. Wir garantieren Sorgfältigkeit, Reproduzierbarkeit und Transparenz bei unseren Projekten. Wir kombinieren diese mit Kreativität und durchschnittlich über zehn Jahren Erfahrung als Ethical Hacker mit zahlreichen Zertifizierungen. 

  • OSSTMM (Open Source Security Testing Methodology Manual)
  • OWASP Testing Guide
  • IS-Penetrationstest gemäß BSI Leitfaden
  • IS-Webcheck gemäß BSI Leitfaden
  • NIST 800-115
  • PCI DSS
  • ISO/IEC 27008 Technical Compliance
  • TIBER-EU Framework (TIBER-DE) Threat Intelligence-based Ethical Red Teaming
  • i-Kfz Mindestsicherheitsanforderungen
  • IEC 62443-4-2 TeleTrusT-Prüfschema
  • Smart Meter Gateway Penetrationstests (BSI TR 03109-6 & TR 03145-1)
  • Konfigurationsaudits nach Hersteller- oder internen Vorgaben
  • Büro-IT (Server, Clients, Drucker, etc.)
  • Telekommunikations-IT (Fax, VoIP, PBX, Hard- and Softphones, etc.)
  • Anwendungen (Web-, Client-Applications)
  • Netzwerktechnik (Firewall, IPS/IDS, Router, Switch, WLAN, Bluetooth, VPN)
  • Betriebssysteme (Windows-, Linux-, bsd-basierte bzw. unixoide wie z. B. AIX, etc.)
  • Virtualisierungslösungen, Verzeichnisdienste, Netzwerkspeicher
  • Kritische Infrastrukturen und Industrial Ethernet (OT, ICS, SCADA, PLT, PLC, SPS, DPC, RTU, Smart Meters)
  • Cloudbasierte Lösungen
  • VS-NfD- und GEHEIM-eingestufte Netze

Key Benefits.

Hohe Diskretion

Wir agieren mit größter Sorgfalt und Vertraulichkeit, die für streng geheime Umgebungen erforderlich sind. Unsere Ü3 sicherheitsüberprüften Tester bieten sichere VSA-konforme Hardwares und Prozesse an.

Anerkannte Standards

Unsere Experten tragen zur Implementierung von international standardisierten Methoden wie dem Open-Source Security Testing Methodology Manual und dem BSI-Grundschutz bei.

Individuelle Lösungsberatung

Wir legen einen starken Fokus auf die Bereitstellung von umsetzbaren Ergebnissen, die auf Ihre spezifischen Bedürfnisse zugeschnitten sind. Zudem beraten wir Sie umfassend bei der Durchführung von technischen Gegenmaßnahmen.

BSI-zertifizierter IT-Sicherheitsdienstleister

Wir genießen das volle Vertrauen des BSI und entsprechen mit unseren Dienstleistungen höchsten Qualitäts- und Sicherheitsanforderungen im Bereich IS-Penetrationstests.

Branchenerfahrung.

  • Öffentliche Verwaltung
  • Verteidigung
  • Kritische Infrastrukturen
  • Autoindustrie
  • Luftfahrt
  • Financial Services
  • Telekommunikation, Medien, Technology (TMT)
  • Gesundheitswesen
  • Handel / eCommerce

Anwendungsfälle.

Für ein nationales Fachverfahren der öffentlichen Verwaltung sollten Schwachstellen identifiziert werden. Haupt Herausforderung bei diesem Penetrationstest war es, dass die Prüfung am produktiven System erfolgte und somit ein sicherheitsüberprüftes Personal erforderte.

Im Zuge der Fortschreibung eines IT-Sicherheitskonzeptes mussten jährliche Penetrationstests und Konfigurationsaudits im Datenzentrum und anderen System erfolgen. Eingesetzte Tools waren zum Beispiel Scanner wie nmap und OpenVAS sowie Angriffswerkezeuge wie das Metasploit Framework und sqlmap neben weiteren manuellen Testmethoden. Die Ergebnisse dienten als Art Vorprüfung- bzw. Vorbereitung für eine interne Abnahmeprüfung.

Ein Penetrationstest deckte technische und organisatorische Schwachstellen auf, die ein Risiko für die Zulassung durch das Kraftfahrt-Bundesamt (KBA) dargestellt hätten. Die Mängel konnten hierdurch beseitigt und zusätzliche Sicherheitsmaßnahmen initiiert werden. Es wurde allen Mindestanforderungen entsprochen.

Unser Security-Audit-Team wurde in den Secure Software-Development-Lifecycle eines Kunden einbezogen, um das Sicherheitsniveau einer Web- und Mobile-Applikation bereits während der Entwicklung der Anwendung und Aufbau der Infrastruktur zu überprüfen und rechtzeitig zu verbessern. Systematische Konzeptanalysen, Code-Reviews und Sicherheitstests nach dem OWASP Testing-Guide wurden vor dem Release durchgeführt. Abschließend wurde ein gezielter Workshop für die Entwickler bzw. Administratoren anhand der Testergebnisse eingeleitet, um zukünftig ähnliche Schwachstellen zu vermeiden.

Eine der Kernfragen der Operational Technology ist immer, ob die technische Sicherheit einer ICS-Umgebung geprüft werden kann, ohne die Sicherheit und den normalen Betrieb zu gefährden. Aus diesem Grund wurde eine technische Sicherheitsüberprüfung der Systeme auf Level-2-Steuerungsebene nach dem Open Source Security Testing Methodology Manual (OSSTMM) durchgeführt, um sich Gewissheit zu verschaffen. Die technische Sicherheitsüberprüfung fand komplett vor-Ort statt. Es kamen sowohl manuelle als auch automatisierte Testmethoden zum Einsatz.

Im Zuge der kontinuierlichen Fortschreibung des IT-Sicherheitskonzeptes des öffentlichen Auftraggebers und der zugehörigen Überprüfung der Sicherheitsmaßnahmen werden jährliche Penetrationstests der vorhandenen Systeme durchgeführt.

Wir setzen hierfür speziell konfigurierte Auditnotebooks und ein BSI-konformes Vorgehensmodell zum Test von eingestuften Systemen ein. Als Tools wurden unter anderem passive Protokoll-Analyseprogramme (wie z. B. Wireshark), aktive Scanner (wie z. B. nmap, sslscan, ssh-audit) sowie Vulnerability Scanner (wie z. B. Nessus, Burp Suite, Metasploit Framework) und manuelle Eingriffe in das System eingesetzt.

Durch die enge Zusammenarbeit mit dem Auftraggeber und den Systemnutzern und Administratoren sowie unserer leistungsfähigen Testlösung für eingestufte Systeme, konnte die Sicherheit des Systems bestätigt werden.

Aktuelles.

infodas unterstützt FRONTEX mit Cybersecurity-Lösungen

Die INFODAS GmbH, ein Airbus Tochterunternehmen, spezialisiert auf Cyber und IT, hat ein wichtiges Integrationsprojekt zur Bereitstellung von Cybersecurity-Lösungen für FRONTEX, die Europäischen Agentur für die Grenz- und Küstenwache, abgeschlossen…