Erfahrene Penetration Tester 
SVA setzt ausschließlich erfahrene und qualifizierte Mitarbeiter mit mehrjähriger Berufserfahrung im Bereich Penetration Testing ein. Unsere Prüfer besitzen die Offensive Security Certified Professional (OSCP) und Offensive Security Certified Expert (OSCE) Zertifizierung.
Machen Sie Ihre Systeme fit gegen Angriffe
Unsere Experten führen die Penetrations Tests im von Ihnen gewünschten Umfang durch.
IoT
Vernetzte Maschinen und Devices werden immer beliebtere Hackerziele.
Web Apps
Bei Web Applikationen bedarf es einer besonderen Prüfung, um Schwachstellen in der Programmierung sowie im Design auszuschließen.
WLAN
Mobiles Arbeiten ist komfortabel. Ihr Hotspot kann jedoch schnell zum Einfallstor werden.
Netzwerk extern
Sie haben Ihren Netzwerkperimeter umfangreich geschützt. Dennoch sollten Sie regelmäßig prüfen, ob Ihre Maßnahmen noch dem aktuellen Stand der Technik entsprechen.
Netzwerk intern
Hat ein Angreifer Ihre Mauern einmal überwunden, hat er oft leichtes Spiel. Ein interner Security Scan zeigt Ihnen, wo Handlungsbedarf besteht.
Mobile Apps
Jeder nutzt Sie. Aber kaum jemand nimmt im Detail unter die Lupe, wohin die Daten fließen.
PRÜFLEISTUNGEN
Je nach Schwerpunkt und Umfang bieten wir modulare Prüfungen an, die an Ihre individuellen Bedürfnisse angepasst werden können
Pentest Modul
- Individuelle Vorbesprechung
- Leistungsbeschreibung inkl. Prüfvereinbarung
- Host Discovery (ermitteln aktiver Systeme)
- TCP/UDP Port-Scan (65.535 Ports)
- Schwachstellen-Scan/ Analyse
- Durchführung des Pentests nach BSI-Standard
- Schwachstellenprüfbericht und Management Summary
- Telefonische Nachbesprechung der Ergebnisse
Pentest Modul
- Leistungen des STANDARD Pakets
- + Individuelle Abstimmung über die Tiefe des Penetration Tests
- + Manuelle Verifizierung (in Stichproben)
- + Risikoeinschätzung durch Analysten und Erstellung Mängelliste mit Empfehlungen
- + Präsentation der Ergebnisse vor Ort
Pentest Modul
- Leistungen des EXTENDED Pakets
- + Manuelle Verifizierung
- + Ausnutzen von Schwachstellen
- + Erstellung von Proof-of-Concepts
Vielfach gestellte Fragen (FAQ)
Bei einem Penetration Test nehmen wir die Rolle eines internen oder externen Angreifers ein. Dabei führen wir gezielte Angriffe auf Netzwerke, Systeme und Applikationen durch und decken somit Schwachstellen auf – sowohl über das Internet, vor Ort im lokalen Netzwerk oder direkt auf den Zielsystemen.
Bei der Durchführung eines Penetration Tests simuliert SVA zum Teil Hackerangriffe. Es lässt sich trotz aller Sorgfalt nicht gänzlich ausschließen, dass bei der Durchführung bestimmter Prüfungen Datenmengen innerhalb der IT-Infrastruktur des Auftraggebers geschädigt und/oder gelöscht, IT-Systeme unterbrochen, automatisch abgeschaltet oder zerstört werden. In äußerst seltenen Fällen können sogar Denial of Services auftreten.
Sie müssen aus diesem Grunde sicherstellen, dass eine regelmäßige Datensicherung durchgeführt wird und ein Backup systemrelevanter Daten vor der Durchführung der jeweiligen Penetration Tests Services erfolgt.
Der Auftraggeber schaltet ggf. blockierte Quell-IP-Adressen für eine zeitnahe Prüfung frei. Außerdem sollten Sie Drittparteien wie z. B. Hoster, die vom Penetration Test möglicherweise betroffen sein können, im Vorfeld informieren und die Vorgehensweise mit diesen abstimmen.
Sie erhalten für den Prüfnachweis einen qualifizierten und durch den SVA Prüfer selbst erstellten Abschlussbericht.
Der Abschlussbericht ist für sachverständige Dritte verständlich und nachvollziehbar.
SVA bietet einen Compliance Health Check an. Dabei erfolgt die Überprüfung über einen direkten Zugriff mit privilegierten Zugriffsrechten auf das Prüfobjekt (z.B. Server, Switch oder Firewall). Auf diese Weise werden Schwachstellen aufgedeckt, die bei einer externen Überprüfung unbemerkt bleiben können.
Ein Compliance Health Check ist bei Systemen sinnvoll, die einen hohen Schutzbedarf haben oder bestimmten Compliance-Anforderungen bei der Konfiguration entsprechen müssen. Dabei berücksichtigen wir z.B. Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI), dem Center of Internet Security (CIS) und dem Payment Card Industry Data Security Standard (PCI-DSS).
Ein Penetration Test liefert einen Mehrwert durch das Erkennen operativer Risiken und somit die Entscheidungskriterien für die Auswahl effektiver sowie effizienter Schutzmaßnahmen.
Patrick Münch
Head of Competence Center Penetration Testing, SVA
Der Handlungsdruck für Unternehmen durch neue Gesetze und Regulierungen wird immer größer. Werden diese Anforderungen nicht ernst genommen, ist eine persönliche Haftung der Verantwortlichen nicht auszuschließen.