Datendiebstahl vermeiden
Reputation wahren
Penetrationstest
Warum Pentesting entscheidend ist
Ein Penetrationstest, kurz Pentest, ist eine aktive Angriffssimulation und wendet Techniken von Hackern an, um verborgene Schwachstellen zu identifizieren. Ein gründlicher Pentest gibt Ihnen nicht nur Gewissheit, sondern auch den entscheidenden Vorsprung gegenüber Cyberkriminellen. Denn werden Schwachstellen rechtzeitig entdeckt, können sie behoben werden bevor es zu spät ist. So können Sie Angriffe auf Ihr Unternehmen erfolgreich verhindern und kritische Daten vor Bedrohungen schützen.
Die fernao weist mehr als 20 Jahre Erfahrung in der Durchführung professioneller Pentests auf und bietet die nötige Expertise, um Ihr Unternehmen individuell zu prüfen und zu schützen.
Darum können Sie uns vertrauen
> 20 Jahre Expertise
> 50 festangestellte Security Experts
> 700 Pentests und Red Team Assessments pro Jahr
10 DAX-Konzerne als Kunden
Ganzheitlicher Pentest-Ansatz
Unsere Services im Überblick
Unternehmensweite Pentests (Enterprise)
Externe Angriffsfläche
OSINT, Password Spraying, DarkWeb, Vulnerability Scans
Wir finden nicht nur technische Schwachstellen in Ihrer externen IT-Infrastruktur, sondern ermitteln auch Ihre Schatten-IT. Zudem suchen wir im DarkWeb nach sensiblen Informationen, prüfen exponierte Logins auf schwache Passwörter und testen Ihre exponierten Anwendungen. Wir verfolgen einen ganzheitlichen Ansatz für eine vollständige Abdeckung.
Windows Clients & Active Directory
Active Directory, Initial Access & Privilege Escalation Pentest
Wir untersuchen Ihr Active Directory sowie die PCs Ihrer Mitarbeitenden auf Schwachstellen und fehlende Härtungsmassnahmen. Mit den daraus resultierenden Empfehlungen werden Angriffe erheblich erschwert.
Social Engineering
Phishing, Vishing, Anti-Phishing Audit
Wir prüfen, wie ein Angreifer über die Manipulation Ihrer Mitarbeitenden Zugang in das Firmengebäude oder Firmennetzwerk erlangt. Dabei prüfen wir die Reaktion auf Phishing-Mails, Phishing-Anrufe oder ob uns Ihre Mitarbeitenden den Zutritt ins Gebäude ermöglichen.
Interne IT-Infrastruktur
360° Pentest, Assume Breach Red Teaming, Data Discovery Audit
Wir finden Schwachstellen in Ihrem internen Netzwerk, die einem internen Angreifer ermöglichen, andere Accounts zu übernehmen, seine Rechte zu erhöhen, sich im Netzwerk fortzubewegen und sensible Systeme zu kompromittieren. Egal ob Reinigungskraft, Praktikantin, Projekt-Partner oder Servicemitarbeiterin. Wir betrachten das passende Szenario für Sie.
Azure & M365
M365 Audit, Entra ID/Azure Audit & Red Teaming
Wir prüfen Ihre Azure-Umgebung auf fehlende Härtungsmassnahmen und zeigen in unseren Pentests, ob ein Angreifer seine Rechte erhöhen, Services in der Cloud attackieren bis hin Zugriff ins Ihr internes Firmennetzwerk erlangen kann. Egal ob externer Angreifer, Partner oder kompromittierte Anwendung, wir betrachten das passende Szenario für Sie.
Physical Security
Break-in Scenario, Hardware Hacking
Wir prüfen, ob wir uns Zutritt in Ihre Büroräume verschaffen können und berücksichtigen dabei die Sicherheit Ihrer technischen Zutrittskontrollsysteme und allgemeine Schwachstellen für physische Zugänge (z. B. Türen und Fenster).
