... hat einen Background in tiefgreifend technischen Bereichen wie Pentesting und Vulnerability Management. Er kombiniert sein technisches Security Know How mit einer strategisch-lösungsorientierten Herangehensweise, um maßgeblich zur Cyber Resilience seiner Kunden beizutragen.
Seine Kernexpertise beinhaltet Deep-Dive Pentesting im Kontext komplexer Unternehmensarchitekturen, sowie Vulnerability Management von Webanwendungen.
Ein Penetration Test - kurz Pentest - ist die tiefgreifende Untersuchung von Software, Hardware oder einer kompletten IT-Infrastruktur auf Schwachstellen. Diese können kriminellen Hackern als Einfallstore dienen, um sensible Daten wie Geschäftsgeheimnisse abzugreifen oder gezielt Schaden durch Manipulation zu verursachen. Der beste Schutz davor besteht darin, den Blickwinkel des Angreifers einzunehmen. Deshalb wird bei einem Penetration Test auf die Techniken reeller Angreifer zurückgegriffen – natürlich ohne Schaden anzurichten.
Jede Prüfung ist anders. Je nach Umfang, Komplexität und Vorgehensweise variiert die Durchführungsdauer. Unsere erfahrenen Prüfer erarbeiten mit Ihnen ein ökonomisch sinnvolles Prüfszenario – perfekt zugeschnitten auf Ihre Anforderungen. Fragen Sie jetzt Ihr unverbindliches Angebot an.
Unsere Experten untersuchen Ihre IT-Infrastruktur oder Ihr Produkt aus dem Blickwinkel eines reellen Angreifers und wenden auch dessen Techniken an. Dabei decken sie Schwachstellen auf, die sonst verborgen blieben und helfen Ihnen, Ihre Resilienz gegen Cyberattacken zu stärken.
IT-Architekturen sind zunächst primär auf Funktion ausgelegt, während Sicherheit hintenangestellt wird. Auch wird zu oft auf die vom Hersteller vorgegebene Standardkonfiguration vertraut, die meist alles andere als sicher ist. Diese Probleme werden oft erst entdeckt, wenn der Schadensfalls schon eingetreten ist. Ein Penetration Test zeigt Ihnen diese auf, bevor ein echter Angreifer die Chance ergreift.
Angreifer nehmen sich in der Regel Wochen oder Monate lang Zeit zur Vorbereitung, bevor der tatsächliche Angriff stattfindet. Beim Whiteboxvorgehen wird diese Vorbereitungsphase durch Sichtung von Quellcode, Dokumentation, Netzplänen usw. bewusst übersprungen. Dieses Vorgehen eignet sich, um in einer möglichst kurzen Zeit möglichst viele Informationen über den Sicherheitszustand der Umgebung oder Anwendung zu erlangen. Das spart Zeit und Kosten.
Wir tappen gern im Dunkeln, damit Sie es nicht müssen! Im Gegensatz zum Whiteboxansatz stehen den Prüfern möglichst wenige Informationen zur Verfügung. Dadurch kann eine realistische Einschätzung abgegeben werden, wie lange ein Angreifer braucht, um Daten abzuziehen oder Schaden anzurichten. Dieses Vorgehen bietet sich an, um die Effektivität der Schutzmaßnahmen einer bereits abgesicherten Umgebung unter reellen Bedingungen zu bewerten. Der Nachteil dabei: die Durchführungsdauer ist deutlich länger als beim Whiteboxvorgehen.
Black + White = Grey. Der Greybox Penetration Test vereint die Vorteile von Black- und Whiteboxvorgehen. Je nach Zielsetzung der Prüfung sind beliebige Abstufungen des Informationsgrades möglich. Unsere Pen Tester empfehlen ein dynamisches Vorgehen: zunächst werden nur allgemeine Informationen bereitgestellt. Gezielte Informationen werden erst im Laufe der Prüfungen fallbezogen nachgefordert. Damit lässt sich ein möglichst realistisches Szenario schaffen. Das schont im Vergleich zum reinen Blackboxansatz den Geldbeutel. Stichwort: Kosteneffizienz.
