• Pentest
  • Scope
  • Prüfumfang
  • Add-Ons
  • Informationen
  • Ihr Angebot

Web-Anwendungen

Der „Penetrationstest von Web-Anwendungen“ beinhaltet eine umfassende Sicherheitsanalyse der Zielapplikation auf Netzwerk- und Anwendungsebene.

Mehr Info

Unsere Tests auf Netzwerkebene beinhalten einen automatisierten Schwachstellenscan, sowie eine manuelle Analyse aller vom Anwendungsserver bereitgestellten Netzwerkdienste aus der Perspektive eines externen Angreifers (black-box). Die Tests auf Anwendungsebene werden mit einem semi-manuellen Ansatz mit und ohne gültige Nutzerzugangsdaten (grey-box) durchgeführt.

Schließen
Paket 1 - Application Penetrationtest Micro
Paket 1 - Application Penetrationtest Micro
€ 2.400,00
Paket 2 - Application Penetrationtest
Paket 2 - Application Penetrationtest
€ 6.000,00
Paket 3 - Application Penetrationtest Plus
Paket 3 - Application Penetrationtest Plus
€ 12.000,00

Öffentlich erreichbare IT-Infrastruktur

Der „Penetrationstest der öffentlich erreichbaren Systeme“ beinhaltet eine Sicherheitsanalyse aller Ihrer aus dem Internet erreichbaren Systeme, aus der Perspektive eines externen Angreifers. 

Wieviele Systeme/IP Adressen befinden sich im Umfang der Tests?

Mehr Info

Unsere Tests beinhalten einen automatisierten Schwachstellenscan, sowie eine manuelle Analyse der aktiven Netzwerkdienste aller im Projektumfang definierten Systeme. Ziel unserer Tests ist es, eine Aussage über die potenzielle Gefahr eines Angriffs, auf Ihre externe IT-Infrastruktur machen zu können.

Unser Basisprüfprogramm für die Prüfung Ihrer öffentlich erreichbaren IT-Infrastruktur beinhaltet folgende Dienstleistungen:

  • Einen automatisierten Schwachstellenscan der öffentlich ertreichbaren IT-Infrastruktur
  • Eine manuelle Analyse der aktiven Netzwerkdienste
  • Verifizierung aller identifizierten Schwachstellen
  • Ausnutzung von Schwachstellen (nach Absprache mit Ihnen)
  • Dokumentation aller Findings im Abschlussbericht und Maßnahmenkatalog
Schließen
Systeme
€ 3.200,00

Interne IT-Infrastruktur

Der „Penetrationstest der internen IT-Infrastruktur“, beinhaltet eine Sicherheitsanalyse der internen IT-Infrastruktur aus der Perspektive eines internen Angreifers. 

Wieviele Systeme/IP Adressen befinden sich im Umfang der Tests?

Mehr Info

Wir führen einen automatisierten Schwachstellenscan, sowie eine manuelle Analyse der aktiven Netzwerkdienste durch. Ziel unserer Tests ist es, eine Aussage über die potentielle Gefahr von Angriffen auf Ihre internen IT-Infrastrukturkomponenten machen zu können. Die Durchführung unserer Tests hat keine Auswirkungen auf die Verfügbarkeit der im Projektumfang definierten Systeme.

Unser Basisprüfprogramm für die Prüfung der internen IT-Infrastruktur beinhaltet folgende Dienstleistungen:

  • Einen automatisierten Schwachstellenscan der internen Infrastruktur
  • Eine manuelle Analyse der aktiven Netzwerkdienste
  • Verifizierung aller identifizierten Schwachstellen
  • Ausnutzung von Schwachstellen (nach Absprache mit Ihnen)
  • Dokumentation aller Findings im Abschlussbericht und Maßnahmenkatalog
Schließen
Systeme
€ 3.200,00

Mobile Application Pentest

Im Rahmen der Sicherheitsanalyse führen wir einen Mobile-Application Penetrationtest der von Ihnen bereitgestellten App durch.
Wählen Sie eines der unten aufgelisteten mobilen Betriebssysteme:

Mehr Info

Projektumfang

Die App wird zunächst in einer statischen Analyse außerhalb der Laufzeit auf Schwachstellen überprüft. Hierbei wird mithilfe von Decompilern und Debuggern versucht die Anwendungslogik nachzuvollziehen, um Schwachstellen zu identifizieren.

