Perimeter-Sicherheit wird bei DSecured groß geschrieben. Wir sind Experten auf diesem Gebiet und finden jede Sicherheitslücke. Das Ergebnis bekommen Sie in einem detaillierten Bericht.
Beim externen Pentest prüfen wir die komplette öffentlich erreichbare Angriffsfläche Ihres Unternehmens: Webserver, VPN-Zugänge, APIs, Mail- und Remote-Access-Dienste sowie Cloud-Ressourcen. Unser Ziel ist es, denselben Weg wie ein Angreifer zu gehen - vom anfänglichen Footprinting über das Ausnutzen von Schwachstellen bis hin zu einem möglichen Initial Access.
Dabei kombinieren wir automatisierte Discovery mit manuellen Techniken wie Subdomain-Takeover, Credential-Reuse, Exploit-Entwicklung oder Pfadverkettungen. Jeder Fund wird nachvollziehbar dokumentiert und mit passenden Härtungsmaßnahmen versehen.
Wir entdecken vergessene Hosts, offene Ports und exponierte Dienste - inklusive SaaS-Integrationen und Third-Party-Infrastruktur.
Schwachstellen bleiben nicht abstrakt: Wir zeigen, wie sie ausgenutzt werden können und welche Daten oder Systeme bedroht sind.
Sie erhalten priorisierte Fix-Empfehlungen, abgestimmt auf Ihr Team - inklusive Sofortmaßnahmen und langfristigen Maßnahmen.
Unternehmen mit öffentlich erreichbaren Diensten, SaaS-Produkten oder verteilten Teams profitieren besonders von einer regelmäßigen Prüfung des Internet-Perimeters. Ebenso zählen Managed-Service-Provider, Digital-Agenturen und Betreiber kritischer Infrastruktur zu den Organisationen, die auf ein belastbares Ergebnis angewiesen sind.
Cloud-native Anwendungen, APIs und Mandantenportale benötigen kontinuierliche Kontrolle von Auth, Rate-Limits und Mandantentrennung.
Viele Kundendomains, Admin-Portale oder Remote-Tools vergrößern die Angriffsfläche - wir helfen, Prioritäten zu setzen.
KRITIS, NIS2 oder ISO 27001 verlangen valide Nachweise - wir liefern Audit-taugliche Reports und Proof-of-Concepts.
Besonders wichtig ist ein externer Pentest vor Compliance-Audits oder größeren Änderungen - etwa bei Domain-Migrationen, M&A-Aktivitäten oder dem Launch neuer Standorte. Wir unterstützen bei der Umfang-Definition und testen sowohl klassische Rechenzentrums-Hosts als auch moderne Cloud-Stacks und CDN-/WAF-Ketten.
Die meisten unserer Mitarbeiter kommen aus dem Bereich Bug Bounty Hunting und kennen nichts anderes als den Angriff auf die externe Angriffsoberfläche. Wir haben bereits für viele namhafte Unternehmen gearbeitet und wissen, wie Hacker denken.
Unsere Berichte enthalten ganz klassische eine Zusammenfassung für das Management, technische Details für die IT-Abteilung und eine detaillierte Anleitung zur Behebung der gefundenen Schwachstellen. Darüber hinaus bekommen Sie noch Einblicke in Ihre Shadow IT - kostenlos.
Hacking ist ein kreativer Prozess - speziell im Bereich Perimeter. Kleinigkeiten - kombiniert - können zu großen Problemen werden. Wir sind Experten darin genau so etwas zu finden.
Je mehr Sie über Ihr externes Netzwerk wissen, desto unwahrscheinlicher ist es, dass Sie gehackt werden. Wir helfen gerne herauszufinden, was getestet werden sollte - und was nicht.
Manchmal muss es schnell gehen. Wir teilen bei Bedarf Informationen umgehend nachdem wir sie gefunden haben. Wir sind flexibel, was die Kommunikation angeht.
Wenn es um den Perimeter Ihres Unternehmens geht, bieten wir eine Vielzahl ergänzender Dienstleistungen, um das Risiko weiter zu minimieren.
Die Kosten hängen davon ab, wie groß Ihr Perimeter ist und wie tief wir einzelne Dienste untersuchen. Eine Handvoll IPs mit klar definierten Ports lässt sich in wenigen Tagen testen - verteilte Cloud-Infrastrukturen mit dutzenden Subdomains, VPN-Gateways oder SaaS-Integrationen benötigen deutlich mehr Zeit und manuelle Analyse.
Typischerweise starten externe Pentests bei etwa 3.000 Euro. Für größere Umgebungen kalkulieren wir modular - inklusive Optionen wie Argos Surface Monitoring für permanentes Asset-Tracking oder monatliche Spot-Checks.