Virenscanner und Firewalls schützen in der Regel nur vor bereits bekannten Bedrohungen, oder solchen, die verhaltensbasiert erkannt werden können. Der Penetration Test deckt hingegen generische Schwachstellen wie Fehlkonfigurationen, unsichere Standardkonfigurationen oder Planungsfehler auf. Auch wird geprüft, ob bereits vorhandene Schutzmaßnahmen korrekt funktionieren.
Security Appliances und Endpoint Protection sind wichtige Bestandteile der Cyber Defense – das ist unbestreitbar. Der Penetration Test bewertet die Effektivität dieser und anderer Schutzmaßnahmen im Gesamtkontext der Infrastruktur, um diese weiter zu schärfen. Sicher ist sicher.
Unsere Devise: Right Tool for the Job. Eine Auflistung von Tools wäre an dieser Stelle wenig sinnvoll, denn: nicht die Kamera macht das Foto, sondern der Fotograf. Unsere Penetration Tester setzen eine Vielzahl an Tools und Skripten ein, vom Open Source Tool bis hin zum selbstentwickelten Zero-Day-Exploit. Geheime Technik gibt es nicht. Sie erhalten jederzeit tiefen Einblick in die Welt des Angreifers.
Gesteigerte Vertrauenswürdigkeit und optimierte Marktpositionierung als sicherheitsbewusstes Unternehmen
Reine Vulnerability Scans suchen auf Systemen, in Anwendungen und IT-Infrastruktur nach bereits öffentlich bekannten Schwachstellen. Das können Standardpasswörter, gängige Fehlkonfigurationen oder generische Probleme sein. Hochkritische Risiken werden kontextlos betrachtet und verlieren sich in hunderten oder gar tausenden von Berichtsseiten. Und das bei einer wahrscheinlich sowieso schon stark ausgelasteten IT-Abteilung.
Mit uns als Partner profitieren Sie und Ihre IT-Mitarbeiter von der jahrelangen Erfahrung unserer Pentester. Extensive automatisierte Prüfungen auf Basis der stets aktuellsten Datenlage, ergänzt um unsere neuesten Erkenntnisse, sind ein wichtiger Baustein unseres Penetration Testing. Durch die kontextuelle Betrachtung, sowie tiefgreifenden, manuellen Prüfungen ermitteln wir für Sie, welche Befunde in Ihrem Unternehmen wirkliche Sicherheitsprobleme darstellen.
Die Durchführung gestalten wir für Sie transparent, mit der Möglichkeit, jederzeit eine Erweiterung des Prüfungsumfangs vorzunehmen. Die faire Abrechnung unserer Dienstleistung ist für uns selbstverständlich.
Der Aufwand eines Penetration Tests ist abhängig vom Umfang und der geforderten Testtiefe. Sprechen Sie uns an und erhalten Sie in der Regel schon am nächsten Werktag ein persönliches Festpreisangebot auf Basis Ihres Scopes und Ihrer Prüfungsmodalitäten.
Manuell statt rein automatisiert: Kombinatorik, Wissen und Erfahrung anstelle kontextloser Befunde
Konkrete, verständliche Handlungsempfehlungen für Ihr Unternehmen und optionale Umsetzungsunterstützung
Wir unterstützen auch bei der Umsetzung der Maßnahmen
Unsere Arbeit ist nach Abgabe des Berichts nicht getan
Transparenz: Vollkommener Einblick in unser Vorgehen
Kein Schema F: Exakt auf Ihre Anforderungen zugeschnittene Penetration Tests
Persönlich: Direkter Draht zu unseren Penetration Testern
Nachhaltig: Transportieren des Security-Mindsets
Ventum Consulting: mit Sicherheit die beste Wahl.
… ist Experte im IT-Security-Umfeld. Durch jahrelange Erfahrung im Penetration Testing und Reverse Engineering besitzt er tiefgreifendes und breit gefächertes, technisches Know-How.
Mit der Hackermentalität im Blut und seiner ausgeprägten analytischen Denkweise löst er Probleme auf unkonventionelle Weise und trägt aus dem Blickwinkel eines Angreifers maßgeblich zur Cyber Resilience seiner Kunden bei.
