Offensive Security

Wie sicher sind Sie wirklich?
Wir nehmen die Sicht des Angreifers ein
und geben Ihnen eine realistische Einschätzung

Unsere Angebote

Würden Sie gerne wissen, wie sicher Ihre Anwendungen oder Systeme tatsächlich sind?

Häufig prüfen Unternehmen die Sicherheit ihrer Anwendungen, IT-Systeme oder Infrastrukturen, indem sie KPIs analysieren und sich auf Aussagen der Betreiber verlassen. So werden Schwachstellen übersehen. Wir nehmen die Sicht des Angreifers ein und testen Ihre Anwendungen und Systeme. Hierfür nutzen wir sowohl Tools zur automatisierten Überprüfung als auch individuell auf Ihre Systeme abgestimmte Methoden.

Wissen Sie, welche Informationen Sie Angreifern ungewollt zur Verfügung stellen, die für die Vorbereitung von Cyberattacken genutzt werden können?

Wir analysieren alle frei zugänglichen Informationen über Ihr Unternehmen. Anhand dieser gewonnenen Informationen modellieren wir mögliche Angriffsszenarien und geben Ihnen entsprechende Handlungsempfehlungen zur Erhöhung Ihres Schutzniveaus.

Unsere Angebote

Individuelle Penetrationstests

Wir führen eine technische Überprüfung Ihrer Systeme, Anwendungen oder Webseiten durch und bereiten die Ergebnisse sowohl technisch als auch für das Management auf.

OSINT-Assessments

Wir überprüfen, welche öffentlichen Informationen für Angreifer interessant sind und modellieren daraus potenzielle Bedrohungsszenarien.

Detailliertes Beratungsgespräch

Wir erarbeiten mit Ihnen zusammen, welche Testarten für Ihren speziellen Use Case Sinn ergeben und den für Sie größtmöglichen Mehrwert liefern.

Unsere Expertise im Bereich Offensive Security

Mit Penetrationstests oder auch Pentests prüfen wir die technische Sicherheit der von Ihnen genannten Zielsysteme. Dabei werden diese von unseren zertifizierten Expert:innen in einem definierten Zeitraum einem simulierten Angriff ausgesetzt und die Ergebnisse dokumentiert. Unser transparenter Bericht enthält nicht nur die technischen Informationen, die jede Aktion nachvollziehbar machen und Ihren Mitarbeitenden Handlungsempfehlungen geben. Wir erstellen auch eine strukturierte Zusammenfassung für Entscheidungsträger:innen, um eventuell bestehende Risiken einschätzen und behandeln zu können.

Kontaktieren Sie uns bei Fragen
Ein Schwachstellenscan ist eine oberflächliche Überprüfung von Applikationen und Systemen. Er kann in der Regel schnell und kurzfristig durchgeführt werden.

Es ist wichtig zu wissen, dass auch Angreifer solche Scans durchführen, um Informationen für groß angelegte Angriffe, z.B. auf nicht aktualisierte Anwendungen, zu erhalten. Systeme, die dem Internet ausgesetzt sind, werden regelmäßig auf solche Angriffsmöglichkeiten überprüft.

Wir empfehlen daher, insbesondere beim Betrieb vieler exponierter Systeme, regelmäßige Schwachstellenscans durchzuführen. So können bekannte Fehlkonfigurationen oder der Einsatz veralteter Software automatisiert erkannt und eine Priorisierung der zu behebenden Probleme vorgenommen werden.

Wir unterstützen Sie bei der Durchführung
Ein Schwachstellenscan läuft vollautomatisiert ab und deckt potentielle Schwachstellen auf, die sehr leicht zu entdecken sind. Häufig handelt es sich dabei um veraltete Software oder Fehlkonfigurationen der Serversysteme. Bei einem Penetrationstest nimmt ein erfahrener Tester die Sicht des Angreifers ein. Er führt sowohl automatisierte als auch manuelle Überprüfungen durch, betrachtet unter anderem die Anwendungslogik und geht über das reine Aufspüren von veralteter Software oder offensichtlichen Fehlkonfigurationen hinaus. Hierbei wird auch versucht, Sicherheitslücken aktiv auszunutzen, um eine realistische Einschätzung des tatsächlichen Risikos und möglicher Folgerisiken zu erhalten.

