Konfigurator

Automatisierte Schwachstellenscans werden oftmals zu unrecht als vollwertige Penetrationstests verkauft. Hinter den Kulissen werden hierbei lediglich automatisierte Programme und Scanner gestartet und dessen Ergebnisse für teures Geld verkauft.

Wir als Pentest Factory verwenden natürlich ebenfalls automatisierte Schwachstellenscanner und Tools, um einfache Schwachstellen sowie Fehlkonfigurationen schnell identifizieren zu können. Diese Schwachstellen werden oftmals als “low hanging fruits” bezeichnet und bedürfen keiner manuellen Analyse. Alle Ergebnisse unserer automatisierten Tools werden verifiziert und False Positives aussortiert.

Anschließend erfolgen unsere manuellen Sicherheitsüberprüfungen, welche über 70% des Penetrationstests ausmachen. Mit Hilfe von manuellen Tests sind wir in der Lage Schwachstellen zu identifizieren, die nicht von automatisierten Tools erkannt werden. Laut einer Studie sind manuelle und automatisierte Testverfahren in Kombination am effektivsten und in der Lage, nahezu alle high-risk Schwachstellen in einer Webanwendung zu identifizieren. 

Nachdem Sie sich ein Angebot über unseren Konfigurator erstellt haben, melden sich unsere Experten umgehend bei Ihnen. Hierbei können die nächstmöglichen Termine erfragt sowie abgestimmt werden. Gerne planen wir Ihren Pentest bereits im Vorhinein unverbindlich ein.

Bitte beachten Sie, dass der organisatorische Vertragsprozess inkl. Unterzeichnung oftmals die meiste Zeit benötigt. Weiterhin hängt dieser Punkt von der zeitlichen Umsetzungsmöglichkeit Ihrerseits ab. Je nach Penetrationstest benötigen Sie ggf. noch zusätzliche Zeit für die Erstellung von Testkonten oder die Beantragung von Firewall-Freischaltungen. In der Regel können Penetrationstests innerhalb von 2 Wochen starten.

Unsere Abschlussberichte erhalten Sie standardmäßig innerhalb von 1-2 Wochen nach Abschluss des Penetrationstests. Sollten Sie eine frühzeitigere Übermittlung der Ergebnisse benötigen, so sprechen Sie diese Thematik bitte im gemeinsamen Kick-Off Meeting an. Für zeitkritische Projekte stellen wir Ihnen unsere Ergebnisse gerne früher bereit, sofern möglich.

Mehr Informationen und einen Beispielbericht finden Sie hier.

Die meisten Penetrationstests können sowohl von extern als auch vor Ort an Ihrem Firmenstandort durchgeführt werden. Sollte das Prüfobjekt lediglich aus Ihrem internen Netzwerk erreicht werden können, so bestehen trotzdem mehrere Möglichkeiten, um den Penetrationstest von Remote durchzuführen:

• Bereitstellung einer VPN-Verbindung in Ihr internes Firmennetzwerk
• Bereitstellung eines Jump-Hosts, um auf das Prüfobjekt zugreifen zu können (RDP, Citrix, uvm.)
• Einsatz unseres hauseigenen Intel-NUC Kleinrechners, welcher postalisch an Sie versandt wird. Nach Einrichtung in Ihrem Netzwerk verbindet sich der NUC zurück zur Leitstelle der Pentest Factory. Daraufhin sind unsere Penetrationstester in der Lage, Ihr internes Firmennetzwerk sowie das zu testende Prüfobjekt zu erreichen. Sie erhalten eine Anleitung zur Einrichtung und die Versandkosten werden übernommen.

Alle sensitiven Dokumente oder Zugangsdaten werden über unsere verschlüsselte Austauschplattform bereitgestellt. Die E2E-Verschlüsselung erfolgt auf Transportebene (TLS) sowie auf Dateiebene (AES-256). Wir betreiben unsere Plattform eigenständig in Deutschland. Der Abruf von Dokumenten ist nachvollziehbar und wird nach 30 Tagen automatisch durch eine vollständige Datenlöschung deaktiviert.

Über diese Austauschplattform erhalten Sie per E-Mail einen sicheren Link zum Abruf unseres Abschlussberichts im PDF-Format. Weiterhin erhalten Sie optional Logdaten oder Proof-of-Concept (PoC) Exploits im ZIP-Format.

Für alle Penetrationstests und Abschlussdokumente bieten wir die Sprachen Deutsch und Englisch an. Unsere Mitarbeiter verfügen über fließende Sprachkenntnisse. 

