Penetrationstest & Auditierung

Wir untersuchen Ihre Systeme auf Schwachstellen und helfen Ihnen diese zu schließen.


Führende Organisationen greifen auf unsere Expertise zurück

Profitieren auch Sie von unseren modernen Ansätzen aus Wirtschaft und Forschung


Der Weg zur Durchführung eines Penetrationstests

Ein Penetrationstest ist stets ein Individualprojekt. Der Weg zur Durchführung Ihres Pentests durch die AWARE7 lässt sich anhand von drei Schritten definieren.

Planung

Im ersten kostenfreien Beratungsgespräch klären wir Fragen zur Architektur, zum Umfang und zur Tiefe des Tests.

Anschließend werden die Vertragsmaterialien und die Vertraulichkeitsvereinbarung unterzeichnet. Weitere Unterlagen wie Vertragsmaterialien und die Systemfreigabe werden vor dem Beginn der Ausführung ausgetauscht.

Durchführung

Wir führen den Penetrationstest nach aktuellen Standardverfahren (OSSTMM oder dem OWASP Testing Guide) durch.

Wir testen Ihr System in vorher definierter Tiefe und Umfang. Fordern Sie unseren Technicalrider an und erfahren Sie mehr über den Ablauf der Durchführung.

Abschluss

Der Penetrationstest wird mit einer übersichtlichen und einem umfangreichen Report abgeschlossen.

Alle Informationen und Sicherheitslücken sind enthalten. Auf Wunsch wird eine Abschlusspräsentation durchgeführt. Handlungsempfehlungen und Workshops zur Vermeidung von zukünftigen Fehlern sind optional.

Unsere Mitarbeiter:innen sind durch folgende Organisationen zertifiziert


Jetzt unser Pentest Whitepaper kostenfrei herunterladen


Die Pentest Experten der AWARE7 GmbH

Das Team der AWARE7 GmbH ist auf die professionelle Durchführung von Penetrationstests spezialisiert. Die jahrelange Erfahrung der Analysten sowie die qualifizierte Aus- und Weiterbildungen eines jeden einzelnen Mitarbeiters ermöglichen das zuverlässige Auffinden von Sicherheitslücken in Ihren Systemen. Auch die Wirksamkeit von Schutzmechanismen kann im Rahmen eines Penetrationstest überprüft und dokumentiert werden.

Moritz
Gruber

Senior Cyber Security Consultant

Matteo Große-Kampmann

Geschäftsführer der AWARE7 GmbH

Jan
Hörnemann

Junior Cyber Security Consultant

Frank
Timmermann

Senior Cyber Security Consultant

Pentester - Frank Timmermann

Aljoscha
Weishaupt

Junior Cyber Security Consultant

Chris
Wojzechowski

Geschäftsführer der AWARE7 GmbH

Unsere Tester agieren in der Regel als Team um Ihnen optimale Ergebnisse liefern zu können. Während der Durchführung des Tests erhalten Sie einen „Single Point Of Contact“. Eine Person ist dabei ausschließlich Ihrem Projekt zugeordnet und Ansprechpartner für alle Belange. Profitieren Sie von einer 24/7 Verfügbarkeit und genießen Sie einen komfortablen Kommunikations- und Informationsfluss ins Team. Die AWARE7 GmbH blickt auf über 70 Jahre Berufserfahrung in verschiedenen Bereichen der offensiven und defensiven IT-Sicherheit.


Sie haben Fragen?

Jetzt unverbindlich Kontakt aufnehmen!

Telefon

0209 – 8830 6760

Mail

info@aware7.de

Adresse

Munscheidstr. 14
45886 Gelsenkirchen

Jetzt Informationen hinterlegen - wir rufen zurück!


„Die AWARE7 ist für uns ein starker und kompetenter Partner im Bereich des Pentestings unserer SaaS Lösungen und mobile Apps. Das Team der AWARE7 sticht durch ihre Fähigkeit Ergebnisse für alle Bereiche unseres Unternehmens, fachlich und ansprechend, aufzubereiten und zu vermitteln.“

Markus Hertlein,
Geschäftsführer XignSyS GmbH


Diese Bereiche können Sie von uns untersuchen lassen

Die AWARE7 GmbH ist ein auf die Durchführung von Penetrationstests spezialisiertes Unternehmen. Sie planen Ihr Netzwerk, Anwendungen in der Cloud oder andere Arten Hard- und Software untersuchen zu lassen? Laden Sie kostenlos und unverbindlich unsere bereitgestellten Dokumente herunter.

