Vorgehensweise
Standards
Ein standardisiertes Vorgehen stellt eine gleichbleibende und hohe Qualität unserer Arbeiten sicher.
Bei der Durchführung von Penetrationstests setzen wir auf ein standardisiertes Vorgehen, welches mittels eigener Checklisten und Prüfschritten umfänglich erweitert wird. Als Basis unserer Sicherheitsüberprüfungen kommen bekannte Standards renommierter Organisationen wie z.B. der OWASP zum Einsatz.
Allerdings ist jeder Penetrationstest individuell und das Prüfobjekt muss auf Basis der eingesetzten Infrastrukturkomponenten oder neu veröffentlichter Schwachstellen einzigartig in seiner Sicherheit untersucht werden. Das Zusammenspiel einer standardisierten Vorgehensweise sowie individueller Prüfschritte stellt unsere hohe Erfolgsquote bei der Identifizierung von Schwachstellen sicher.
KEY FACTS
Offensive Security Certified Professional
Wir setzen nur OSCP-zertifiziertes Personal für die Durchführung von Penetrationstests ein. Dies stellt eine hohe Mindestanforderung an die Qualität unserer Arbeiten und die Fähigkeiten unserer Mitarbeiter sicher.
OWASP TOP 10
Für die Überprüfung von Webanwendungen setzen wir auf den allbekannten OWASP TOP-10 Standard. Dieser stellt einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen dar und umfasst detaillierte Prüfschritte.
Individuelle Checklisten & Prüfschritte
Neben dem Einsatz von bewährten Industriestandards, setzen wir zusätzlich auf selbst entwickelte Checklisten und Prüfschritte. Diese basieren auf der Erfahrung unserer Penetrationstester aus einstigen Kundenprojekten oder neuartiger Ansätze.
OWASP API Security TOP 10
Für die Überprüfung von API-Schnittstellen setzen wir auf das bekannte API Security Projekt der OWASP. Die API Security Top 10 stellen einen breiten Konsens über die kritischsten Sicherheitsrisiken für API Webdienste dar und umfassen detaillierte Prüfschritte.
Hohe Qualitätssicherung
Alle unsere Dokumente, wie z.B. Angebote oder Abschlussberichte, durchlaufen einen strukturierten Qualitätssicherungsprozess. Reviews erfolgen im 4-Augen-Prinzip durch eine Zweitperson.
NIST, CIS und Herstellerangaben
Unsere Vorgehensweisen sowie Empfehlungen zur Schwachstellenbehebung decken sich mit Herstellerangaben sowie renommierter Institutionen, wie NIST oder dem Center for Internet Security (CIS).
Häufige Fragen (FAQ)
Bieten Sie auch den Standard X oder die Qualifikation Y an?
Sollten Ihre Projektanforderungen Standards oder Qualifikationen definieren, welche nicht auf unserer Homepage aufgelistet sind, so bieten wir diese gegebenenfalls nicht an. Gerne machen wir uns mit Ihren individuellen Anforderungen vertraut und versuchen diese, sofern es möglich ist, umzusetzen.
Unsere Penetrationstester sind OSCP-zertifiziert und haben eine praktische 24h Hacking-Prüfung unter realen Bedingungen absolviert. Unsere Anforderungen basieren demnach nicht nur auf theoretischen Kenntnissen, wie bekannt von einer Vielzahl namhafter Multiple-Choice-Zertifizierungen, sondern auf einem realitätsnahen Mix aus Theorie und echter Praxis.
Bei Penetrationstests kommen allerlei Standards und Empfehlungen von OWASP, NIST und dem BSI zum Einsatz. Diese decken Kundenanforderungen in der Regel vollständig ab oder bieten zumindest einen hohen Deckungsgrad in dem empfohlenen Testvorgehen.