Durchgeführte Projekte in der IT Sicherheit

Damit Sie sich ein Bild von unserer Arbeit machen können, haben wir hier einige der spannendsten Projekte aufgelistet. Wir sind mittlerweile in diversen Branchen und Bereich tätig und haben einen breiten Erfahrungsschatz. Wir bitten hier außerdem um Verständnis, dass wir nicht die Namen unserer Kunden nennen können. Gerne stellen wir aber Kontakte her!

Pentest im Bereich Robotergestützte Prozessautomatisierung

Pentest im Bereich Robotergestützte Prozessautomatisierung

Deutschland Robotik Penetrationstest ASP.Net

Wir haben eine RPA-Software für einen aus Deutschland stammenden mittlerweile aber global agierenden Kunden getestet. Bei der Software handelt es sich um eine komplexe Plattform auf Basis von ASP.Net, die aus mehreren Sub-Plattformen besteht, die einzeln oder als Paket vertrieben werden können. Die Komplexität der Software und die Vielzahl der möglichen Konfigurationen machten den Test zu einer besonderen Herausforderung. Im Rahmen von zwei Penetrationstests wurden einige Schwachstellen - darunter 2 kritische - gefunden und geschlossen.

Während des gesamten Penetrationstests (der auf einer Demo-Umgebung durchgeführt wurde) haben wir wichtige Funde direkt mit den technischen Teams über den "kurzen" Weg via Slack kommuniziert, so dass parallel die Produktionssysteme geschützt werden konnten.

Pentest eines Finanzportals

Deutschland Finanzwesen Penetrationstest Java

Für einen deutschen Mittelständler führen wir jedes Jahr einen Penetrationstest einer SaaS-Plattform durch. Die Plattform basiert auf Java und wird von mehreren tausend Kunden genutzt. Auch hier findet der eigentliche Penetrationstest immer auf einer Testumgebung statt, so dass DSecured nie mit echten Kundendaten in Berührung kommt. Während des ersten Penetrationstests konnten mehrere schwere Schwachstellen identifiziert werden. Im Laufe der Kooperation konnten wir die Anzahl der Schwachstellen deutlich reduziert werden. Mittlerweile verfolgt das Unternehmen einen "on-demand" Ansatz und nutzt unser Pentest as a Service Angebot.

An die Plattform selbst ist ein kleines Shopsystem (WordPress WooCommerce) angeschlossen, das sich auf einem seperaten Server befindet und ebenfalls von uns getestet wurde. Der Test erfolgte als Whitebox-Test. Die SaaS-Plattform war initial ein Blackbox-Test und entwickelte sich über die Jahre zu einem Greybox-Test.

Pentest eines Finanzportals
Überwachung des Perimeters eines deutschen Autokonzerns

Überwachung des Perimeters eines deutschen Autokonzerns

Deutschland Automobilindustrie eASM

Ein deutscher Autobauer hat uns beauftragt mit Hilfe von Argos den Zustand der externen Angriffsoberfläche zu analysieren. In einem Zeitraum von wenigen Tagen konnten hunderte Schwachstellen, Fehlkonfigurationen und offensichtliche Sicherheitslücken in hunderten von Domains bzw. tausenden von Subdomains gefunden werden. Der Fokus lag hier auf schweren und kritischen Sicherheitslücken. Das Unternehmen wollte vor allem wissen, wie es um das Thema Shadow IT bestellt ist. DSecured hat - bis auf den Namen des Unternehmens - keine weiteren Informationen erhalten und musste Vorgehen, wie ein echter Angreifer.

Argos external attack surface management spielt bei dieser Art von Einsatz eine besondere Rolle, da es die relevanten Daten innerhalb weniger Stunden bereitstellen kann. Anschließend überwacht es den gesamten Perimeter - hierbei hat das Unternehmen schnell festgestellt, wie wichtig kontinuierliche Überwachung ist.

Red Teaming für eine Airline im Nahen Osten

Naher Osten Transportwesen Red Teaming eASM

Hierbei handelte es sich wohl um eines der spannendsten Projekte. Für einen großen Kunden aus dem Nahen Osten haben wir einen Red Teaming-Einsatz geplant und durchgeführt. Hierbei kam ein Team aus 6 Personen zum Einsatz. Der Fokus lag auf extern zugänglichen Systemen. In Absprache mit dem Kunden sollten wir versuchen, in das interne Netzwerk zu gelangen. Der Kunde wollte wissen, ob es möglich ist, von außen in das interne Netzwerk zu gelangen und ob es möglich ist, von dort aus auf kritische Systeme zuzugreifen.

Es stelle sich heraus, dass das im ersten Schritt gar nicht nötig war - trotz vorhandenen Sicherheitsmaßnahmen konnten wir kritische Sicherheitslücken finden, die es uns erlaubten Daten von Flugpassagieren zu stehlen und zu ändern. Zugang auf das AD war über ein kompilliertes Programm möglich, das Argos eASM gefunden hat. Teilweise konnten wir auf Systeme zur Flugkommunikation zugreifen - zum Glück nur lesend. Der Kunde hat die Investitionen in die IT-Sicherheit signifikant erhöht!

Red Teaming für eine Airline im Nahen Osten
Pentest as a service für einen großen Verlag

Pentest as a service für einen großen Verlag

Brasilien Verlagswesen Penetrationstests

Im Rahmen einer längeren Zusammenarbeit konnten wir über mehrere Monate hinweg Penetrationstests gegen Systeme eines großen Verlags durchführen. Der Verlag hat sich für unser Pentest as a Service Angebot entschieden, da es für das Unternehmen wichtig war, dass die Tests regelmäßig und ohne großen Aufwand durchgeführt werden können. Mit Hilfe von Argos konnten wir die Änderungen an den Systemen des Verlags schnell erkennen und entsprechend reagieren.

Bei jeder signifikanten Änderung an einem System (API, Website, IP, ...) haben wir uns im Team kurz hingesetzt und versucht (oft mit Erfolg) eine Schwachstelle zu finden. Hierbei zeigte sich, wie schnell Angreifer reagieren können und wie perfide selbst kleine Schwachstellen ausgenutzt werden können. Der Verlag hat durch die Zusammenarbeit mit DSecured seine IT-Sicherheit deutlich verbessert und erkannt, dass jährliche Penetrationstests nicht mehr zeitgemäß sind und ein falsches Gefühl von Sicherheit vermitteln können. Besonders schön war die Zusammenarbeit mit der Führungsebene, die sich bewusst war, dass IT-Sicherheit ein Prozess ist und man versucht Risiken zu senken.

Damian Strobel
Wir können Ihnen ebenfalls helfen die IT-Sicherheit zu verbessern