Kontaktieren Sie uns bei Fragen
Unsere Testmethodik sowie unsere Berichte erfüllen in der Regel alle Anforderungen üblicher Compliance-Anforderungen. So enthält unser Bericht neben der Beschreibung unserer Testmethodik und des Testumfangs eine ausführliche „Management Summary“, die die Ergebnisse für Entscheider:innen und Auditoren verständlich und transparent darstellt. Darüber hinaus listen wir jede gefundene Schwachstelle detailliert auf und geben neben den Schritten zur Reproduzierbarkeit auch eine Einschätzung der Kritikalität sowie eine Beschreibung zur Behebung der Schwachstelle.

Sollten Sie zusätzliche Anforderungen haben oder weitere Unterlagen für die Auditoren benötigen, besprechen wir diese grundsätzlich vor jeder Angebotserstellung, um das für Sie das bestmögliche Ergebnis zu erzielen.

Kontaktieren Sie uns bei Fragen
OSINT steht für Open Source Intelligence und beschreibt das Aufspüren und Verknüpfen von Informationen, die aus frei verfügbaren Quellen gesammelt werden.

Das Angriffspotential durch öffentlich verfügbare Informationen wird häufig unterschätzt. Oft lassen sich durch eine gezielte Recherche Organigramme des Unternehmens rekonstruieren, technische Konfigurationen von Systemlandschaften ermitteln und weitere Details zum Unternehmen auskundschaften. Solche Informationen liefern Angreifern eine solide Vorbereitung für eine gezielte Kampagne. Aus diesem Grund sind Social-Engineering-Angriffe – insbesondere Phishing – sehr häufig erfolgreich. In unserem OSINT-Assessment prüfen wir für Sie, welche Informationen über Ihr Unternehmen öffentlich verfügbar sind und verknüpfen diese zu potenziellen und individuellen Angriffsszenarien.

Kontaktieren Sie uns bei Fragen
Das Offenlegen von Teilinformationen über ein Unternehmen wird häufig mit den Worten “Jetzt kennt der Angreifer unsere Namen, Positionen und E-Mail-Adressen. Na und?” abgetan.

Doch eine Kombinationen von vielen kleinen Informationen kann eine solide Grundlage für einen gezielten Angriff liefern. Weiß der Angreifer, welche Anti-Viren-Software eingesetzt wird, kann Schadsoftware so angepasst werden, dass sie diese umgeht. Erfährt der Angreifer, dass neue Kolleg:innen im Unternehmen angefangen haben und kennt deren Positionen, lassen sich dadurch gezielte Social Engineering-Kampagnen fahren. Diese können Phishing oder CEO Fraud sein. Es ist wichtig, diese Bedrohungen zu modellieren, das Risiko einzuschätzen und damit umzugehen.

Wir helfen Ihnen dabei

carmasec leistete einen nennenswerten Beitrag zur Sicherheit unserer Dienste. Wir sind mit der erbrachten Leistung, der professionellen Beratung sowie der gesamten Durchführung des Projekts sehr zufrieden.
Daher empfehlen wir carmasec an jedes Unternehmen weiter, das einen umfangreichen Infrastruktur-Pentest durchführen lassen möchte.

Dr. Frank Kursawe, Purchasing and Data Protection Manager, tyntec GmbH

Um das Sicherheitsniveau insbesondere unserer Kernapplikationen einschätzen zu können, lassen wir unter anderem regelmäßig externe Penetrationstests durchführen.
Die umfangreiche Berichterstattung inkl. Triage, die wir während des Projekts und nach Abschluss von carmasec erhielten, war für unsere interne Bewertung und Priorisierung außerordentlich hilfreich.

Christian Schneider, Head of Risk, Solactive AG

Mit carmasec fanden wir einen vertrauenswürdigen und äußerst kundenorientierten Dienstleister, der uns bei der Umsetzung unterstützte und einen umfangreichen Ergebnisbericht erstellt hat.
Auf jeden Fall empfehlen wir carmasec weiter: Mit der freundlichen und konstruktiven Zusammenarbeit sind wir sehr zufrieden.

Stefanie Ricks, ELIGO Psychologische Personalsoftware GmbH

Haben Sie Fragen?

Sprechen Sie mich gerne an!

Schildern Sie mir Ihre aktuelle Herausforderung und ich liefere Ihnen Lösungsansätze, die wir anschließend auch gerne mit Ihnen umsetzen!

Icon Tel +49 (0)201 426 385 905

Termin vereinbaren