Die Berichtssprache kann im Konfigurator ausgewählt werden und  wird erneut im gemeinsamen Kick-Off verifiziert.

Die Pentest Factory GmbH ist keine Zertifizierungsstelle. Aufgrund dieser Tatsache stellen wir keine Sicherheitszertifikate nach der Durchführung eines Penetrationstests aus. Weiterhin sind Penetrationstests lediglich eine Momentaufnahme der Sicherheit eines Prüfobjekts zum Zeitpunkt der Tests. Von einer allgemeingültigen Aussage über die Sicherheit eines Prüfobjekts nehmen wir Abstand.

Trotzdem empfehlen sich Penetrationstests für die ISO-27001 Zertifizierung Ihres Unternehmens.

Identifizierte Schwachstellen während eines Penetrationstests unterwandern eine strikte Risikobewertungsmethode. Unsere Experten diskutieren die Eintrittswahrscheinlichkeit und Auswirkung einer Schwachstelle ausführlich. Die nachträgliche Anpassung von Risikoeinschätzungen ist nicht üblich und lediglich in Einzelfällen möglich.

Als externer Dienstleister sind wir lediglich beratend tätig. Sollten Sie einer Risikoeinschätzung nicht zustimmen, können Sie mithilfe Ihres internen Risikomanagement-Teams eine Neubewertung vornehmen. Hierbei können Risiken auch akzeptiert werden.

Auf Wunsch erstellen wir Ihnen neben einem detaillierten Abschlussbericht auch gerne eine gesonderte Kundenmitteilung. Hierbei entfernen wir alle sensitiven Informationen wie IP-Adressen, Nutzernamen oder Details zur Ausnutzung von Schwachstellen. Ihre Kunden erhalten lediglich einen Einblick in die allgemeinen und relevanten Gesamtergebnisse des Penetrationstests – ähnlich einer Management Summary.

Als Pentest Factory sind wir auf Sicherheitsüberprüfungen aus dem Bereich Offensive Security spezialisiert. Angriffe auf die Verfügbarkeit von IT-Systemen wie z.B. Denial of Service (DoS) Angriffe oder Lasttests sind nicht Bestandteil unserer Leistungen.

Wir beraten Sie jedoch gerne hinsichtlich dieser Thematik und können Ihnen kompetente Partner empfehlen.

In einigen Bundesländern bestehen Fördermöglichkeiten für Leistungen im Bereich IT-Sicherheit und Penetrationstests. Wir unterstützen Sie gerne bei der Beantragung von Förderungen. Sprechen Sie bitte unsere Berater darauf an.

Sie erhalten einen detaillierten Abschlussbericht mit allen identifizierten Schwachstellen sowie umfangreichen Hinweisen zur Behebung. Selbstverständlich unterstützen wir Sie auch nach einem Pentest, z.B. bei der Behebung der Schwachstellen oder einem Re-Test zur Verifikation Ihrer Maßnahmen. Über unsere Schwestergesellschaft, der tacticx Consulting GmbH, können wir Ihnen auch umfassende Beratung im Bereich der Informationssicherheit oder dem Datenschutz anbieten. 

Handelt es sich bei Ihren Prüfobjekten um sensitive Anwendungen oder personenbezogene Daten, die eine zusätzliche NDA- oder ADV-Vereinbarung erfordern, sichten wir diese gerne. Einer Unterzeichnung steht in der Regel nichts im Wege. Unser Pentest-Vertrag beinhaltet jedoch bereits eine allgemeine Klausel zur Verschwiegenheit unserer Mitarbeiter. Unsere Kollegen aus dem Bereich Datenschutz und Informationssicherheit beraten Sie gerne bezüglich der Notwendigkeit zusätzlicher Vereinbarungen.

Bei allen Penetrationstests werden Sie über den Start sowie das Ende unserer Tests informiert. Weiterhin unterrichten wir Sie umgehend über hohe oder kritische Schwachstellen, sollten diese während dem Penetrationstest auftauchen. Hierbei erhalten Sie einen vorläufigen Memo-Bericht mit Details zur Schwachstelle.

Alle sensitiven Dokumente oder Zugangsdaten werden über unsere verschlüsselte Austauschplattform bereitgestellt. Die E2E-Verschlüsselung erfolgt auf Transportebene (TLS) sowie auf Dateiebene (AES-265). Wir betreiben unsere Plattform eigenständig in Deutschland. Der Abruf von Dokumenten ist nachvollziehbar und wird nach max. 90 Tagen automatisch durch eine vollständige Datenlöschung deaktiviert.