Pentest, Audits bzw. IT-Sicherheitsüberprüfungen

Unser Angebot zu Grey- und Blackbox-Pentests

Bei unseren Grey- und Blackbox-Tests schauen wir uns typischerweise kurz die zu überprüfende Umgebung an. Daraus ergibt sich unser Angebot, das eine Vorab­planung sowie eine Aufwandsschätzung beinhaltet, die sich in der Regel als zu­treffend erweist. So wissen Sie, welche Arbeitspositionen und welche Unter­suchungs­tiefe Sie erwarten können – und werden nicht mit einem günstigen Angebot gelockt, was später revidiert wird.
   Dieses Angebot ist in der Regel kostenlos.

Wir bieten Pentests/Audits/IT-Sicherheitsüberprüfungen für folgende Kontexte an:

• Jedwede Art von Webanwendungen
• APIs
• Container-Umgebungen, mit oder ohne Orchestrierung
• Cloud-Umgebungen
• Breitflächige Netz-Scans (LAN, DMZ)
• Einzelne oder mehrere Unix- und Windows-Systeme
• Mobile Anwendungen (Android)
• Embedded Linux

Unser Pentest/Audit ist eine Beratungsleistung

Grundsätzlich ist für uns ein Pentest / Audit/ IT-Sicherheitsüberprüfung eine Beratungsleistung. Wir überlassen nichts einem Tool, sondern unserer langjährigen Erfahrung, kritischen Augen, Expertenwissen und Kreativitat.   Vollautomatisierte Scans sollten allenfalls bei einer Masse von Applikationen eingesetzt und als eine Baseline verstanden werden – automatisiert findet ein Tool bei einer Webapplikation je nach Tool und Schwachstelle nur zirka 10-60%. Eine Verifizierung der Findings und eine Risikoabschätzung im Kontext muss in jedem Fall ein Mensch durchführen. Wir arbeiten mit einer Reihe von Werkzeugen. Dies sind freie Tools, wenige kommerzielle Programme, die als verlängerter Arm eingesetzt werden sowie viele im Laufe der Zeit selbstgeschriebene Helferlein, die entweder eigenständige Aufgaben erledigen (wie testssl.sh oder andere einzelne abzuprüfende Punkte eines Testplans automatisieren. Zu vielen weiteren Open-Source-Tools haben wir Beiträge geleistet, darunter einige Scanner und OWASP-Projekte wie den OWASP Top 10 und den OWASP Docker Top 10. Die Vorgehensweise orientiert sich am OWASP Testing Guide (Webapplikationen) sowie am Durchführungskonzept für Penetrationstests vom BSI.

Wie sieht der Report aus?

Nach Abschluss der Arbeiten bekommen Sie von uns einen individuellen, passend gegliederten, umfassenden manuell angefertigten Report in gutem Deutsch, oder wenn gewünscht in gutem Englisch, der folgendes umfasst:

• Nachvollziehbare, reproduzierbare Findings, bei API/Webapps detailliert fúr Entwickler
• Analyse und Bewertung der aufgedeckten technischen Schwachstellen
• Findings sind geordnet bzw. priorisiert nach technischem Risiko
• Ohne falsch-positive Befunde, da sorgsam überprüft und ausgesiebt
• Optional: Empfehlungen zur Beseitigung oder Mitigierung der Findings
• Optional: Management-Summary: Risiken verständlich formuliert, i.d.R. tabellarisch dargestellt, grafische Aufbereitung.

Der Technical Summary wendet sich an die technischen Mitarbeiter. Dieser sollte sie mit den ausführlichen Erläuterungen in die Lage versetzen, nicht nur ein komplettes Bild zu bekommen, sondern nicht selten sind einige Findings auf dieselben Ursachen zurückzuführen. Der optionale Management Summary würde auch derartige durchscheinende Schemata für die Leitungsebenen näher erläutern. Grundsätzlich fasst dieser in möglichst wenig technischen Termini, die den Findings zugrundeliegenden technischen Risiken mit Grafiken und Tabellen zusammen. Sofern ersichtlich oder erforderlich sind Tipps zur nachhaltigen Steuerung der Informationssicherheit enthalten. Im Rahmen einer Ergebnispräsentation können wir die Findings gerne gemeinsam diskutieren – online oder vor Ort.

Gerne beantworten wir Ihnen weitere Fragen, oder kontaktieren Sie uns einfach für ein Angebot! Auch wenn es nicht zu einer Zusammenarbeit kommt: Es bleibt vertraulich.