Security - Test

Sicherheitslücken finden, bevor andere es tun

Unternehmen und ihre IT-Landschaften sind heutzutage zunehmend durch Hackerangriffe bedroht und Investitionen in Produktentwicklung, Patente und Geschäftsprozesse daher potenziell gefährdet. Um das Risiko erfolgreicher Angriffe zu verringern, sollten Hersteller und Betreiber das Sicherheitsniveau ihrer IT-Ökosysteme regelmäßig überprüfen. Ein Instrument hierfür ist die Durchführung von Security-Tests, um potenzielle Sicherheitslücken zu identifizieren, die erkannten Schwachstellen zu adressieren und so insgesamt das Sicherheitsniveau zu erhöhen.

Das Security-Testing Team der BDO Cyber Security als starker Partner für Sie

Unser Team aus Security-Testern und Testmanagern mit langjähriger Erfahrung in Hard- und Software-nahen Tests verfügt über diverse Personenzertifizierungen im Bereich Security- und Software-Testing, darunter:

  • OffSec Certified Professional (OSCP)

  • OffSec Certified Expert 3 (OSCE³)

  • OffSec Web Expert (OSWE)

  • OffSec Experienced Penetration Tester (OSEP)

  • OffSec Exploit Developer (OSED)

  • BSI IS Penetrationstester

  • Certified Information Systems Security Professional (CISSP)

  • ISTQB Certified Tester

  • ISTQB Certified Test Manager

Diese Expertise stellen wir Ihnen gern zur Verfügung.
 

Unser Ansatz

Als Security-Tester ist es unser Ziel, Schwachstellen aufzudecken, bevor diese durch einen Angreifer gefunden und ausgenutzt werden können. Damit helfen wir Ihnen, rechtzeitig angemessene Sicherheitsvorkehrungen zu treffen. Unser Vorgehen basiert dabei auf dem Vorgehensmodell des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Methoden eines realen Angreifers

Im Rahmen unserer Tests untersuchen wir Ihre Systeme aus der Perspektive eines realen Angreifers und verwenden dazu die gleichen Methoden und Werkzeuge. Im Gegensatz zu einem echten Angreifer agieren wir jedoch nur innerhalb vorgegebener Grenzen, die während der Vorbereitung des Tests mit Ihnen abgestimmt werden.

Manuelle Tests

Alle Tests werden überwiegend manuell durchgeführt. Auf diese Weise ist es möglich, Schwachstellen zu identifizieren, die sonst von automatisierter Software wie Schwachstellenscannern nicht erkannt werden würden. Im Laufe des Tests können wir gezielt auf das Verhalten Ihres Systems eingehen und Testfälle sowie Angriffsvektoren dynamisch anpassen. Auf Basis unserer langjährigen Expertise analysieren wir identifizierte Verwundbarkeiten und erproben deren Ausnutzbarkeit.

 

Unser Angebot für Sie

Mit unserer Expertise sind wir in der Lage, Ihr Produkt bzw. System vollumfänglich zu testen. Wir beraten Sie gern und bieten Ihnen folgende Testdienstleistungen an:

Webanwendungen und Webdienste

Security-Tests nach dem OWASP Web Security Testing Guide (WSTG), z.B. von:

  • Webanwendungen
  • REST APIs
  • SOAP APIs, etc.

 

IT-Infrastrukturen und -komponenten

Security-Tests von IT-Infrastrukturen und einzelnen Infrastrukturkomponenten, z.B.:

  • Perimetersysteme
  • Unternehmensnetzwerke
  • Cloudumgebungen
  • Hardening-Checks von Servern, etc.

 

Mobile Applikationen

Security-Tests nach dem OWASP Mobile Application Security Testing Guide (MASTG), z.B. von:

  • Android Applikationen
  • iOS Applikationen

 

Embedded und IoT

Security-Tests verschiedenster Geräte vom Sensor bis hin zu kompletten IoT-Ökosystemen, z.B.:

  • eingebettete Systeme und IoT-Geräte, inkl. aller internen und externen Schnittstellen/Komponenten
  • Hard- und Software aus dem Automobilbereich (z.B. Steuergeräte, Gesamtfahrzeug, mobile Apps zur Fahrzeugsteuerung)
  • Verschiedenste Funkprotokolle (z.B. WiFi, ZigBee, Bluetooth/BLE, LoRa), etc.

 

Nach der Durchführung des Tests erhalten Sie einen Testbericht, der folgendes beinhaltet:

  • eine Zusammenfassung des Testansatzes und der Testergebnisse, einschließlich einer allgemeinen Bewertung des Gesamtsicherheitsniveaus des Testobjekts,
  • eine detaillierte Beschreibung der entdeckten Schwachstellen, einschließlich eines Proof-of-Concept und Screenshots,
  • eine Bewertung jeder Schwachstelle hinsichtlich ihres Schweregrades,
  • allgemeine Empfehlungen für Gegenmaßnahmen zur Behebung oder Mitigation der festgestellten Schwachstellen.

 

 Warum Sie sich für uns entscheiden sollten

  • Professionelles Testteam mit entsprechenden Zertifizierungen und langjähriger Erfahrung in Hard- und Software-nahen Tests
  • State-of-the-Art Testlabor mit Equipment für verschiedenste hardwarenahe Tests
  • Thematisch breit aufgestellt mit Tests von Webanwendungen, Webdiensten, IT-Infrastrukturen, eingebetteten Systemen und IoT-Geräten, Hard- und Software aus dem Automobilbereich, sowie verschiedenen Funkprotokollen und mobilen Applikationen
  • Vorwiegend manuelle Analyse Ihrer Systeme aus der Perspektive eines realen Angreifers
  • Detaillierter Testbericht inklusive einer Bewertung des Sicherheitsniveaus, einer detaillierten Beschreibung der entdeckten Schwachstellen und allgemeine Empfehlungen für Gegenmaßnahmen zur Mitigation
  • Individuelle Angebote, zugeschnitten auf Ihre Anforderungen und IT-Systeme