Die Ergebnisse des Penetrationstests werden in einem Bericht zusammengefasst und die identifizierten Schwachstellen, Konfigurationsfehler und Best Practice Empfehlungen aufgelistet.

Ihr Vorteil

• proaktive Überprüfung Ihres Sicherheitslevels zur Vermeidung unvorhersehbarer Kosten als Folge von Cyberangriffen
• Nachweis zur Einhaltung der IT-Sorgfaltspflichten in Bezug auf unternehmenskritische, sensible und personenbezogene Daten
• Lagebild der IT-Sicherheit durch ein unabhängiges externes technisches Audit
• Empfehlungen für Sicherheitsmaßnahmen zur langfristigen Erhöhung des Sicherheitslevels Ihrer Organisation
• Gegensteuerung durch optimierte Maßnahmen zur Vermeidung von potenziellen finanziellen Verlusten bzw. Schädigung des Ansehens und der öffentlichen Sicherheit

Warum wir?

• Wir sind mit dem Umgang mit hochsensiblen Daten vertraut, insbesondere im staatlichen Umfeld
• Wir sind tagtäglich mit den Herausforderungen von Technologie, Sicherheitstechnologie, Wissenschaft und Forschung konfrontiert
• Wir sind ein Key Player in der nationalen und internationalen Sicherheitsforschung und in verschiedenen Innovationsprogrammen
• Wir unterhalten strategische Partnerschaften mit wichtigen nationalen Sicherheitsakteuren (BMI, BMLV, BKA, nationale CERTs) und zahlreichen internationalen Industrieinitiativen
• Wir führen Forschungsprojekte unter Einsatz modernster Technologien durch und können daher künftige Risiken und Angriffsvektoren frühzeitig abschätzen
• Wir verfügen über zertifizierte ExpertInnen
• Wir sind Österreichs größte außeruniversitäre Forschungsorganisation und unterstützen die österreichische Wirtschaft an der Schnittstelle zwischen Wissenschaft und Industrie; dadurch verfolgen wir einen pragmatischen Ansatz in puncto Effizienz und Effektivität
• Eine optimale Abstimmung gewährleistet ein hohes Maß an Effizienz bei IT-Investitionen und einen sicheren Betrieb von IT-Leistungen bei niedrigen Kosten

Unser Angebot

Der Großteil der derzeit auf dem Markt angebotenen Penetrationstests konzentriert sich auf die Ausnutzung bereits bekannter Schwachstellen. In diesem Fall sind die Tester, unterstützt durch die Sicherheitssoftware, auf die automatisierte Evaluierung des Sicherheitslevels der Testkomponenten angewiesen. Wir verfolgen hier einen anderen Ansatz. Unsere SpezialistInnen bringen ihre Expertise aus einer Vielzahl hochkarätiger Forschungsprojekte ein. Dadurch fördern die Tests auch neue, vorher unbekannte Schwachstellen (Zero-Day-Lücken) zu Tage.  

Wir unterstützen Sie vom ersten Prototyp bis zur finalen Implementierung. Ob Black-Box Tests (ohne genaue Kenntnis des zu testenden Systems, z.B. über Fuzzing und Reverse Engineering) oder White-Box Tests (vollständige Information bis zur umfangreichen Quellcode-Analyse) – wir verfügen über das notwendige Know-how und langjährige Projekterfahrung.

IT Security ist ein hochsensibles Thema. Unsere Leistungen für unsere Kunden basieren auf absoluter Diskretion und Vertrauen, daher veröffentlichen wir keine Referenzen. Wir betreuen Kunden quer durch alle Branchen von Wirtschaft, Kultur, Medien, Politik über Sport sowie Behörden und öffentliche Einrichtungen in der DACH-Region. Daher veröffentlichen wir auch keine Kundennamen. Um dennoch unsere Kompetenz zu unterstreichen, finden Sie hier einige von uns gemeldete Sicherheitslücken (https://www.ait.ac.at/themen/cyber-security/pentesting/security-advisories)

Zertifizierungen

Hier finden Sie eine Auswahl der Zertifizierungen unserer Sicherheitsexpert:innen:

• Certified Ethical Hacker (CEH)
• Certified in Risk and Information Systems Control (CRISC)
• Certified Information Privacy Manager (CIPM)
• Certified Information Security Manager (CISM)
• Certified Information Systems Auditor (CISA)
• Certified Information Systems Security Professional (CISSP)
• Certified Wireless Security Professional (CWSP)
• Cisco Certified Network Professional (CCNP) Security
• Computer Hacking Forensic Investigator (CHFI)
• EC-Council Certified Security Analyst (ECSA)
• GIAC Mobile Device Security Analyst (GMOB)
• GIAC Penetration Tester (GPEN)
• GIAC Web Application Penetration Tester (GWAPT)
• Global Industrial Cyber Security Professional (GICSP)
• ISA/IEC 62443 Cybersecurity Expert
• Offensive Security Certified Expert (OSCE)
• Offensive Security Certified Professional (OSCP)
• Offensive Security Certified Web Expert (OSWE)
• Trusted Security Auditor (TSA)

Security Advisories (CVE)

Unsere SicherheitsexpertInnen entdecken im Zuge von Penetrationstests ständig neue, vorher unbekannte (Zero-Day) Sicherheitslücken. Falls diese Schwachstellen nicht direkt einen unserer Kunden betreffen, sondern einen Hersteller, der im öffentlichen Interesse liegt, so werden die Details zur Zero-Day-Lücke ausschließlich an den Hersteller der betroffenen Komponente übermittelt. Zum Schutz ihrer Kunden wird den Herstellern eine angemessene Frist eingeräumt, um das Problem zu lösen und die entsprechenden Patches auf den Kundensystemen auszurollen, bevor Einzelheiten zur Sicherheitslücke veröffentlicht werden.

Im folgenden einige Beispiele von relevanten Zero-Day-Lücken, die von AIT entdeckt wurden - klicken Sie hier, um mehr zu erfahren.

Produkte

• ThreatGet - Bedrohungsanalyse und Risikomanagement
• MoMuT -  Automatisierte, modellbasierte Werkzeuge zur Testfallgenerierung