Software

Wir untersuchen Ihre eingesetzte Software nach dem Ansatz, wie Sie es fordern oder benötigen.

Hardware

Ihre Hardware wird auf gängige und außergewöhnliche Schwachstellen untersucht und geprüft.

Infrastruktur

Wir testen Ihre Infrastruktur auf Verfügbarkeit, Integrität und Vertraulichkeit.


Beispiel Report herunterladen

Ein Penetrationstest deckt Schwachstellen in Ihren Systemen auf und schützt Sie, in dem die Lücken geschlossen werden, vor der Ausnutzung von Angreifern. Dabei ist die Sicherheitsuntersuchung stets als punktuelle Bestandsaufnahme anzusehen. Im Sinne eines nachhaltig sicheren Unternehmens müssen Penetrationstests in regelmäßigen Abständen erneut durchgeführt werden.

Je nach Umfang des Systems und der gewünschten Testtiefe kann Ihre Anwendung von der Validierung der Benutzereingaben bis hin zur aufwändigen Code-Analyse untersucht werden. Wir führen unsere Tests methodisch nach dem OWASP Testing Guide oder dem OSSTMM, in der jeweils aktuellsten Version, durch.


Kostenfreie Pentest Unterlagen

Erhalten Sie einen übersichtlichen Eindruck darüber, wie ein Pentest abläuft und wie Sie von der Durchführung profitieren können.


Welche unterschiedlichen Testtypen gibt es und welche Fachbegriffe sollten die Beteiligten kennen Laden Sie jetzt unseren Leitfaden herunter.


Web Application, Cloud oder mobile Testing sind die Kernkompetenzen der AWARE7. Erfahren Sie mehr und laden Sie unseren Pentest Guide herunter.


Was kostet ein Penetrationstest und wie ist dieser aufgebaut? Darüber informieren wir in unserem kostenfreien Whitepaper.


Jetzt unverbindlich Kontakt aufnehmen

Die AWARE7 GmbH ist ein professioneller Dienstleister in der IT-Security Branche. Nehmen Sie jetzt unverbindlichen Kontakt auf – auch für Projekte, Vorhaben oder Untersuchungen, die nicht explizit auf der Webseite geführt werden.

Kontakt

+49 (0) 209 – 8830 6760
info [at] aware7.de

Anschrift

AWARE7 GmbH

Im Wissenschaftspark
Munscheidstr. 14
45886 Gelsenkirchen

Matteo Große-Kampmann

Geschäftsführender Gesellschafter


Häufig gestellte Fragen

White box

Ihr System wird ohne Kenntnisse unsererseits durch unsere Experten getestet. Wir geben nur Ihren Firmennamen an unsere Tester und diese starten mit der Informationsrecherche. Dieser Angriff orientiert sich nah an einem echten Angreifer, jedoch dauert die initiale Informationsrecherche je nach Umfang des Systems entsprechend lange, sodass ein großer zeitlicher Rahmen gewählt werden muss, um aussagekräftige Ergebnisse zu erhalten.

Grey Box

Die notwendigsten Informationen wurden über das Zielsystem ausgetauscht. Dazu zählt z.B. die URL der Anwendung sowie Benutzeranmeldeinformationen, die verschiedenen Benutzerrollen darstellen. Der Greybox-Test ist die effektivste Methode zur Untersuchung Ihrer Anwendung. Durch die fehlende, umfangreiche Informationsrecherche im Vergleich zum Black Box Test, kann der Entdeckung und Ausnutzung von Sicherheitslücken mehr Aufmerksamkeit gewidmet werden.

Black Box

Bei einem White Box Test besteht volle Kenntnis über das Zielsystem. Der White Box Penetrationstest beinhaltet ein umfangreiches Code Review. Dieses Review wird mit einem Fokus auf IT-Sicherheit durchgeführt. Architektur- und Infrastrukturaspekte werden ebenfalls untersucht und anschließend bewertet. Der White Box Penetrationstest beansprucht, ähnlich des Black Box Penetrationstests, viel Zeit zur Durchführung.


Warum schützen Virenscanner und Firewalls nicht ausreichend?

