Pentesting

Schwachstellen finden, bevor Angreifer sie ausnutzen.

IT-Infrastruktur schützen

Datendiebstahl vermeiden

Reputation wahren

Penetrationstest

Warum Pentesting entscheidend ist

Ein Penetrationstest, kurz Pentest, ist eine aktive Angriffssimulation und wendet Techniken von Hackern an, um verborgene Schwachstellen zu identifizieren. Ein gründlicher Pentest gibt Ihnen nicht nur Gewissheit, sondern auch den entscheidenden Vorsprung gegenüber Cyberkriminellen. Denn werden Schwachstellen rechtzeitig entdeckt, können sie behoben werden bevor es zu spät ist. So können Sie Angriffe auf Ihr Unternehmen erfolgreich verhindern und kritische Daten vor Bedrohungen schützen.

Die fernao weist mehr als 20 Jahre Erfahrung in der Durchführung professioneller Pentests auf und bietet die nötige Expertise, um Ihr Unternehmen individuell zu prüfen und zu schützen.

Darum können Sie uns vertrauen

> 20 Jahre Expertise

> 50 festangestellte Security Experts

> 700 Pentests und Red Team Assessments pro Jahr

10 DAX-Konzerne als Kunden

Ganzheitlicher Pentest-Ansatz

Unsere Services im Überblick

Unternehmensweite Pentests (Enterprise)

Externe Angriffsfläche

OSINT, Password Spraying, DarkWeb, Vulnerability Scans

Wir finden nicht nur technische Schwachstellen in Ihrer externen IT-Infrastruktur, sondern ermitteln auch Ihre Schatten-IT. Zudem suchen wir im DarkWeb nach sensiblen Informationen, prüfen exponierte Logins auf schwache Passwörter und testen Ihre exponierten Anwendungen. Wir verfolgen einen ganzheitlichen Ansatz für eine vollständige Abdeckung.

Windows Clients & Active Directory

Active Directory, Initial Access & Privilege Escalation Pentest

Wir untersuchen Ihr Active Directory sowie die PCs Ihrer Mitarbeitenden auf Schwachstellen und fehlende Härtungsmassnahmen. Mit den daraus resultierenden Empfehlungen werden Angriffe erheblich erschwert.

Social Engineering

Phishing, Vishing, Anti-Phishing Audit

Wir prüfen, wie ein Angreifer über die Manipulation Ihrer Mitarbeitenden Zugang in das Firmengebäude oder Firmennetzwerk erlangt. Dabei prüfen wir die Reaktion auf Phishing-Mails, Phishing-Anrufe oder ob uns Ihre Mitarbeitenden den Zutritt ins Gebäude ermöglichen. 

Interne IT-Infrastruktur

360° Pentest, Assume Breach Red Teaming, Data Discovery Audit

Wir finden Schwachstellen in Ihrem internen Netzwerk, die einem internen Angreifer ermöglichen, andere Accounts zu übernehmen, seine Rechte zu erhöhen, sich im Netzwerk fortzubewegen und sensible Systeme zu kompromittieren. Egal ob Reinigungskraft, Praktikantin, Projekt-Partner oder Servicemitarbeiterin. Wir betrachten das passende Szenario für Sie.

Azure & M365

M365 Audit, Entra ID/Azure Audit & Red Teaming

Wir prüfen Ihre Azure-Umgebung auf fehlende Härtungsmassnahmen und zeigen in unseren Pentests, ob ein Angreifer seine Rechte erhöhen, Services in der Cloud attackieren bis hin Zugriff ins Ihr internes Firmennetzwerk erlangen kann. Egal ob externer Angreifer, Partner oder kompromittierte Anwendung, wir betrachten das passende Szenario für Sie.

Physical Security

Break-in Scenario, Hardware Hacking

Wir prüfen, ob wir uns Zutritt in Ihre Büroräume verschaffen können und berücksichtigen dabei die Sicherheit Ihrer technischen Zutrittskontrollsysteme und allgemeine Schwachstellen für physische Zugänge (z. B. Türen und Fenster).

