Leistungen
Folgend ein kurzer Überblick über unsere Kerntätigkeiten.
Applikations-Pentesting
Pentests von Web- und Mobilanwendungen – inklusive des dahinterstehenden ...
Pentests von Web- und Mobilanwendungen – inklusive des dahinterstehenden Backends – zielen darauf ab, bestehende Schwachstellen identifizieren und gezielte Empfehlungen für ihre Behebung geben zu können. Die Tests werden in Form vom klassischen White-Box Test mit Code-Audits oder als Black-Box Test (“zero-knowledge”) durchgeführt.
Cloud-Pentesting
Komplexe Cloud-Infrastrukturen in Amazon Web Services (AWS), Microsoft Cloud ...
Komplexe Cloud-Infrastrukturen in Amazon Web Services (AWS), Microsoft Cloud (Azure / MS365) oder Google Cloud Platform (GCP) gehen oft mit neuen und teils noch unbekannten Sicherheitsherausforderungen einher. Wir identifizieren Probleme, die zu erheblichen Sicherheitsauswirkungen führen können, indem wir nicht nur spezifische Teilkomponenten, sondern auch die Art und Weise analysieren, wie Dienste und Anwendungen innerhalb des Gesamtsystems interagieren.
Wir verfolgen dafür unterschiedliche Ansätze. Beispielsweise kann über die Untersuchung der Konfiguration des Identitäts- und Zugriffsmanagements (IAM) die Fehlkonfigurationen von Berechtigungen und/oder Autorisierungen innerhalb oder über mehrere Konten hinweg aufgedeckt werden. Ein anderes Vorgehen ist, die Identifikation von Problemen in externen, öffentlich zugänglichen Web- und Netzwerkdiensten, die unbeabsichtigt sensible Informationen offenlegen oder Schwachstellen beherbergen. Ferner prüfen wir interne Cloud-Netzwerkarchitekturen darauf, inwiefern sie gegen unbefugtes Eindringen und Rechte-Erweiterungen geschützt sind.
Red-Teaming
Red-Team-Übungen simulieren reale Cyber-Angriffe (z.B. Ransomware) und geben ...
Red-Team-Übungen simulieren reale Cyber-Angriffe (z.B. Ransomware) und geben Ihnen so die Möglichkeit, die Verteidigungs- und Überwachungsfähigkeiten Ihres Systems zu bewerten. Außerdem zeigen wir geeignete Gegenmaßnahmen auf, um bestehende Schwachstellen zu addressieren und die Widerstandsfähigkeit des Systems zu erhöhen. Nach Abschluss der Simulation zeigen wir in einem detaillierten Bericht die wesentlichsten konzeptionellen und systematischen Schwachstellen auf, um Ihnen zu helfen, diese zu verstehen.
Bei Red-Team-Übungen – auch “Adversial Attack Simulation” oder “Red-Teaming” genannt – geht es im Gegensatz zu herkömmlichen Schwachstellen-Analysen oder typischen Pentests nicht darum, möglichst viele Schwachstellen und Fehlkonfigurationen zu finden, sondern darum, in einer bestimmten Zeit den möglichst höchst privilegierten Zugang oder bestimmte Ziele in einer Organisation zu erreichen. Der Angriffspfad ist dabei das entscheidende Lernelement für das Sicherheitsteam eines Unternehmens, da er ein besseres Verständnis ihres Sicherheitsstatus ermöglicht.
Die Übung beginnt mit einer Analyse der Angriffsfläche, gefolgt von externen und internen Penetrationstests des Netzwerks. Nach erfolgreichem Zugang zum internen Netzwerk werden verschiedene Techniken für laterale Bewegungen innerhalb des Netzwerks eingesetzt, um die kritischen Objekte einer Organisation zu erreichen. Während dieses Prozesses versucht das Red Team, bestehende Firewall- und AV/EDR-Lösungen zu umgehen und den Zugang innerhalb des Netzwerks aufrechtzuerhalten. Neben klassischen Angriffen über das Netzwerk kann die Übung in Absprache mit dem Kunden auch physische Angriffe (z.B. Social Engineering vor Ort) auf eine Organisation umfassen. Interessante Ziele sind hierbei z.B. drahtlose Netzwerke einer Organisation oder deren physisches Türsicherheitssystem. Es ist auch möglich, den Umfang einer Red-Team-Übung auf eine bestimmte Teilkomponente des Systems zu beschränken.