Kontaktaufnahme
Erzählen Sie uns von Ihrem Anliegen und wir finden in einem gemeinsamen kostenlosen Erst-Beratungsgespräch eine maßgeschneiderte Lösung. Kontaktieren Sie uns jetzt.
Angebot
Der Prüfungsmodus und Scope sind festgelegt? Dann erhalten Sie von uns ein auf Ihre Bedürfnisse zugeschnittenes, unverbindliches Angebot.
Vorbereitungsphase
Bei der reibungslosen Durchführung kommt es neben einem durchdachten Plan auf folgendes an: Die Einbindung von Stakeholdern und Verantwortlichen aus der Technik.
Durchführung
Während der gesamten Durchführung stehen wir im engen Austausch mit Ihnen, um rasch auf eventuelle kritische Befunde reagieren zu können. Sie sprechen direkt mit unseren Experten.
Abschlussbericht
Prüfungsergebnisse mit den durchgeführten Angriffen und gefunden Schwachstellen ist gut, aber klare und nachvollziehbare Maßnahmen-empfehlungen besser. Wir bieten beides.
Nächste Schritte
Erfolgreiche Cyber Resilience beginnt da, wo der klassische Pentest aufhört: Gemeinsam erarbeiten wir ein weiterführendes Konzept zur Erhöhung Ihrer Resilienz gegen Cyberangriffe.
© 2022 Ventum Consulting GmbH & Co. KG
München | Essen | Wien | Foshan | Beijing | Shanghai
Global und öffentlich verfügbar - wenn Sie nicht aufpassen, sind das auch Ihre Daten!
Mobile first - das gilt auch für Hacker!
Sind Sie bereit?
Verschlüsselung ist gut. Warten Sie nicht, bis der Kryptotrojaner Ihren Job macht!
Anderen die Türe aufzuhalten gilt als höflich. Angreifer fühlen sich auch geschmeichelt.
Das beste Sicherheitsschloss an der Türe nützt nichts, wenn das Dachfenster offen steht.
Der größte Angriffsvektor sitzt vor dem Bildschirm. Sind Sie darauf vorbereitet?
Eine Kette ist nur so stark, wie das schwächste Glied. Ein gemeinsames Ziel schweißt Ihr Team zusammen!
Everything connected, everything at stake.
Internet of Things oder Internet of Threats?
Nur ein solides Fundament kann langfristig einen sicheren Betrieb ermöglichen.
Nicht nur eine regulatorische Anforderung, sondern eine nachhaltige Investition.
Nicht das passende dabei? Dann lassen Sie uns gemeinsam über Ihr Projekt sprechen.
* Pflichtfeld
© 2022 Ventum Consulting GmbH & Co. KG
München | Essen | Wien | Foshan | Beijing | Shanghai
DE | EN
Rein automatisierte
Vulnerability Scans
Ventum
Penetration Testing
Verifizierung der Befunde und
kontextuelle Betrachtung
Ermittlung des tatsächlichen Angriffs- und Schadenspotenzials
Prüfung auf
kombinierte Schwachstellen
Standardisierte Ziele, öffentlich bekannte und generische Lücken
Tiefgehende Prüfung inkl. Analyse
proprietärer, undokumentierter
Protokolle, Datenformate, Dienste
Erkennung von Problemen durch Security-by-obscurity
(nur öffentlich bekannte)
Befunde mit
geringer Kritikalität
Befunde mit
hoher Kritikalität
Manuelles
Penetration Testing
Wissen, Erfahrung, Kombinatorik,
kontextuelle
Betrachtung
Genau wie kriminelle Angreifer kombinieren wir harmlos erscheinende Befunde, um das tatsächliche Angriffs- und Schadenspotenzial zu ermitteln.
Detaillierter Abschlussbericht:
1. Management Summary
2. Nachvollziehbare Darstellung erfolgreicher Angriffswege
3. Technisches Advisory zur Behebung ermittelter Probleme
4. Next Steps zur Erhöhung der Cyber Resilience