Jump to content

Pentesting

Ein Penetrationstest, kurz Pentest, ist ein empirischer Sicherheitscheck unter definierten Rahmenbedingungen. Dabei werden reale bzw. gängige Mittel und Techniken eingesetzt, die auch von potenziellen Angreifern verwendet werden. Penetrationstests zeigen eine Momentaufnahme der getesteten Komponenten aus einer bestimmten Perspektive. Generell erhöht sich die Anzahl der gefundenen Schwachstellen mit dem eingesetzten Aufwand und den verfügbaren Informationen über das zu testende System.

Die Ergebnisse des Penetrationstests werden in einem Bericht zusammengefasst und die identifizierten Schwachstellen, Konfigurationsfehler und Best Practice Empfehlungen aufgelistet.

 

Ihr Vorteil

  • Proaktive Überprüfung Ihres Sicherheitslevels zur Vermeidung unvorhersehbarer Kosten als Folge von Cyberangriffen
  • Nachweis zur Einhaltung der IT-Sorgfaltspflichten in Bezug auf unternehmenskritische, sensible und personenbezogene Daten
  • Lagebild der IT-Sicherheit durch ein unabhängiges externes technisches Audit
  • Empfehlungen für Sicherheitsmaßnahmen zur langfristigen Erhöhung des Sicherheitslevels Ihrer Organisation
  • Gegensteuerung durch optimierte Maßnahmen zur Vermeidung von potenziellen finanziellen Verlusten bzw. Schädigung des Ansehens und der öffentlichen Sicherheit

 

Warum wir?

  • Wir sind mit dem Umgang mit hochsensiblen Daten vertraut, insbesondere im staatlichen Umfeld
  • Wir sind tagtäglich mit den Herausforderungen von Technologie, Sicherheitstechnologie, Wissenschaft und Forschung konfrontiert
  • Wir sind ein Key Player in der nationalen und internationalen Sicherheitsforschung und in verschiedenen Innovationsprogrammen
  • Wir unterhalten strategische Partnerschaften mit wichtigen nationalen Sicherheitsakteuren (BMI, BMLV, BKA, nationale CERTs) und zahlreichen internationalen Industrieinitiativen
  • Wir führen Forschungsprojekte unter Einsatz modernster Technologien durch und können daher künftige Risiken und Angriffsvektoren frühzeitig abschätzen
  • Wir verfügen über zertifizierte ExpertInnen
  • Wir sind Österreichs größte außeruniversitäre Forschungsorganisation und unterstützen die österreichische Wirtschaft an der Schnittstelle zwischen Wissenschaft und Industrie; dadurch verfolgen wir einen pragmatischen Ansatz in puncto Effizienz und Effektivität
  • Eine optimale Abstimmung gewährleistet ein hohes Maß an Effizienz bei IT-Investitionen und einen sicheren Betrieb von IT-Leistungen bei niedrigen Kosten

 

Unser Angebot

Der Großteil der derzeit auf dem Markt angebotenen Penetrationstests konzentriert sich auf die Ausnutzung bereits bekannter Schwachstellen. In diesem Fall sind die Tester, unterstützt durch die Sicherheitssoftware, auf die automatisierte Evaluierung des Sicherheitslevels der Testkomponenten angewiesen. Wir verfolgen hier einen anderen Ansatz. Unsere SpezialistInnen bringen ihre Expertise aus einer Vielzahl hochkarätiger Forschungsprojekte ein. Dadurch fördern die Tests auch neue, vorher unbekannte Schwachstellen (Zero-Day-Lücken) zu Tage.  

Wir unterstützen Sie vom ersten Prototyp bis zur finalen Implementierung. Ob Black-Box Tests (ohne genaue Kenntnis des zu testenden Systems, z.B. über Fuzzing und Reverse Engineering) oder White-Box Tests (vollständige Information bis zur umfangreichen Quellcode-Analyse) – wir verfügen über das notwendige Know-how und langjährige Projekterfahrung.

 

Zertifizierungen

IT-Sicherheit Informationssicherheitsmanagement
Certified Information Systems Security Professional (CISSP) Certified Information Systems Auditor (CISA)
Certified Ethical Hacker (CEH) Certified Information Security Manager (CISM)
Offensive Security Certified Professional (OSCP) Certified in Risk and Information Systems Control (CRISC)
Offensive Security Certified Expert (OSCE) Trusted Security Auditor (TSA)
Cisco Certified Network Professional - Security (CCNP Security) IEC 62443 Security Zertifizierungen der ISA
CWSP, CHFI, ECSA Certified Information Privacy Manager (CIPM)
and many more... and many more...

 

Security Advisories (CVEs)

Unsere SicherheitsexpertInnen entdecken im Zuge von Penetrationstests ständig neue, vorher unbekannte (Zero-Day) Sicherheitslücken. Falls diese Schwachstellen nicht direkt einen unserer Kunden betreffen, sondern einen Hersteller, der im öffentlichen Interesse liegt, so werden die Details zur Zero-Day-Lücke ausschließlich an den Hersteller der betroffenen Komponente übermittelt. Zum Schutz ihrer Kunden wird den Herstellern eine angemessene Frist eingeräumt, um das Problem zu lösen und die entsprechenden Patches auf den Kundensystemen auszurollen, bevor Einzelheiten zur Sicherheitslücke veröffentlicht werden.

Im folgenden einige Beispiele von relevanten Zero-Day-Lücken, die von AIT entdeckt wurden - klicken Sie hier, um mehr zu erfahren.

 

Projekte

H2020 Projekte mit Fokus auf Sicherheitsarchitekturen und Penetrationstests: CREDENTIAL, PRISMACloud, SOCCRATES, GUARD, SECREDAS

 

Produkte

  • ThreatGet - Bedrohungsanalyse und Risikomanagement
  • MoMuT -  Automatisierte, modellbasierte Werkzeuge zur Testfallgenerierung