Hardwareuntersuchung
Aufgrund des zunehmenden Vernetzungsgrades durch das Internet der Dinge (IoT) ...
Aufgrund des zunehmenden Vernetzungsgrades durch das Internet der Dinge (IoT) sind bislang isolierte Systeme anfälliger für Cyberbedrohungen geworden. Um die Sicherheit von Verbraucherinnen, Unternehmen und Industrieanlagen zu gewährleisten, ist es wichtig, dass Hardware-Systeme frühzeitig auf potenzielle Angriffsflächen und Schwachstellen überprüft werden.
Wir untersuchen ihre eigen-, aber auch fremdentwickelten Produkte auf typische Sicherheitsprobleme im Spannungsfeld zwischen Hard- und Software. Dazu gehört die Prüfung und Bewertung der Resilienz gegenüber hardwarebezogenen Angriffen mithilfe von Side-Channel- und Fault-Injection-Techniken sowie der Integrität von Kommunikationsprotokollen, Datenschutz- und Boot-Vorgängen. Wir unterstützen Kundinnen aus verschiedenen Branchen von Consumer-Elektronik über Medizintechnik bis Maschinenbau.
Softwareuntersuchung
Regelmäßige, in den Entwicklungsprozess eingebundene Code Reviews sind ein ...
Regelmäßige, in den Entwicklungsprozess eingebundene Code Reviews sind ein wichtiges Instrument zur Gewährleistung eines hohen Sicherheitsniveaus von Software-Systemen. Wir schauen mit frischem und geschultem Blick auf Ihre Projekte, um sicherheitsrelevante Fehler und daraus resultierende Verwundbarkeiten zu erkennen und Lösungsstrategien zu ihrer Beseitigung zu empfehlen. Ein Review ist auch dann sinnvoll, wenn von extern eingekaufte oder aus Open-Source-Projekten übernommene Software in die eigenen Systeme integriert werden soll. Steht der Source-Code nicht zur Verfügung, ist eine Analyse in Binärform möglich, bei der verschiedene Techniken des Reverse Engineering zum Einsatz kommen.
Design- & Konzeptberatung
Eine Design- und Konzeptberatung dient der frühzeitigen Problemanalyse und ...
Eine Design- und Konzeptberatung dient der frühzeitigen Problemanalyse und -behebung vor und während unterschiedlicher Projektphasen und findet üblicherweise vor dem Pentest statt. Mit ihr werden verschiedene Bedrohungsanalysen und Risikomodelle erstellt, deren Ergebnisse schon im Entwicklungsprozess berücksichtigt werden können. Wir erarbeiten für Sie außerdem effiziente, individuelle und angemessene Gegenmaßnahmen und unterstützen Sie bei der Evaluierung und dem Design von Schutzmechanismen.
Auf Wunsch entwickeln wir auch Verfahren oder Werkzeuge, um gefundene und vor allem neuartige Schwachstellen zu beweisen bzw. zu demonstrieren (“Proof-of-Concepts”). Solche Werkzeuge können software- als auch hardwarebasiert sein.
Weitere Expertise
Wenden Sie sich auch gern an uns, wenn der Service, den Sie suchen, nicht unter unseren Kernkompetenzen gelistet ist. Unser Team bildet sich stetig weiter und stellt sich gern neuen, komplexen Herausforderungen. Ferner empfehlen und vermitteln wir Ihnen gern geeignete Expertinnen aus unserem weitläufigen Netzwerk.
Kontaktmöglichkeiten
Folgend ein kurzer Überblick über unsere Kerntätigkeiten.