Produkt- und anwendungsspezifische Pentests
Anwendungen
Web, API, Mobile, Fat Clients
Wir prüfen Ihre Anwendung auf Schwachstellen in der Implementierung, Konfiguration und Design. Wir prüfen dabei manuell auf komplexe Schwachstellen und arbeiten eng mit Ihnen zusammen (Grey-Box). Dabei orientieren wir uns nach renommierten Testing-Standards wie z.B. das OWASP Testing Guide.
Automotive
ISO 21434, UNECE R 155, Telematik, ECU Pentest
Wir testen und prüfen die gesamte IT-Sicherheit von Fahrzeugen (Pkw und Lkw). Dies betrifft unter anderem die Sicherheit der Steuergeräte, Bussysteme, Kommunikationsschnittstellen und Backend-Systeme.
Cloud & CI/CD
AWS, Azure, Kubernetes, IaaC
Wir testen Ihre Cloud-Umgebung auf Schwachstellen und fehlende Härtungsmassnahmen, egal ob es sich um Infrastruktur, Plattform oder Anwendungen handelt. Dabei untersuchen wir die konkrete Verwendung einzelner Cloud-Services, Container-Lösungen oder Ihre gesamte CI/CD – Pipeline.
OT & IoT
Embedded, OT & (I)IoT
In unserem eigenen Labor testen wir jedes Element Ihrer IoT-Geräte, vom Gateway über das Hauptgerät bis hin zu mobilen Apps und Cloud-Komponenten. Zudem prüfen wir Ihre gesamte OT-Landschaft und stellen sicher, dass diese kritischen Systeme vor unbefugten Zugriffen geschützt sind.
Managed und Continuous Pentesting
Managed Pentest
Wir übernehmen die Planung und Koordination der Pentests und tracken im Nachgang den Status der Behebung innerhalb der Behebungsfrist bis die Schwachstellen vollständig behoben sind. Durch einen monatlichen Report und der wichtigsten KPIs haben Sie stets eine management-taugliche Übersicht.
Continuous Red Teaming
Wir führen regelmässige Angriffssimulationen in Ihrem internen Netzwerk durch, evaluieren Ihre Angriffserkennung und tauschen uns eng mit Ihrem Blue Team über aktuelle Angriffstechniken aus.
Continuous External Attack Surface Management
Wir überwachen Ihre externe Angriffsfläche und Aktivitäten im DarkWeb und führen regelmässig Angriffe durch, sodass ausnutzbare Schwachstellen frühzeitig erkannt werden.
Continuous Phishing
Wir führen regelmässig fortgeschrittene und zielgerichtete Phishing Kampagnen gegen Ihre Mitarbeiter durch und bringen unser aktuelles IT-Security Know-how so direkt zu Ihren Mitarbeitern.
Nichts Passendes dabei?
Sie haben nicht das gefunden, was Sie suchen? Durch unsere Erfahrung aus über 20 Jahren sowie unser Branchen-Know-how kennen wir klassische Einfallstore für Angriffe in allen Bereichen. Sie können uns jederzeit kontaktieren, um über Ihre individuellen Anforderungen zu sprechen und eine passende Lösung zu finden.
Unsere Test-Typen im Überblick
Pentest ist nicht immer gleich Pentest. Je nach Motivation, Ausgangssituation und Zielsetzung unterscheiden wir grundsätzlich zwischen unterschiedlichen Test-Typen, um das beste Kosten-Nutzen-Verhältnis für Sie zu bieten.
OSINT/Reconnaissance
Open-source Intelligence ist eine passive Recherche von öffentlich verfügbaren Informationen zur Skizzierung der Angriffsfläche, bevor zielgerichtet Angriffe durchgeführt werden können.
Vulnerability Assessment
Ein Vulnerability Assessment ist ein vorwiegend automatisierter Schwachstellen-Scan, wobei der Fokus auf der Analyse, Priorisierung und Aufbereitung der Ergebnisse liegt.