Unsere dynamischen Tests werden zur Laufzeit der App durchgeführt. Dabei wird unter anderem die Kommunikation der Mobile App mit dem Applikationsserver analysiert, um potentielle Schwachstellen im Back-End zu identifizieren. Weiterhin führend wir einen automatisierten Schwachstellenscan, sowie eine manuelle Analyse der bereitgestellten Netzwerkdienste des Applikationsserver durch.

Für unseren Mobile-Application Penetrationtest führen wir alle Tests, die im OWASP Mobile Testing Guide beschrieben sind, durch. Der Fokus liegt auf der Identifikation von Schwachstellen in der OWASP Mobile Top 10, unter anderem:

  • Unsachgemäße Nutzung der Plattform
  • Unsichere Datenspeicherung
  • Unsichere Kommunikation
  • Unsichere Authentifizierung
  • etc.
Schließen
Mobile App (iOS)
Mobile App (iOS)
€ 6.000,00
Mobile App (iOS + Android)
Mobile App (iOS + Android)
€ 9.600,00
Mobile App (Android)
Mobile App (Android)
€ 6.000,00

API-Schnittstelle

Webservices, auch Application Programming Interfaces (APIs) genannt, gehören heutzutage zum Standardrepertoir vieler Unternehmen. API-Schnittstellen werden hierbei für die Bearbeitung und den Austausch von Daten verwendet und für Web-Anwendungen, Mobile Apps sowie Anwendungen von Drittanbietern zur Verfügung gestellt.

Mit der Beauftragung eines API-Penetrationstests führen wir eine Sicherheitsanalyse, der von Ihnen im Projektumfang definierten API-Schnittstelle (z.B. SOAP oder REST), auf Netzwerk- und Anwendungsebene durch.

Mehr Info

Unsere Tests auf Netzwerkebene beinhalten einen automatisierten Schwachstellenscan sowie eine manuelle Analyse aller vom Anwendungsserver bereitgestellten Netzwerkdienste aus der Perspektive eines externen Angreifers (black-box).
Die Tests auf Anwendungsebene werden in einem semi-manuellen Ansatz mit sowie ohne gültige Nutzerzugangsdaten (grey-box) durchgeführt.

Um den Test so effizient wie möglich durchführen zu können, benötigen wir eine von Ihnen bereitgestellte Schnittstellen-Dokumentation des zu testenden Web-Services.

 

Schließen
Paket 1 - API Penetrationtest Micro
Paket 1 - API Penetrationtest Micro
€ 2.400,00
Paket 2 - API Penetrationtest
Paket 2 - API Penetrationtest
€ 6.000,00
Paket 3 - API Penetrationtest Plus
Paket 3 - API Penetrationtest Plus
€ 12.000,00

Active Directory Sicherheitsanalyse

Bei der Konfiguration, Portierung oder dem Betrieb von Active Directory Verzeichnissen kommt es häufig zu Fehlkonfigurationen. Diese können dazu führen, dass interne Angreifer unerlaubt auf Ihre Systeme, Dienste oder Ressourcen zugreifen können. Bereits kleinere Fehler in der Handhabung von Active Directory können weitreichende Folgen haben und Sicherheitsschwachstellen für ein Unternehmen verursachen. Insbesondere bei gewachsenen Strukturen und vielen Objekten können Risiken, bspw. durch die Verschachtelung von Gruppen, entstehen. Ihre Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit können hierdurch beeinträchtigt werden.

