Pentest

Active Directory Sicherheitsaudit

Active Directory Audit, AD testen und auditieren, Ransomware-Schutz, zweite Verteidigungslinie

Ein Active Directory Audit ist eine White-Box-Sicherheitsanalyse deines lokalen Active Directory, die Fehlkonfigurationen, gefährliche Berechtigungen und Angriffspfade bis zur Domänenübernahme aufdeckt, bevor ein Angreifer oder Ransomware sie ausnutzen kann.

Ransomware-Angriffe nehmen zu, und diejenigen mit der höchsten Auswirkung übernehmen das gesamte Active Directory. Wir müssen dieses Systeme sichern, um das Risiko, dass unsere Daten verschlüsselt und im Internet zum Verkauf angeboten werden, zu minimieren!

Interner IT-Infrastruktur Penetrationstest

Interner Penetrationstest, interne IT-Infrastruktur testen, Ransomware-Vorbeugung

Ein interner IT-Infrastruktur Penetrationstest simuliert einen Angreifer, der bereits einen Fuß im Netzwerk hat (etwa nach einem Phishing-Klick), und testet, ob er sich lateral bewegen und Domain Admin erreichen kann.

Was, wenn eine deiner Mitarbeiterinnen oder Mitarbeiter auf den falschen E-Mail-Anhang klickt? Wirst du in der Lage sein, den Angriff zu stoppen, oder werden die Angreifer von dort aus weiter im Netzwerk bewegen und alle deine Systeme übernehmen können? Deshalb solltest du einen Penetrationstest der internen Infrastruktur durchführen. Das interne System ist nur einen falschen Klick davon entfernt, „öffentlich“ zu sein.

Was kostet ein Penetrationstest?

Wie die Preisgestaltung für einen Penetrationstest funktioniert: Tagessatz, Timebox und die Faktoren hinter dem Endpreis

„Was kostet ein Pentest?“ ist die Frage, die ich am häufigsten höre, und die ehrliche Antwort ist immer „das kommt drauf an“. Das ist keine Ausrede. Ein Pentest wird nach Aufwand abgerechnet, nicht als fertiges Produkt verkauft, also lautet die eigentliche Frage dahinter: Was entscheidet darüber, wie viel Aufwand ein konkretes Projekt tatsächlich braucht? Genau das erklärt dieser Beitrag.

Checkliste zur Wahl eines Pentest-Anbieters für KMU in der DACH-Region

Checkliste zur Wahl eines Penetrationstest-Anbieters für kleine und mittlere Unternehmen in der DACH-Region

Einen Penetrationstest-Anbieter zu wählen ist schwer, wenn du selbst kein Sicherheitsspezialist bist, und in dieser Lage sind die meisten KMU. Der Markt ist voll selbstbewusster Verkaufsversprechen, und der Unterschied zwischen einem wirklich nützlichen Test und einem teuren Compliance-Häkchen ist aus einer Broschüre nicht erkennbar. Diese Checkliste gibt dir die konkreten Fragen und sagt dir, wie gute Antworten klingen.

Wie ein NIS2-tauglicher Pentest für ein Unternehmen mit 50 bis 500 Mitarbeitenden aussieht

Wie ein NIS2-tauglicher Penetrationstest für ein mittelständisches Unternehmen mit 50 bis 500 Mitarbeitenden in der DACH-Region aussieht

NIS2 hat tausende mittelständische Unternehmen in ein Compliance-Regime gezogen, über das sie nie nachdenken mussten. Wenn du die IT in einem Unternehmen mit 50 bis 500 Mitarbeitenden in der DACH-Region verantwortest, hat man dir wahrscheinlich gesagt, du müsstest “etwas wegen NIS2 tun”, und ein Penetrationstest gehöre dazu. Dieser Artikel erklärt schlicht, wie ein NIS2-tauglicher Pentest tatsächlich aussieht und was Auditoren sehen wollen.

Boutique-Pentest (Einzelperson) vs. große Firma vs. PTaaS: Wie du dich entscheidest

Vergleich eines Boutique-Pentests durch eine Einzelperson, einer großen Sicherheitsfirma und einer PTaaS-Plattform zur Wahl des Pentest-Anbieters

Du brauchst einen Penetrationstest, und der Markt bietet drei sehr unterschiedliche Anbietertypen: die Boutique-Einzelperson, die große Sicherheitsfirma und die PTaaS-Plattform. Sie sind unterschiedlich bepreist, liefern unterschiedlich und sind nicht austauschbar. Dieser Ratgeber vergleicht sie anhand der Faktoren, die das Ergebnis wirklich beeinflussen.