Applikations-Pentesting
Pentests von Web- und Mobilanwendungen – inklusive des dahinterstehenden ...
Applikations-Pentesting
Pentests von Web- und Mobilanwendungen – inklusive des dahinterstehenden Backends – zielen darauf ab, bestehende Schwachstellen identifizieren und gezielte Empfehlungen für ihre Behebung geben zu können. Die Tests werden in Form vom klassischen White-Box Test mit Code-Audits oder als Black-Box Test (“zero-knowledge”) durchgeführt.
Cloud-Pentesting
Komplexe Cloud-Infrastrukturen in Amazon Web Services (AWS), Microsoft Cloud ...
Cloud-Pentesting
Komplexe Cloud-Infrastrukturen in Amazon Web Services (AWS), Microsoft Cloud (Azure / MS365) oder Google Cloud Platform (GCP) gehen oft mit neuen und teils noch unbekannten Sicherheitsherausforderungen einher. Wir identifizieren Probleme, die zu erheblichen Sicherheitsauswirkungen führen können, indem wir nicht nur spezifische Teilkomponenten, sondern auch die Art und Weise analysieren, wie Dienste und Anwendungen innerhalb des Gesamtsystems interagieren.
Wir verfolgen dafür unterschiedliche Ansätze. Beispielsweise kann über die Untersuchung der Konfiguration des Identitäts- und Zugriffsmanagements (IAM) die Fehlkonfigurationen von Berechtigungen und/oder Autorisierungen innerhalb oder über mehrere Konten hinweg aufgedeckt werden. Ein anderes Vorgehen ist, die Identifikation von Problemen in externen, öffentlich zugänglichen Web- und Netzwerkdiensten, die unbeabsichtigt sensible Informationen offenlegen oder Schwachstellen beherbergen. Ferner prüfen wir interne Cloud-Netzwerkarchitekturen darauf, inwiefern sie gegen unbefugtes Eindringen und Rechte-Erweiterungen geschützt sind.
Red-Teaming
Red-Team-Übungen simulieren reale Cyber-Angriffe (z.B. Ransomware) und geben ...
Red-Teaming
Red-Team-Übungen simulieren reale Cyber-Angriffe (z.B. Ransomware) und geben Ihnen so die Möglichkeit, die Verteidigungs- und Überwachungsfähigkeiten Ihres Systems zu bewerten. Außerdem zeigen wir geeignete Gegenmaßnahmen auf, um bestehende Schwachstellen zu addressieren und die Widerstandsfähigkeit des Systems zu erhöhen. Nach Abschluss der Simulation zeigen wir in einem detaillierten Bericht die wesentlichsten konzeptionellen und systematischen Schwachstellen auf, um Ihnen zu helfen, diese zu verstehen.
Bei Red-Team-Übungen – auch “Adversial Attack Simulation” oder “Red-Teaming” genannt – geht es im Gegensatz zu herkömmlichen Schwachstellen-Analysen oder typischen Pentests nicht darum, möglichst viele Schwachstellen und Fehlkonfigurationen zu finden, sondern darum, in einer bestimmten Zeit den möglichst höchst privilegierten Zugang oder bestimmte Ziele in einer Organisation zu erreichen. Der Angriffspfad ist dabei das entscheidende Lernelement für das Sicherheitsteam eines Unternehmens, da er ein besseres Verständnis ihres Sicherheitsstatus ermöglicht.
Die Übung beginnt mit einer Analyse der Angriffsfläche, gefolgt von externen und internen Penetrationstests des Netzwerks. Nach erfolgreichem Zugang zum internen Netzwerk werden verschiedene Techniken für laterale Bewegungen innerhalb des Netzwerks eingesetzt, um die kritischen Objekte einer Organisation zu erreichen. Während dieses Prozesses versucht das Red Team, bestehende Firewall- und AV/EDR-Lösungen zu umgehen und den Zugang innerhalb des Netzwerks aufrechtzuerhalten. Neben klassischen Angriffen über das Netzwerk kann die Übung in Absprache mit dem Kunden auch physische Angriffe (z.B. Social Engineering vor Ort) auf eine Organisation umfassen. Interessante Ziele sind hierbei z.B. drahtlose Netzwerke einer Organisation oder deren physisches Türsicherheitssystem. Es ist auch möglich, den Umfang einer Red-Team-Übung auf eine bestimmte Teilkomponente des Systems zu beschränken.