Mit der Beauftragung einer Active Directory Sicherheitsanalyse analysieren unsere Sicherheitsexperten Ihren Active Directory Verzeichnisdiensts von Microsoft auf Fehlkonfigurationen und vorhandene Schwachstellen.

Mehr Info

Während des Penetrationstests werden unter anderem folgende Basisüberprüfungen durchgeführt:

  • Überprüfung der Active Directory-Konfiguration
  • Überprüfung der verwendeten Gruppenrichtlinien
  • Identifikation von sensitiven Gruppen
  • Überprüfung der Benutzer auf kritische Berechtigungen und Konfigurationen
  • Unsichere Abspeicherung sensitiver Daten
  • Inaktive Benutzerkonten und Systeme
  • Unsichere Passwortrichtlinie
  • Kerberos-Konfiguration
  • Unbekannte Domänen
  • Unsichere Authentifizierungmechanismen
  • Fehlkonfigurationen in den Gruppenrichtlinien
  • Netzwerkbasierte Schwachstellen

Alle identifizierten Schwachstellen werden inkl. unserer Empfehlungen zur Behebung im Abschlussbericht für Sie dokumentiert.

Schließen
Domäne(n)
€ 0,00

Active Directory Passwort-Audit

Active Directory für Windows-basierte Netzwerke ist eines der meist verbreitesten und im Einsatz befindlicher Verzeichnisdienste des Herstellers Microsoft. Für viele Unternehmen stellt es die zentrale Benutzerverwaltung sowie IT-Struktur der Organisation dar. Es beinhaltet ferner viele wichtige Informationen wie Authentifizierungsmerkmale und Berechtigungskonzepte für Benutzer, Objekte und Systeme.

Bei einem Active Directory Passwort Audit extrahieren wir die Passwort-Hashes aller Benutzer Ihrer Active Directory Domäne(n) ohne Benutzerkontext (anonymer Passwort-Audit). Anschließend versuchen wir, diese Passwort-Hashes mithilfe von frei verfügbaren Passwortlisten und anderen Cracking-Methoden in ihre Klartextform zu überführen. Durch die folgende Analyse der identifizierten Klartextpasswörter werden messbare Ergebnisse zu der vorhandenen Passwortstärke in Ihrem Unternehmen geliefert.

Wie viele Active Directory Domänen Ihres Unternehmens sollen beim Test betrachtet werden?

Mehr Info

 

Weitere Informationen:

Aus einer 2017 durchgeführten Untersuchung des Hasso-Plattner-Instituts geht hervor, dass das Passwort „123456” weiterhin das beliebteste Passwort in Deutschland ist. Dies verdeutlicht, dass Menschen einfache Kennwörter bevorzugen. Für kriminelle Hacker ist es sehr einfach, Benutzerkonten mit schwachen Passwörtern zu kompromittieren, um diese später für weitere Angriffe, wie bspw. die Exfiltration sensitiver Informationen, zu verwenden.
Aus diesem Grund wird es immer wichtiger, die Systeme mit komplexen Passwörtern zu schützen. Aber nur, wer sich der aktuellen Passwort-Situation im Unternehmen bewusst ist, kann entsprechende Gegenmaßnahmen planen bzw. die Einhaltung dieser Kontrollieren.

Schließen
Domäne(n)
€ 0,00

OpenSAMM Reifegradprüfung

Die „OpenSAMM Reifegradprüfung“ beinhaltet eine umfassende Analyse und Reifegradprüfung der in Ihrem Unternehmen vorherschenden Strategie für Software-Sicherheit.

Mehr Info

Anhand des Software Assurance Maturity Model (SAMM) der OWASP analysieren unsere professionellen Penetrationstester die implementierten Maßnahmen zur sicheren Software-Entwicklung in Ihrem Unternehmen. Hierbei können Schwachstellen in der Formulierung und Umsetzung der Firmenstrategie identifiziert werden, sodass diese von Grund auf behoben und verbessert werden können. Durch eine solide Formulierung und Umsetzung einer Software-Sicherheits-Strategie können Schwachstellen bereits vor ihrer Entstehung effektiv unterbunden werden und zukünftige Schwachstellen präventiv vermieden werden.

