OWASP Top 10 Penetrationstest


Was wir wissen

Webanwendungen sind noch immer das beliebteste Angriffsziel.

  • Information
  • Mehrwert
  • Ablauf
Webanwendungen verfügen zumeist über eine Anbindung ins Internet und sind damit von fast überall erreichbar. Zahlreiche Schnittstellen und Interaktionsmöglichkeiten bieten für Angreifer dabei vielfältige Angriffsmöglichkeiten - und der Schaden ist dabei zumeist recht groß: Datendiebstahl, ausgefallene Services und eine in Außenwirkung eher schlechte Reputation der jeweiligen Organisation.

Unser Ziel ist der individuelle, nicht automatisierte Penetrationstest. Bei der Identifizierung von Schwachstellen in Webanwendungen orientieren wir uns dabei an dem Open Web Application Security Project (OWASP), welches in unregelmäßigen Abständen eine Top 10 Liste der größten Sicherheitsrisiken für Webapplikationen heraugibt.
Die OWASP Top 10 Schwachstellenliste prüfen wir dabei nicht mit automatisierten Tools, sondern testeten die jeweiligen Anwendungen händisch und individuell nach Relevanz und Plausibilität. So prüfen wir beispielsweise bei HTML-Dateien nicht zusätzlich nach SQL-Injections, da diese faktisch bei HTML-Dateien nicht auftreten. Nur so ist eine effektive, gezielte und unbemerkte Angriffssimulation möglich.

Außerdem zeichnet sich unsere Qualität und der daraus resultierende Nutzen des Penetrationstests im Wesentlichen dadurch aus, dass wir neben der standardisierten Prüfung der OWASP Top 10 Schwachstellenliste auch individuelle Vorgaben sowie technische Gegebenheiten berücksichtigen.

Der Großteil der Projektzeit wird in die intensive Informationsbeschaffung, Planung und Konzipierung der Angriffsszenarien sowie der Erstellung von Proof-of-Concepts (bspw. durch eigene Exploits) investiert. Die Teilautomatisierung von Findings - durch eigene/eingekaufte Tools und die Senkung der dadurch resultierenden Fehlerquote durch einzelne händisch stattfindende Prüfungen- lehnen wir grundsätzlich ab.

Unser Prüfverfahren ist im Vergleich zu teilautomatisierten Penetrationstests dabei nicht aufwendiger, sondern geht von einem qualitativ hochwertigerem Vorgehen und damit auch von einem hochwertigerem Ergebnis aus.

"Startups investieren in Marketing, zukunftsorientierte Unternehmen auch in IT-Sicherheit."
Penetrationstests bieten im Rahmen der Transparenz verschiedene Vorteile: Sie sorgen für erhöhte Sicherheit, für eine Verringerung von Risiken, deduzieren mögliche Angriffsvektoren und verbessern die Effizienz.

Minimieren Sie Ausfallzeiten und erfolgreiche Hackerangriffe präventiv und nachhaltig

- Prüfen Sie, ob Ihre Investitionen in defensive Informationssicherheit amortisieren

Werden Sie Ihrer Verantwortung gerecht, die sensiblen Informationen Ihrer Kunden sowie die Ihres eigenen Unternehmens zu schützen - Ihr Wettbewerbsvorteil

- Schaffen Sie proaktive Schutzmaßnahmen gegen Wirtschaftsspionage
 
         
Im Rahmen des Erstgespräches lernen wir Sie und Ihr Unternehmen besser kennen. In der zweiten Runde des Gespräches besprechen wir gemeinsam mit allen Entscheidungsträgern das weitere Vorgehen. Dabei wird die anzuwendende Methodik des Penetrationstests präzisiert. Auch mögliche "Vorurteile", Bedenken und insbesondere die Relevanz und Notwendigkeit einer solchen Revision kann ausführlich besprochen werden.

Nachdem im Rahmen des Penetrationstests mögliche Angriffsvektoren dediziert, identifiziert und deren Relevanz sowie Priorität für Ihre täglichen Geschäftsabläufe herausgearbeitet sind, stellen wir Ihnen die Ergebnisse vor. Dabei werden gefundene Schwachstellen nicht nur theoretisch beleuchtet, sondern in detaillierter Form auf verständlicher Art und Weise erklärt und visualisiert. Auch eine ausführliche Darlegung in schriftlicher Form wird hierbei zur Verfügung gestellt.

In einem weiteren Schritt sprechen wir konkrete Handlungsempfehlungen aus, anhand derer die gefunden Schwachstellen minimiert sowie prozentual ausgeschlossen werden können. Diese Handlungsempfehlungen stellen wir Ihnen gerne kostenfrei auch in schriftlicher Form zur Verfügung.

WIE WIR ARBEITEN

Nachhaltiger Ansatz:
Durch die Zusammenarbeit von Pentestern und Consultants können wir den Status Quo umfassend beleuchten und darauf aufbauend nachhaltige und langfristige Sicherheit gewährleisten. Denn Penetrationstests zeigen zwar Problemflächen und Handlungsempfehlungen auf, behandeln die tiefgreifende Ursache der Problemflächen aber nicht nachhaltig.




Teamarbeit:
Durch Teamarbeit ermöglichen wir größtmögliche Güte und Qualität, denn für jedes Themenfeld mobilisieren wir den passenden Spezialisten - ohne zusätzliche Kosten. Unsere Mitarbeiter sind in ihren jeweiligen Fachgebieten geschult und arbeiten im Team, um Ihnen den Spezialisten zu bieten, den Sie verdienen.


"Die beste Möglichkeit sich vor potenziellen Angreifern zu schützen, ist diese tatsächlich zu kennen."
Kalweit ITS steht für die exzellente Verknüpfung von Cybersecurity und Strategie. Als un­ab­hän­gi­ges Be­ra­tungs­un­ter­neh­men bie­ten wir un­se­ren Kun­den ganz­heit­li­che, in­no­va­ti­ve Lö­sun­gen: Vom Risikomanagement, zu Penetrationstests bis hin zur Kon­zep­ti­on und Um­set­zung zu­kunfts­wei­sen­der IT-Sicherheitsstrategien. Durch Zusammenarbeit auf Augenhöhe, neuen Perspektiven und innovativen Ansätzen tragen wir persönlich dafür sorge, dass sich unsere Kunden im Zuge der stetigen Digitalisierung frei und sicher weiterentwickeln können. Denn nur durch Sicherheiten ist Innovation möglich. Kalweit ITS - Dafür stehen wir.