infodas > Dienstleistungen > Ethical Hacking / Pentesting

Ethical Hacking | Security Testing | Pentesting

Wie wirksam ist Ihr Cybersicherheitskonzept?

 

“Sie können verhindern, dass Ihr Gegner sie besiegt, wenn Sie sich verteidigen. Aber Sie können ihn nur besiegen, wenn Sie in die Offensive gehen.”

Sun Tzu

 

Unsere Mitarbeiterinnen und Mitarbeiter kennen die gängigen Penetrationstest-Standards in- und auswendig – auch weil sie bei der Gestaltung aktiv beteiligt waren. Sie garantieren Sorgfältigkeit, Reproduzierbarkeit und Transparenz bei unseren Projekten. Wir kombinieren diese mit Kreativität und durchschnittlich über 10 Jahren Erfahrung als Ethical Hacker mit zahlreichen Zertifikaten.

So testen Sie die Stärken und Schwächen Ihrer IT / OT und Organisation

  • Incident Response
  • Red Teaming
  • Blackbox, Greybox, Whitebox Security Audits and Pentests
    OSSTMM, OWASP, BSI, PCI-DSS, NIST 800-115, ISO/IEC 27002, 27008:2019
  • Web Application Tests
    OWASP
  • IS-Webchecks
    BSI
  • ICS / SCADA Testing
    TeleTrust IEC 62443-4-2
  • Configurationaudit
  • Vulnerability Assessments

Das prüfen wir

  • Office IT
    Drucker Fax, Telefon (VoIP, PBX, Hard- & Soft)
  • Web / Client Applikationen
  • Netzwerke (FW, IPS/IDS, Router, Switch, WLAN, Bluetooth, VPN)
  • Server (Win, Linux, AIX, Unix, Mac OS X)
  • Virtualisierung, Active Directory, NAS
  • OT, ICS, SCADA, PLT, PLC, SPS, DPC, RTU
  • Smart Meter Gateway Penetrationstests (BSI TR 03109-6 & TR 03145-1)
  • Penetrationstests nach den MSADP für i-Kfz Lösungen
  • Ethernet basierte Industrieprotokolle
    TCP/IP, Modbus TCP/IP, LON, LONTalk, BACnet, PROFIBUS, PROFINET, Modbus/ASCII, RTU, TCP; CAN, EtherCAT, CIP, Ethernet Powerlink, S-BUS, Ether-S-Bus, #Ether-S-I/o, KNX(EIB), KNXnet/Ip (EIBnet/IP), HART, HART-IP, OMRON-FINS

 

 

Sie hatten einen Sicherheitsvorfall
oder möchten Ihre Cybersicherheit testen?

Kontaktieren Sie uns.

 

 

Branchenerfahrung

  • Öffentliche Verwaltung
  • Verteidigung
  • Kritische Infrastrukturen
  • Automotive
  • Airlines
  • Financial Services
  • Telekommunikation, Medien, Technology (TMT)
  • Gesundheitswesen
  • Handel / eCommerce

Praxisbeispiele

 

IS Audit Fachverfahren – Behörde mit besonderen Sicherheitsaufgaben

Für ein nationales Fachverfahren der öffentlichen Verwaltung sollten Schwachstellen identifiziert werden. Hauptherausforderung bei diesem Penetrationstest war es, dass die Prüfung am produktiven System erfolgte und somit ein sicherheitsüberprüftes Personal erforderte.

Penetrationstest – Verteidigung

Im Zuge der Fortschreibung eines IT-Sicherheitskonzeptes müssen jährliche Penetrationstests im Datenzentrum und anderen System erfolgen. Eingesetzte Tools waren z.B. Portscanner wie Nmap sowie Angriffswerkzeuge wie OpenVAS, Metasploit Framework und weitere.

IS-Penetrationstest – Betreiber dezentraler Portale für i-Kfz-Zulassungen

Ein Penetrationstest deckte technische und organisatorische Schwachstellen auf, die ein Risiko für die Zulassung durch das KBA dargestellt hätten. Die Mängel konnten hierdurch beseitigt und zusätzliche Sicherheitsmaßnahmen initiiert werden. Es konnte allen Mindestanforderungen entsprochen werden.