Gemeinsam helfen wir Ihnen, das Thema "Sichere Entwicklung" von Grund auf in Ihre Organisation einzuführen bzw. bereits vorhandene Strategien bewerten und verbessern zu können.

Schließen
Kleinunternehmen
Kleinunternehmen
€ 3.999,00
Mittelgroßes Unternehmen
Mittelgroßes Unternehmen
€ 5.999,00
Großunternehmen
Großunternehmen
€ 8.999,00

Evil Employee

Der szenariobasierte Test „Evil Employee" beinhaltet eine umfassende Sicherheitsanalyse eines von Ihnen bereitgestellten Firmen-Notebooks. Das Notebook wird vor unseren Tests neu installiert und auf die gleiche Konfiguration wie ein übliches Notebook, welches an einen neuen Mitarbeiter Ihres Unternehmens übergeben wird, eingestellt.

Der Fokus unserer Sicherheitsanalyse liegt in der Identifikation vonSchwachstellen, welche von einem Angreifer zur Erweiterung seiner Rechte ausgenutzt werden könnten. Der Penetrationstest simuliert demnach einen internen Mitarbeiter mit bösen Absichten, der versucht, sich im Firmennetzwerk unerlaubt auszubreiten bzw. seine eingeschränkten Berechtigungen auszuweiten.

Mehr Info

Die folgenden Themen stehen im Fokus unserer Sicherheitsanalyse:

  • Patch-Management
  • Sicherheitsanalyse der Konfiguration von Systemdiensten
  • Sicherheitsanalyse von Registry-Einträgen
  • Sicherheitsanalyse von geplanten Aufgaben
  • Identifikation von Möglichkeiten zur Durchführung von DLL-Hijacking
  • Identifikation von sensitiven Zugangsdaten auf dem Dateisystem
Schließen
Evil Employee Security Assessment
Evil Employee Security Assessment
€ 4.800,00

Stolen Notebook

Laut dem Forschungsunternehmen Gartner wird alle 53 Sekunden ein Notebook gestohlen. Hinzu kommen Geräte, welche Mitarbeiter verlieren. Der materielle Verlust ist für Unternehmen oft verkraftbar, bei einem Verlust sensibler Daten sieht es hingegen anders aus. In einem szenariobasierten Testverfahren überprüfen wir, welche Auswirkungen der Verlust eines Laptops für Ihre Organisation hätte.

Mehr Info

Organisationen stellen Ihren Mitarbeitern, Praktikanten und Werkstudenten Computersysteme wie Notebooks für die Durchführung von Geschäftstätigkeiten zur Verfügung. Diese Systeme werden von der Organisation verwaltet und zumeist einer Domäne zugeordnet. Dadurch ist es möglich, eine Vielzahl von Geräten über ein zentrales Management verwalten zu können sowie Firmenrichtlinien auf alle ausgehändigten Geräte einheitlich durchzusetzen.

Hierbei werden den Angestellten lediglich die Rechte zugeteilt, welche für ihre Tätigkeitserbringung von Nöten sind. So besitzt ein normaler Mitarbeiter oder Praktikant in der Regel ein niedrig-privilegiertes Benutzerkonto und kann administrative Tätigkeiten auf dem zur Verfügung gestellten Computersystem nicht eigenständig durchführen. Ebenfalls werden Systeme durch sogenannte BIOS-Passwörter zusätzlich abgesichert, sodass böswillige Mitarbeiter oder Angreifer nicht in der Lage sind, die System-Festplatte eines Geräts auszutauschen, um das Notebook für anderweitige Zwecke zu verwenden. Im Weiteren werden die Daten auf den Notebooks durch Verschlüsselungsprimitiven wie Bitlocker oder anderer Varianten vor unbefugten Zugriffen geschützt.