Produkt- und anwendungsspezifische Pentests

Anwendungen

Web, API, Mobile, Fat Clients

Wir prüfen Ihre Anwendung auf Schwachstellen in der Implementierung, Konfiguration und Design. Wir prüfen dabei manuell auf komplexe Schwachstellen und arbeiten eng mit Ihnen zusammen (Grey-Box). Dabei orientieren wir uns nach renommierten Testing-Standards wie z.B. das OWASP Testing Guide.

Automotive

ISO 21434, UNECE R 155, Telematik, ECU Pentest

Wir testen und prüfen die gesamte IT-Sicherheit von Fahrzeugen (Pkw und Lkw). Dies betrifft unter anderem die Sicherheit der Steuergeräte, Bussysteme, Kommunikationsschnittstellen und Backend-Systeme.

Cloud & CI/CD

AWS, Azure, Kubernetes, IaaC

Wir testen Ihre Cloud-Umgebung auf Schwachstellen und fehlende Härtungsmassnahmen, egal ob es sich um Infrastruktur, Plattform oder Anwendungen handelt. Dabei untersuchen wir die konkrete Verwendung einzelner Cloud-Services, Container-Lösungen oder Ihre gesamte CI/CD – Pipeline. 

OT & IoT

Embedded, OT & (I)IoT

In unserem eigenen Labor testen wir jedes Element Ihrer IoT-Geräte, vom Gateway über das Hauptgerät bis hin zu mobilen Apps und Cloud-Komponenten. Zudem prüfen wir Ihre gesamte OT-Landschaft und stellen sicher, dass diese kritischen Systeme vor unbefugten Zugriffen geschützt sind. 

Managed und Continuous Pentesting

Managed Pentest

Wir übernehmen die Planung und Koordination der Pentests und tracken im Nachgang den Status der Behebung innerhalb der Behebungsfrist bis die Schwachstellen vollständig behoben sind. Durch einen monatlichen Report und der wichtigsten KPIs haben Sie stets eine management-taugliche Übersicht.

Continuous Red Teaming

Wir führen regelmässige Angriffssimulationen in Ihrem internen Netzwerk durch, evaluieren Ihre Angriffserkennung und tauschen uns eng mit Ihrem Blue Team über aktuelle Angriffstechniken aus.

Mehr zu Red Teaming

Continuous External Attack Surface Management

Wir überwachen Ihre externe Angriffsfläche und Aktivitäten im DarkWeb und führen regelmässig Angriffe durch, sodass ausnutzbare Schwachstellen frühzeitig erkannt werden.

Continuous Phishing

Wir führen regelmässig fortgeschrittene und zielgerichtete Phishing Kampagnen gegen Ihre Mitarbeiter durch und bringen unser aktuelles IT-Security Know-how so direkt zu Ihren Mitarbeitern.

Nichts Passendes dabei?

Sie haben nicht das gefunden, was Sie suchen? Durch unsere Erfahrung aus über 20 Jahren sowie unser Branchen-Know-how kennen wir klassische Einfallstore für Angriffe in allen Bereichen. Sie können uns jederzeit kontaktieren, um über Ihre individuellen Anforderungen zu sprechen und eine passende Lösung zu finden.

Jetzt Kontakt aufnehmen!

Unsere Test-Typen im Überblick

Pentest ist nicht immer gleich Pentest. Je nach Motivation, Ausgangssituation und Zielsetzung unterscheiden wir grundsätzlich zwischen unterschiedlichen Test-Typen, um das beste Kosten-Nutzen-Verhältnis für Sie zu bieten.

OSINT/Reconnaissance

Open-source Intelligence ist eine passive Recherche von öffentlich verfügbaren Informationen zur Skizzierung der Angriffsfläche, bevor zielgerichtet Angriffe durchgeführt werden können.

Vulnerability Assessment

Ein Vulnerability Assessment ist ein vorwiegend automatisierter Schwachstellen-Scan, wobei der Fokus auf der Analyse, Priorisierung und Aufbereitung der Ergebnisse liegt.