Hardwareuntersuchung
Aufgrund des zunehmenden Vernetzungsgrades durch das Internet der Dinge (IoT) ...
Hardwareuntersuchung
Aufgrund des zunehmenden Vernetzungsgrades durch das Internet der Dinge (IoT) sind bislang isolierte Systeme anfälliger für Cyberbedrohungen geworden. Um die Sicherheit von Verbraucherinnen, Unternehmen und Industrieanlagen zu gewährleisten, ist es wichtig, dass Hardware-Systeme frühzeitig auf potenzielle Angriffsflächen und Schwachstellen überprüft werden.
Wir untersuchen ihre eigen-, aber auch fremdentwickelten Produkte auf typische Sicherheitsprobleme im Spannungsfeld zwischen Hard- und Software. Dazu gehört die Prüfung und Bewertung der Resilienz gegenüber hardwarebezogenen Angriffen mithilfe von Side-Channel- und Fault-Injection-Techniken sowie der Integrität von Kommunikationsprotokollen, Datenschutz- und Boot-Vorgängen. Wir unterstützen Kundinnen aus verschiedenen Branchen von Consumer-Elektronik über Medizintechnik bis Maschinenbau.
Softwareuntersuchung
Regelmäßige, in den Entwicklungsprozess eingebundene Code Reviews sind ein ...
Softwareuntersuchung
Regelmäßige, in den Entwicklungsprozess eingebundene Code Reviews sind ein wichtiges Instrument zur Gewährleistung eines hohen Sicherheitsniveaus von Software-Systemen. Wir schauen mit frischem und geschultem Blick auf Ihre Projekte, um sicherheitsrelevante Fehler und daraus resultierende Verwundbarkeiten zu erkennen und Lösungsstrategien zu ihrer Beseitigung zu empfehlen. Ein Review ist auch dann sinnvoll, wenn von extern eingekaufte oder aus Open-Source-Projekten übernommene Software in die eigenen Systeme integriert werden soll. Steht der Source-Code nicht zur Verfügung, ist eine Analyse in Binärform möglich, bei der verschiedene Techniken des Reverse Engineering zum Einsatz kommen.
Design- & Konzeptberatung
Eine Design- und Konzeptberatung dient der frühzeitigen Problemanalyse und ...
Design- & Konzeptberatung
Eine Design- und Konzeptberatung dient der frühzeitigen Problemanalyse und -behebung vor und während unterschiedlicher Projektphasen und findet üblicherweise vor dem Pentest statt. Mit ihr werden verschiedene Bedrohungsanalysen und Risikomodelle erstellt, deren Ergebnisse schon im Entwicklungsprozess berücksichtigt werden können. Wir erarbeiten für Sie außerdem effiziente, individuelle und angemessene Gegenmaßnahmen und unterstützen Sie bei der Evaluierung und dem Design von Schutzmechanismen.
Auf Wunsch entwickeln wir auch Verfahren oder Werkzeuge, um gefundene und vor allem neuartige Schwachstellen zu beweisen bzw. zu demonstrieren (“Proof-of-Concepts”). Solche Werkzeuge können software- als auch hardwarebasiert sein.
Weitere Expertise
Wenden Sie sich auch gern an uns, wenn der Service, den Sie suchen, nicht unter unseren Kernkompetenzen gelistet ist. Unser Team bildet sich stetig weiter und stellt sich gern neuen, komplexen Herausforderungen. Ferner empfehlen und vermitteln wir Ihnen gern geeignete Expertinnen aus unserem weitläufigen Netzwerk.
Kontaktmöglichkeiten