Konkrete Inhalte:

  • Implementation von Multi-Faktor-Authentifizierung
  • Festplattenverschlüsselung
  • Zugriff auf das interne Unternehmensnetzwerk
  • Überprüfung von detektiven Maßnahmen
  • Überprüfung von präventiven Maßnahmen
  • Test von Reaktionsrichtlinien und Prozessen
  • Überprüfung von Datensicherung und Wiederherstellung
Schließen
Stolen Notebook Security Assessment
 	Stolen Notebook Security Assessment
€ 4.800,00

Passive Reconnaissance

Die Passive Reconnaissance wird durchgeführt, um soviele sensitive Informationen wie möglich über Ihre Organisation aus öffentlich verfügbaren Ressourcen zu extrahieren.Während dieser Phase werden keine aktiven Tests (z.B. Port- oder Schwachstellenscans) durchgeführt, sondern ausschließlich Recherchetätigkeiten mithilfe von öffentlich verfügbaren Ressourcen wie Suchmaschinen, Social-Media und Schwachstellendatenbanken.

Mehr Info

Der Schwerpunkt dieser Prüfung liegt auf der Identifizierung von Systemen, Diensten, Schwachstellen und sensitiven Informationen, von denen ein Angreifer profitieren könnte.

Dazu gehören Informationen wie:

  • Informationen über die Infrastruktur (z.B. Hosts, IP Ranges, Domains und Subdomains, DNS Records etc.)
  • Sensitive Daten, die öffentlich zugänglich sind (z.B. Konfigurationsdateien, Backups, vertrauliche Dokumente etc.)
  • Informationen über Mitarbeiter Ihrer Organisation (z.B. Benutzernamen, E-Mail Adressen, Telefonnummern, Passwortleaks, sensitive Informationen etc.)
  • Informationen über öffentlich bekannte Schwachstellen in Ihren IT-Infrastrukturkomponenten (z.B. aus Schwachstellendatenbanken)
Schließen
Passive Reconnaissance
Passive Reconnaissance
€ 3.000,00

Phishing Awareness Kampagne

Mit der Durchführung einer "Phishing Awareness Kampagne" überprüfen wir Ihr Unternehmen auf die Widerstandsfähigkeit gegenüber Phishing Angriffen sowie die Awareness Ihrer Mitarbeiter. Als Prüfergebnis erhalten Sie messbare Kennzahlen, mit welchen Sie die Awareness Ihrer Mitarbeiter einschätzen sowie die Effektivität implementierter Awareness-Schulungen in Ihrem Unternehmen verifizieren können. Die Kennzahlen umfassen unter anderem die Häufigkeit geöffneter E-Mails, die Anzahl geklickter Links oder eingegeben Daten. Die Auswertung erfolgt auf Wunsch anonym ohne Nutzerbezug und kann einen Abschlussbericht mit Management Summary enthalten.

Mehr Info

Phishing Angriffe gehören zu den häufigsten Einfallstore für Cyber-Angriffe auf Unternehmen und Privatpersonen. Hierbei nutzen Angreifer den Faktor Mensch als Sicherheitslücke aus, um Schadprogramme wie Viren oder Trojaner einzuschleußen bzw. sensitive Informationen zu exfiltrieren. Die Angriffe können hierbei in ihrer Komplexität und Zielgruppe variieren, woraufhin zwischen dem regulären Phishing und dem sogenannten "Spear Phishing" unterschieden wird. In beiden Fällen täuschen Angreifer eine valide oder authentische E-Mail vor, um das Opfer dazu zu bringen, sensitive Daten preiszugeben, Schadprogramme zu installieren oder beispielsweise Finanztransaktionen zu täten (CEO-Fraud).

Schließen
Paket 1 - Phishing Kampagne Micro
Paket 1 - Phishing Kampagne Micro
€ 3.600,00
Paket 2 - Phishing Kampagne Standard
Paket 2 - Phishing Kampagne Standard
€ 6.000,00
Paket 3 - Phishing Kampagne Plus
Paket 3 - Phishing Kampagne Plus
€ 9.600,00