Scanner decken bekannte Schwachstellen schnell ab - wirklich kritische Ergebnisse stammen jedoch aus manueller Analyse. Wir kombinieren beides, stellen False Positives heraus und liefern ausschließlich validierte Ergebnisse, die Ihr Team sofort angehen kann.
Ob ISO 27001, SOC 2, KRITIS oder NIS2: Wir liefern Berichte, die Audit-Anforderungen erfüllen und gleichzeitig technische Teams mit Proof-of-Concepts versorgen.
Bei größeren Netzwerken bzw. Unternehmen, die ein relativ großes Team an IT'ler haben, sehen wir mittlerweile sehr häufig "vergessene" Dienste auf untypischen Ports laufen. Manchmal sind diese gut geschützt - manchmal auch gar nicht. Der Klassiker Shadow IT geht ebenfalls in diese Richtung - hier sehen wir vor allem vergessene Server in der Cloud von Amazon AWS oder Microsoft Azure immer wieder. Dort findet man dann alles - schnell zusammengeschusterte Webseiten, API's und Datenbanken. Oftmals sind diese Dienste nicht oder nur unzureichend geschützt.
Sensible Dateien sieht man ebenfalls sehr häufig - hierzu zählen beispielsweise Dotenv-Dateien, Backup-Dateien und Log Files. Funde dieser Art können manchmal keinen Impact haben und manchmal in der Lage sein, das gesamte Unternehmen lahmzulegen. Wir haben schon alles gesehen. Besonders kritisch wird es, wenn in einer Dotenv-Datei die Zugangsdaten zur Infrastruktur stehen.
Sicherheitslücken aller Art sind ebenfalls fester Bestandteil der Ergebnisliste externer Penetrationstests. Hierbei handelt es sich um klassische Schwachstellen wie beispielsweise SQL-Injections, Cross-Site-Scripting oder auch Directory Traversal.
Große Teile des Internets basieren auf Websites und Webapplikationen.
Moderne Webseiten und SPA kommunizieren in aller Regel mit irgendeiner Art von API.
Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.
Wir hatten das Privileg, mit einigen der weltweit führenden Unternehmen zusammenzuarbeiten und ihre IT-Sicherheit zu stärken.
Es kommt darauf an, was gewünscht ist. In der Regel verwenden wir eine Kombination aus automatisierten und manuellen Tests, um Schwachstellen in Ihrem externen Netzwerk zu identifizieren. Hierbei geben Sie vor, welche Assets getestet werden sollen. Alternativ suchen wir selbst danach und kümmern uns um alles - eben wie ein echter Angreifer.
Die meisten Unternehmen mit denen wir zusammenarbeiten sind KMU. Die externen Netze sind relativ klein (unter 10 Assets) - diese Größenordung ist problemlos innerhalb weniger Tage testbar. Größere Unternehmen mit hunderten von Assets benötigen mehr Zeit.
Unserer Erfahrung nach sind Tests des externen Netzwerks alle paar Monate sinnvoll - wenn sich nicht so viel ändert. Gibt es viele Änderungen im Netzwerk, empfehlen wir klar so etwas wie unser External Attack Surface Monitoring Argos - dieses überwacht Ihr Netzwerk permanent und scannt alle paar Tage und alarmiert uns, wenn etwas komisch ist.
Das sollte nicht passieren. Wir passen unsere Tests so an, dass sie keine Probleme verursachen sollten. Die Tests können auch außerhalb regulärer Betriebszeiten stattfinden.
Bei Bedarf ist das gar kein Problem. Wir können auch in einen Modus übergehen, den wir als "kontinuierlichen Penetrationstest" bezeichnen. Sprechen Sie uns an!
Sie bekommen von uns einen Pentest-Bericht, dessen Fokus alle Funde sind, die einen gewissen Impact haben und geschlossen werden sollte. Ihr Management bekommt eine Zusammenfassung. Bei Bedarf können wir auch ein Zertifikat ausstellen, das belegt, dass Sie einen Penetrationstest durchgeführt haben.
Wir nutzen Argos External Attack Surface Management, um den gesamten Perimeter zu erfassen und zu scannen. Anschließend verwenden wir die Daten, um zu entscheiden, was wir uns wie manuell anschauen. Argos ist in der Lage die gesamte öffentliche Infrastruktur automatisch in Sekunden zu enumerieren. Es werden alle Dienste, die auf den Servern laufen, aufgezeigt. Portscans und Filescans sind die Ausgangslage, um ein gutes Bild über die externe IT-Sicherheit zu bekommen. Häufig finden wir dabei schon Probleme - beispielsweise Backup-Archive, schwache Zugangsdaten, bekannte Sicherheitslücken oder Anomalien, die ggf. sicherheitsrelevant sein könnten.
Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.
Wir melden uns innerhalb von 24 Stunden bei Ihnen
Ihre Daten werden vertraulich behandelt
Direkter Kontakt zu unseren Experten