Pentest

Ein Pentest prüft aktiv mit den Techniken eines Angreifers auf Schwachstellen. Ziel ist es dabei, so viele Schwachstellen wie möglich zu identifizieren. Eine Ausnutzung der Schwachstellen liegt nicht im Fokus des Tests.

Social Engineering

Social Engineerung befasst sich mit der Schwachstelle Mensch und zeigt durch aktive Manipulationsversuche Fehlverhalten bzw. fehlendes Sicherheitbewusstein auf.

Security Audit

Ein Security Audit ist eine tiefgehende Analyse eines bestimmten Systems auf weitere Härtungsmassnahmen und nach Security Best Practices, um es Angreifern so schwer wie möglich zu machen.

Source Code Review

In einem Source Code Review prüfen wir Applikationen durch eine statische Analyse des Codes auf Schwachstellen. Dies erfolgt meist ergänzend zu einem Pentest (White Box Test).

Red Teaming

Ein Red Team Assessment ist eine aktive Angriffssimulation. Der Fokus liegt in der Ausnutzung von Schwachstellen und dem Aufzeigen konkreter Angriffswege. Zudem wird ein Red Team Assessment üblicherweise verdeckt und heimlich durchgeführt, um auch die Prozesse in der Angriffserkennung zu evaluieren. Mehr zu Red Teaming

Workshops

In einem Workshop steht der Informations- und Wissensaustausch im Vordergrund. Wir bringen unsere Expertise in Ihr Unternehmen und können uns bestimmte Themenbereiche im Detail anschauen. Dies erfolgt oft im Anschluss an einen Pentest.

Die Vorteile von Pentesting

Früherkennung

Identifizierung von potenziellen Schwachstellen

Kostenreduzierung

Datenverluste & Geschäftsausfälle vermeiden

Reputationsschutz

Das eigene Team und die Kundschaft schützen

Holistische Sicherheit

Aufdeckung organistatorischer Defizite

Compliance

Einhaltung strenger Sicherheitsstandards wie NIS2, DORA & ISO/IEC 27001:2022

Wettbewerbsvorteile

Wettbewerbsvorteile durch Vermeidung von Ausfällen

Pentesting: Auf der Jagd nach Schwachstellen in Ihrer digitalen Festung.

Häufig gestellte Fragen zum Pentesting

Warum sollte ich einen Pentest durchführen lassen?

Ein Pentest evaluiert aus Angreifersicht die aktuelle Sicherheit eines Systems, eines Netzwerks, einer Anwendung oder von ganzen Prozessen. Sie erhalten damit die Antwort, welche Schwachstellen aktuell existieren und ob Ihre bisherigen Sicherheitsmassnahmen Sie wirklich vor Angriffen schützen. Letztendlich ist ein Pentest die sinnvollste Massnahme, um die Qualität Ihrer IT auf die Probe zu stellen, bevor es ein echter Angreifer versucht.

 

Denn ein echter Angriff verursacht wesentlich höhere Kosten und schadet zudem deutlich der Reputation eines Unternehmens.

Wie sieht ein Pentest-Bericht aus?

Was kostet ein Pentest?

Welche Risiken bestehen bei einem Pentest?

Wie oft sollte ein Pentest durchgeführt werden?

Was geschieht nach einem Pentest?

Schützen Sie Ihre digitale Zukunft

In der dynamischen Welt der Cybersicherheit sind proaktive Massnahmen nicht nur wünschenswert, sie sind unerlässlich. Denn jede Minute, in der Ihre Systeme ungeschützt bleiben, steigt das Risiko eines potenziellen Angriffs, der Ihr Geschäft und Ihren guten Ruf gefährden könnte. 

Vertrauen Sie nicht darauf, dass Sie "klein genug" sind, um nicht ins Visier von Cyberkriminellen zu geraten oder, dass Sie "gross genug" sind, um sich selbst zu schützen. In der digitalen Welt sind alle Unternehmen gleich, wenn es darum geht ein potentielles Ziel zu sein. Lassen Sie uns gemeinsam sicherstellen, dass Sie vorbereitet sind!

fernao.ch | Pentesting