Incident Response / OSSTMM-Audit – Gesundheitswesen

Incident Response nach Schadcodebefall im NAS. Nach der forensischen Untersuchung und Behebung, wurde anhand unterschiedlicher Protokolle und Monitoring-Logs einer Ursachenanalyse durchgeführt. Anschließend wurden aller IT-Systeme in den betroffenen Netzsegment durch einen Penetrationstest auf Sicherheit geprüft.

WLAN-Audit – B2C Kunde

Gegenstand des Sicherheitstests war die Erfassung und Überprüfung aller WLAN-Netze beim Kunden. Insbesondere wurde ein Vergleich durchgeführt, um nicht autorisierte Access Points zu identifizieren und zu lokalisieren.

 

Häufige Fragen und Antworten

White Hat oder Ethical Hacking sind Begriffe, die eine autorisierte Methode zur Identifizierung potenzieller Bedrohungen und Schwachstellen in einer Anwendung, einem System oder der Infrastruktur eines Unternehmens beschreiben. Ein Ethical Hacker umgeht die implementierten Sicherheitsvorkehrungen eines Zielobjekts und sucht nach Schwachstellen, die von kriminellen Hackern ausgenutzt werden könnten. Dazu greift er auf seine Expertise und persönlichen Fähigkeiten zum Thema IT-Security zurück, so wie es auch kriminelle oder Black Hat Hacker regelmäßig tun. Diese daraus hervorgehenden Informationen werden dann verwendet, um die Sicherheit des Systems oder Netzwerks zu verbessern und denkbare Angriffsvektoren zu vermeiden. Das Berufsbild White Hat Hacker entwickelte sich mit der zunehmenden Cyberkriminalität. Ethical Hacker durchlaufen meist eine mehrjährige Berufsausbildung.

Ethische Hacker müssen eine Reihe von Regeln befolgen, um sich von ihrem Gegenpart, dem Black Hat Hacker, abzugrenzen:

  • Sie haben den konkreten Auftrag, ein Netzwerk zu untersuchen und dabei potenzielle Sicherheitsrisiken zu identifizieren.
  • Soweit möglich: Respekt vor der Privatsphäre von Einzelnen und des Unternehmens.
  • Ethical Hacker beenden ihren Auftrag Vorschriftenkonform und lassen keine Sicherheitslücken offen, die ein Angreifer später ausnutzen könnte.
  • Sie fertigen einen Bericht an und informieren den Kunden, und wenn möglich, den Softwareentwickler oder Hardwarehersteller über alle Sicherheitslücken, die sie in der Soft- oder Hardware finden.

Für gewöhnlich sind Ethical Hacker im Kundenauftrag von Organisationen, Regierungen und Unternehmen (privater und öffentlicher Sektor) auf der Suche nach Lücken in der IT-Sicherheit. Besonders oft werden White Hat Hacker als Penetration Tester eingesetzt. Beim Pentesting dringt der Ethical Hacker gezielt in ein Netzwerk ein, nutzt die vorhandenen Angriffsvektoren und zeigt Lösungsmöglichkeiten für eine Verbesserung der Sicherheit auf (zum Beispiel in IT-Systemen oder OT-Umgebungen). Bei Penetrationstests werden Systeme und Netzwerke oft speziell dahingehend überprüft, ob ein Angreifer eine Hintertür beziehungsweise Backdoor bauen kann, um sensible Firmendaten nach außen zu schmuggeln.

Häufig ist ein IT-System zwar sicher, doch verantwortliche Mitarbeitende können durch geschickte Angriffstaktiken zum Sicherheitsrisiko werden. Hier sind Awareness Schulungen für Mitarbeitende, besonders im Bereich Kritischer Infrastrukturen, nötig.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Konzept zur Durchführung von Penetrationstests vorgelegt, welches White Hat Hackern Richtlinien für sicheres Ethical Hacking an die Hand gibt.