Virenscanner und Firewalls reichen heutzutage aus unterschiedlichen Gründen nicht mehr aus. Gerade bei vernetzten Anwendungen ist der Server die Komponente welche am besten geschützt werden muss und dort gibt es zumeist keinen Virenscanner. Diese sind hauptsächlich auf Endgeräten wie Laptops oder Workstations zu finden, jedoch nicht im Serverbereich. Ziel eines Penetrationstests ist es an der Firewall vorbei, über eine legitime Anwendung Zugang zum System zu erhalten. Während eine Firewall verhindern soll, dass Angreifer beliebige Dienste missbrauchen, stellt ein Pentest sicher, dass die Angreifer nicht als legitim getarnter Datenverkehr Zugang zum System erhalten.

Wir haben eine professionelle IT-Sicherheitsuntersuchung durchgeführt – und nun?

Pentesting ist ein Prozess, kein einmaliges Projekt. Ihre Anwendung verändert sich nahezu täglich, Abhängigkeiten von Programmen können sich ändern und anfällig für neue Angriffe werden, daher ist es wichtig einen kontinuierlichen Prozess einzuführen. Ein einmaliger Pentest ist für die Ermittlung des Status Quo unabdinglich. Im Sinne einer langfristig angelegten IT-Sicherheitsstrategie brauchen Sie einen kontinuierlichen Prozess, der Ihnen jährlich die Probleme in Ihrem System aufzeigt und analysiert.


Welche Standards gelten für die Durchführung von Pentests?

Es gibt unterschiedliche Standards im Bereich Pentesting. Eine der bekanntesten Familien ist sicherlich OWASP. Es gibt die OWASP Top 10. Dies ist ein regelmäßig aktualisierter Bericht, der Sicherheitsbedenken für die Sicherheit von Webanwendungen aufzeigt und sich auf die 10 kritischsten Risiken konzentriert. Der Bericht wird von einem Team von Sicherheitsexperten aus der ganzen Welt erstellt. OWASP bezeichnet die Top 10 als “Sensibilisierungsdokument” und empfiehlt allen Unternehmen, den Bericht in ihre Prozesse zu integrieren, um Sicherheitsrisiken zu minimieren und/oder zu verhindern. Diese Top 10 gibt es auch für mobile Anwendungen, das IoT und APIs. Die OWASP Top 10 sind jedoch kein Standard nach dem ein Penetrationstest durchgeführt wird. Ein Penetrationstest wird nach dem OWASP Testing Guide, welcher sich aktuell in Version 4 befindet, durchgeführt. Dieser ist speziell für Web Anwendungen geschrieben. Es gibt einen weiteren Guide speziell für mobile Anwendungen, einen für IoT und einen für APIs. Wir führen unsere Tests also nicht nach OWASP Top 10 durch, sondern nach dem OWASP Testing Guide in der aktuellsten Version.

Ein weiteres Rahmenwerk ist der Penetration Testing Execution Standard (PTES). Dieser definiert sich wie folgt:
Die Ausführungsnorm für Penetrationsprüfungen besteht aus sieben Hauptabschnitten. Diese umfassen alles, was mit einem Penetrationstest zu tun hat – von der ersten Kommunikation und Argumentation hinter einem Pentest über die Phasen der Intelligenzsammlung und Bedrohungsmodellierung, in denen die Tester hinter den Kulissen arbeiten, um ein besseres Verständnis der getesteten Organisation zu erhalten, über die Schwachstellenforschung, Exploitation und Postexploitation, in denen die technische Sicherheitsexpertise der Tester zum Einsatz kommt. Diese wird mit dem Geschäftsverständnis des Engagements kombiniert, bis hin zum Reporting, das den gesamten Prozess erfasst. Das Reporting erfolgt in einer Weise, die für den Kunden sinnvoll ist und ihm den größten Nutzen bietet.

Abschließend soll das Open Source Security Testing Methodology Manual (OSSTMM) vorgestellt werden. Hierbei handelt es sich um ein weiteres frei verfügbares Rahmenwerk für Sicherheitstests. Dabei geht es nicht nur um Webanwendungen oder eine spezielle Industrie. Berichte werden beim OSSTMM nach dem STAR-Modell (Security Test Audit Report) geschrieben und Angriffsfläche wird per RAV definiert. Das RAV ist ein Maß für die Angriffsfläche, das Ausmaß der unkontrollierten Wechselwirkungen mit einem Ziel, das durch das quantitative Gleichgewicht zwischen Operationen, Beschränkungen und Kontrollen berechnet wird. Das RAV ist essentiell, um einen Bericht im STAR Modell zu schreiben.