Der Penetrationstest-Käuferratgeber: Richtig scopen, Budget sinnvoll einsetzen

Penetrationstest Käuferratgeber, Scoping, Blackbox vs. Greybox, den richtigen Anbieter wählen

Du hast entschieden, dass du einen Penetrationstest brauchst. Gute Entscheidung. Aber bevor du einen Auftrag unterzeichnest, kann vieles schiefgehen: falscher Scope, falsche Methodik, falsche Erwartungen. Das Ergebnis ist ein Bericht, der in der Schublade verstaubt, und ein Budget, das verschwendet wurde.

Dieser Ratgeber richtet sich an die Menschen, die Pentests kaufen, nicht an jene, die sie durchführen. Er erklärt, was ein Pentest wirklich ist, wann man ihn durchführen sollte, was man erwarten kann und wie man die häufigsten und teuersten Fehler vermeidet.

Cloud Infrastruktur Audit

Cloud Infrastruktur Audit, Azure, AWS Konfiguration prüfen, IAM, Cloud Security

Ein Cloud Infrastruktur Audit ist eine rein lesende White-Box-Prüfung deiner Azure-, AWS- oder GCP-Umgebung, die Fehlkonfigurationen, überprivilegierte IAM-Rollen und exponierte Dienste findet, bevor Angreifer es tun.

Cloud-Services bieten enorme Flexibilität, aber diese Flexibilität bringt auch Risiken mit sich. Falsch konfigurierte Storage Buckets, zu weitreichende IAM-Rollen und exponierte Management-Schnittstellen zählen zu den häufigsten Ursachen für Cloud-Sicherheitsvorfälle. Ein Cloud Infrastruktur Audit prüft deine Cloud-Umgebung mit einem Nur-Lese-Account, um genau diese Schwachstellen zu finden, bevor Angreifer es tun.

Unterstützte Plattformen: Azure, AWS und GCP. In Azure-Umgebungen hängen Fehlkonfigurationen im Cloud-IAM häufig eng mit Entra ID Rollenzuweisungen und Conditional Access zusammen. Beide werden oft gemeinsam geprüft.

Entra ID Sicherheitsaudit

EntraID Audit, Azure AD / Microsoft Entra ID konfiguration prüfen, Identitätsmanagement

Ein EntraID Audit (früher Azure AD) ist eine White-Box-Prüfung deines Microsoft-Entra-ID-Tenants, die Fehlkonfigurationen bei Identität und Zugriff, schwache bedingte Zugriffsrichtlinien und Angriffspfade zur Rechteausweitung aufdeckt.

EntraID (Microsoft Entra ID) ist die zentrale Lösung von Microsoft für Identitäten und Zugriff, vor allem in Microsoft-365-Umgebungen. Sie ermöglicht Single Sign-On (SSO) und die Zugriffsverwaltung. Fehlkonfigurationen können zu unberechtigten Zugriffen oder erleichterten Social-Engineering-Angriffen führen. Deshalb ist ein gründliches Testen dieser Komponente wichtig.

Externer IT-Infrastruktur Penetrationstest

Externer Penetrationstest, externe IT-Infrastruktur und Angriffsfläche testen

Ein externer IT-Infrastruktur Penetrationstest prüft deine aus dem Internet erreichbaren Systeme (Server, VPNs, Mail, Fernzugänge) auf ausnutzbare Schwachstellen und Exposition, die ein Angreifer für einen ersten Zugang nutzen könnte.

Wenn dein System aus dem Internet erreichbar ist, könnte es potenziell von jedem gehackt werden. Okay, ich übertreibe ein bisschen, aber ich denke, du verstehst, was ich meine. Schwachstellen in deiner externen Infrastruktur können zu sehr schlechter Presse führen und die persönlichen Informationen deiner Kunden gefährden. Deshalb ist es besser, auf Nummer sicher zu gehen.

Penetrationstest für Webanwendungen

Web Application Penetration Test, Webanwendungen auf Schwachstellen testen, OWASP

Ein Web Application Penetration Test ist eine manuelle Sicherheitsanalyse einer Webanwendung und ihrer APIs mit Fokus auf die OWASP Top 10: Broken Access Control, Injection, Authentifizierungsfehler und Business-Logik-Schwachstellen.

Schwachstellen in Webanwendungen können sehr problematisch werden. Im schlimmsten Fall wird der komplette Webserver übernommen oder vertrauliche Kundendaten gestohlen. Daher ist es besonders wichtig, diese Anwendungen ausführlich zu testen.