Pentest
Ein Pentest prüft aktiv mit den Techniken eines Angreifers auf Schwachstellen. Ziel ist es dabei, so viele Schwachstellen wie möglich zu identifizieren. Eine Ausnutzung der Schwachstellen liegt nicht im Fokus des Tests.
Social Engineering
Social Engineerung befasst sich mit der Schwachstelle Mensch und zeigt durch aktive Manipulationsversuche Fehlverhalten bzw. fehlendes Sicherheitbewusstein auf.
Security Audit
Ein Security Audit ist eine tiefgehende Analyse eines bestimmten Systems auf weitere Härtungsmassnahmen und nach Security Best Practices, um es Angreifern so schwer wie möglich zu machen.
Source Code Review
In einem Source Code Review prüfen wir Applikationen durch eine statische Analyse des Codes auf Schwachstellen. Dies erfolgt meist ergänzend zu einem Pentest (White Box Test).
Red Teaming
Ein Red Team Assessment ist eine aktive Angriffssimulation. Der Fokus liegt in der Ausnutzung von Schwachstellen und dem Aufzeigen konkreter Angriffswege. Zudem wird ein Red Team Assessment üblicherweise verdeckt und heimlich durchgeführt, um auch die Prozesse in der Angriffserkennung zu evaluieren. Mehr zu Red Teaming
Workshops
In einem Workshop steht der Informations- und Wissensaustausch im Vordergrund. Wir bringen unsere Expertise in Ihr Unternehmen und können uns bestimmte Themenbereiche im Detail anschauen. Dies erfolgt oft im Anschluss an einen Pentest.
Die Vorteile von Pentesting
Früherkennung
Identifizierung von potenziellen Schwachstellen
Kostenreduzierung
Datenverluste & Geschäftsausfälle vermeiden
Reputationsschutz
Das eigene Team und die Kundschaft schützen
Holistische Sicherheit
Aufdeckung organistatorischer Defizite
Compliance
Einhaltung strenger Sicherheitsstandards wie NIS2, DORA & ISO/IEC 27001:2022
Wettbewerbsvorteile
Wettbewerbsvorteile durch Vermeidung von Ausfällen
Häufig gestellte Fragen zum Pentesting
Warum sollte ich einen Pentest durchführen lassen?
Ein Pentest evaluiert aus Angreifersicht die aktuelle Sicherheit eines Systems, eines Netzwerks, einer Anwendung oder von ganzen Prozessen. Sie erhalten damit die Antwort, welche Schwachstellen aktuell existieren und ob Ihre bisherigen Sicherheitsmassnahmen Sie wirklich vor Angriffen schützen. Letztendlich ist ein Pentest die sinnvollste Massnahme, um die Qualität Ihrer IT auf die Probe zu stellen, bevor es ein echter Angreifer versucht.
Denn ein echter Angriff verursacht wesentlich höhere Kosten und schadet zudem deutlich der Reputation eines Unternehmens.
Wie sieht ein Pentest-Bericht aus?
Was kostet ein Pentest?
Welche Risiken bestehen bei einem Pentest?
Wie oft sollte ein Pentest durchgeführt werden?
Was geschieht nach einem Pentest?
Schützen Sie Ihre digitale Zukunft
In der dynamischen Welt der Cybersicherheit sind proaktive Massnahmen nicht nur wünschenswert, sie sind unerlässlich. Denn jede Minute, in der Ihre Systeme ungeschützt bleiben, steigt das Risiko eines potenziellen Angriffs, der Ihr Geschäft und Ihren guten Ruf gefährden könnte.
Vertrauen Sie nicht darauf, dass Sie "klein genug" sind, um nicht ins Visier von Cyberkriminellen zu geraten oder, dass Sie "gross genug" sind, um sich selbst zu schützen. In der digitalen Welt sind alle Unternehmen gleich, wenn es darum geht ein potentielles Ziel zu sein. Lassen Sie uns gemeinsam sicherstellen, dass Sie vorbereitet sind!