Beratungsgespräch

Sie interessieren sich für Cyberangriffe und möchten ein unverbindliches Beratungsgespräch vereinbaren.
Ich berate Sie gerne zu Fragen rund um das Thema Ethical Hacking und wie Sie Ihre Sicherheit durch kontrollierte Cyberangriffe verbessern können.
Vereinbaren Sie ein Beratungsgespräch

Penetrationstests

Mittels eines Externen und Internen Penetrationstests suche Ich Schwachstellen innerhalb Ihrer IT-Infrastruktur.  Schon kleinste  Fehlkonfiguration in Ihrem Netzwerk können katastrophale Auswirkungen haben im Falle eines echten Cyber-Angriffs.
Anfragen

Methodik:

1. Vorbereitung und Planung
Festlegung des Testumfangs, der Zielsysteme (z. B. externe Webserver, interne Netzwerke, Domänen), der Rahmenbedingungen sowie des Zeitraums.

2. Informationssammlung (Reconnaissance)
Aktive und passive Sammlung von Informationen über die Zielumgebung. (z. B. OSINT, Netzwerkscans, BloodHound, Web-Discovery)

3. Schwachstellenanalyse (Vulnerability Assessment)
Die gewonnenen Informationen werden mit manuellen und automatisierten Methoden analysiert. Dabei wird unter anderem nach Schwachstellen in Webanwendungen, verwendeter Software und Authentifizierungsverfahren gesucht.

4. Exploitation (Ausnutzung von Schwachstellen)
Nach der Analyse, werden gefundene Schwachstellen ausgenutzt, um die Angriffsoberfläche zu erweitern und in Systeme einzudringen. Anschließend werden verschiedene Aktionen durchgeführt (Post-Exploitation) z. B. um den Zugang zu sichern (Persistence), Daten zu exfiltrieren oder den Zugang zu anderen Systemen zu erweitern (Lateral Movement).

5. Bericht und Präsentation
Dokumentation der durchgeführten Tests, der gefundenen Schwachstellen, der Exploits und der Auswirkungen sowie Empfehlungen zur Behebung der Schwachstellen. Darüber hinaus wird eine Übersicht für die Unternehmensleitung erstellt und die Ergebnisse werden in einer gemeinsamen Sitzung präsentiert.

6. Nachtest (falls gewünscht)
Falls erforderlich, werden erneute Tests durchgeführt, um sicherzustellen, dass die Maßnahmen zur Behebung der Schwachstellen erfolgreich waren.

Preis (gilt für alle Portfolioelemente):
Tagessatz: 1200€
Die benötigte Zeit klären wir zusammen in einem ersten Angebotsgespräch.

Phishing-Kampagnen

Ein Großteil aller Einbrüche in ein Unternehmensnetzwerk erfolgt über Phishing. Daher ist es notwendig Angehörige einer Organisation regelmäßig gegenüber Cyberangriffen zu schulen.

Anfragen

Methodik:

1. Vorbereitung und Planung
Festlegung der Ziele und Aufbau der Kampagne (z. B. Schulung und Sensibilisierung von Führungskräften), der Zielgruppe und der Zeitraum.

2. Kampagnenerstellung
Entwicklung von (Spear-) Phishing-Nachrichten, gefälschten Login/Schulungs-Seiten oder Malware.

3. Durchführung und Überwachung
Versand von Phishing-E-Mails an die Zielgruppe/n in Wellen und Überwachung des Nutzerverhaltens.

  • E-Mail Öffnungsrate
  • Link-Clickrate
  • Eingeben von Zugangsdaten
  • Öffnung von Anhängen

4. Auswertung und Bericht
Erstellung eines Berichts mit statistischen Ergebnissen, Auswertung und Handlungsempfehlungen.

5. Vortrag
Innerhalb eines Live-Vortrags lernen Ihre Mitarbeiter die Auswirkung von erfolgreichen Phishing-Angriffen kennen.

  • Aufbau und Organisation von Hackergruppen
  • Leaks von Mitarbeiterdaten nach einem erfolgreichen Angriff ( z. B. Ausweisdokumente, Kreditkarten, Gesundheitsdaten)
  • Aktuelle Lage der IT-Sicherheit in Deutschland

Sicherheitsanalysen

Eine Sicherheitsanalyse von Webanwendungen ist ein systematischer Angriff der darauf abzielt, Schwachstellen zu identifizieren und auszunutzen, um die Sicherheit der Anwendung zu bewerten und zu verbessern. Die Analyse wir gemäß des OWASP Web Security Testing Guide durchgeführt.
Anfragen

Methodik:

1. Vorbereitung und Planung
Es wird festgelegt, welche Anwendung und welche Domänen/Subdomänen in den Testumfang einbezogen werden, sowie der Testzeitraum.

2. Informationssammlung (Reconnaissance)
Informationen über die Anwendung(en) werden mit Methoden wie DNS-Recherche, Portscans oder Fuzzing gesammelt. Lokale Proxys werden verwendet, um die Struktur der Anwendung abzubilden, und HTTP-Methoden zu untersuchen.

3. Schwachstellenanalyse (Vulnerability Assessment)
Mithilfe automatisierter und manueller Methoden wird die Anwendung auf der Grundlage der zuvor gesammelten Informationen in Übereinstimmung mit dem OWASP Testing Guide auf Schwachstellen untersucht.

4. Exploitation (Ausnutzung von Schwachstellen)

Durchführung von Angriffen auf die Anwendung, wie:

SQL-Injektion: Auslesen von Datenbank-Einträgen.
XSS: Skriptinjektionen um z. B. Authentifizierungsmaterial zu stehlen.
CSRF (Cross-Site Request Forgery): Unautorisierte Aktionen im Namen eines authentifizierten Benutzers ausführen.
Local File Inclusion: Versuche, sich unberechtigten Zugriff auf Dateien zu verschaffen.

5. Bericht und Präsentation
Dokumentation der durchgeführten Tests, der gefundenen Schwachstellen, der Exploits und der Auswirkungen sowie Empfehlungen zur Behebung der Schwachstellen. Darüber hinaus wird eine Übersicht für die Unternehmensleitung erstellt und die Ergebnisse werden in einer gemeinsamen Sitzung präsentiert.

6. Nachtest (falls gewünscht)
Falls erforderlich, werden erneute Tests durchgeführt, um sicherzustellen, dass die Maßnahmen zur Behebung der Schwachstellen erfolgreich waren.