Sicherheits-Pakete für KMUs
Einfach, transparent & effektiv
- ✓ Externer Schwachstellenscan: Automatisierte Prüfung öffentlicher Systeme
- ✓ Darknet Exposure Check: Prüfung auf geleakte Passwörter
- ✓ E-Mail Security Check: Schutz vor Spoofing (CEO Fraud)
- ✓ Deliverables: Ampel-Bericht für das Management und technische Liste für IT-Provider
- ✓ Web Applikation Pentest: Manuelle Überprüfung der Kernanwendung (Fokus OWASP Top 10)
- ✓ Interner Schwachstellenscan: Scan des internen Netzwerks auf ungepatchte Systeme
- ✓ Microsoft 365 Check: Prüfung auf Security Best Practices
- ✓ Deliverables: Technischer Bericht + revDSG Compliance-Statement
- ✓ Assumed Breach Simulation: Simulation eines kompromittierten Geräts. Können Angreifer das Netzwerk übernehmen?
- ✓ Full-Scope Penetration Testing: Manuelles Hacking spezifischer Ziele (Legacy Apps, APIs, Perimeter)
- ✓ Identity Backbone Review: Analyse von AD/Entra ID, um Pfade für Ransomware und Admin-Übernahme zu schliessen
- ✓ Cloud Security Audit: Review der Azure/AWS-Umgebung (Identität, Storage, Netzwerk)
- ✓ Social Engineering: Gezielte Phishing-Simulationen zum Testen der Awareness und technischer Filter
- ✓ Incident Response Tabletop Übung: Krisen-Workshop mit dem Management, um Notfallpläne zu testen
- ✓ Deliverables: Management-Präsentation, Technische Roadmap und Report
Detaillierte Services
Externer Penetrationstest
Im Rahmen eines externen Penetrationstests prüfen unsere Spezialisten Systeme ihres Unternehmens, die im Internet exponiert sind auf Schwachstellen, um in das Netzwerk einzudringen. Hacker verwenden, neben weiteren Methoden wie zum Beispiel Phishing, solche exponierte Systeme oftmals als Einfallstor, um entweder an sensible Daten zu gelangen, oder Systeme im Netzwerk zu verschlüsseln um anschliessend Lösegeld zu verlangen (Ransomware).
Interner Penetrationstest
Ein interner Penetrationstest wird üblicherweise nach Abschluss eines externen Penetrationstest durchgeführt. Der Zugriff auf das Netzwerk ist hierbei bereits vorhanden und es soll somit eine interne Bedrohung simuliert werden. Dabei versuchen unsere Spezialisten, durch Ausnützen von Schwachstellen und Fehlkonfigurationen, ihre Zugriffsrechte so auszuweiten, dass auf sensible Systeme und Daten zugegriffen werden kann.
OSINT
Mit OSINT (Open Source Intelligence) werden öffentlich verfügbare Informationen aus Quellen wie sozialen Medien, Websites und Nachrichtenartikeln genutzt, um Informationen über eine Person oder Organisation zu sammeln. Diese Informationen können dann verwendet werden, um Schwachstellen zu ermitteln und Angriffe zu planen. Mit unserem OSINT Service können Sie also prüfen, welche sensible Informationen frei im Internet zugänglich sind und welche Risiken diese bergen. Dieses Methodik wird in der Regel auch im Rahmen eines externen Penetrationstests angewendet.
Schwachstellenprüfung
Der Unterschied von einer Schwachstellenprüfung und eines Penetrationstests liegt darin, dass ausschliesslich nach Schwachstellen in Systemen, Netzwerken oder Web-Anwendungen gesucht wird, diese aber nicht ausgenutzt werden. Diese Schwachstellen werden dann in einer priorisierten Liste mit entsprechenden Handlungsempfehlungen abgegeben. Mit diesem Service können interne, wie auch dem Internet exponierte Systeme und Anwendungen geprüft werden und somit kann Transparenz über mögliche Angriffsvektoren geschaffen werden.
Wie ein Pentest abläuft
Scoping & Kick-off
Testing & Exploitation
Reporting