• Business + IT Security

Maßgeschneiderte Sicherheitsüberprüfungen

@-yet bietet erstklassige technische Beratung rund um den Themenkomplex Informationssicherheit und Cybersecurity. Unsere Mitarbeiter werden täglich bei unseren Kunden in die Planung und Durchführung unterschiedlicher Security Assessments eingebunden. Hierbei unterstützen wir in enger Zusammenarbeit mit umfassender fachlicher Expertise und ermöglichen es unseren Kunden dadurch, auch komplexe und häufig schwierig nachzuvollziehende Themen sicher zu bewerkstelligen.

Anstatt sich rein auf automatisierte Lösungen zu verlassen, verfolgt @-yet das Ziel unseren Kunden einen individuellen und manuellen Ansatz für technische Security Assessments anbieten zu können. Dazu bauen wir auf die Stärke und das Wissen unseres Beratungsteams, welches unsere Kunden herstellerunabhängig und kompetent berät. @-yet passt das Fachwissen unserer Berater an die jeweiligen Anforderungen unserer Kunden individuell an, um somit eine optimale Beratung zu gewährleisten.

Unser Ziel ist es die individuellen Anforderungen unserer Kunden stets zur höchsten Zufriedenheit zu erfüllen. Aus diesem Grund steht bei @-yet ein strukturiertes und methodisches Vorgehen im Vordergrund. Hierzu zählt für uns vor allem auch immer eine saubere und nachvollziehbare Dokumentation, die es sowohl den technischen als auch den organisatorischen Verantwortlichen ermöglicht, unser Vorgehen und die von uns empfohlenen Maßnahmen zur Verbesserung, bestmöglich nachzuvollziehen und einzuschätzen. Somit entstehen klare Entscheidungshilfen, die für eine nachhaltige Verbesserung der Informationssicherheit sorgen.

Wir lassen unsere Kunden mit den Ergebnissen technischer Überprüfungen nicht allein. Auf Wunsch begleiten wir auch bei der fortlaufenden Umsetzung von Maßnahmen.

Zurück zur Übersicht

Beratungsleistungen

Die nachfolgende Liste stellt einen Auszug unseres Leistungsangebotes dar. Wir haben es uns als Ziel gesetzt unsere Leistungen an die Anforderungen unserer Kunden anzupassen. Zögern Sie also nicht uns auch auf weitere Maßgeschneiderte Beratungsleistung anzusprechen.

Penetrationstesting
Rund um die Uhr suchen Angreifer Schwachstellen in Technologien, um diese auszunutzen. Bereits das erfolgreiche Ausnutzen einer einzelnen Schwachstelle, kann die vollständige Kompromittierung des Unternehmens bedeuten.
Im Rahmen von Penetrationstests (Kurzform: Pentest) überprüfen die @-yet Experten Ihre IT-Infrastruktur (Hardware & Software) und simulieren realitätsnah die Vorgehensweise echter Angreifer. Hierbei werden individuelle und auf Ihr Unternehmen angepasste Angreiferperspektiven und Szenarien nachgestellt. Abschließend schätzen die @-yet Experten die Sicherheitslage ein, beschreiben die ermittelten Schwachstellen und liefern konkrete Maßnahmen zur Verbesserung des Sicherheitsniveaus.
Kurz erklärt

  • Simulation eines Hacker-Angriffs
  • Bestimmung des Ist-Status des Sicherheitsniveaus
  • Beschreibung notwendiger Verbesserungsmaßnahmen
Red Teaming
Im Rahmen eines Red Team Projektes wird eine Angriffssimulation durchgeführt. Hierbei führen unsere Experten präzise Angriffe gegen eine Organisation durch, um die Wirksamkeit und Reaktionsfähigkeit verschiedener Teile der Unternehmenssicherheit zu testen. Häufig stehen hierbei bestimmte kritische Unternehmensressourcen im Fokus.
Im Gegensatz zu herkömmlichen Penetrationstests verwenden unsere Experten hierbei ein breites Spektrum an realen Angriffsmethoden. Diese erstrecken sich von technischen Vorgängen (wie bspw. dem Einsatz von eigenentwickelten Hackertools), über die allgemeine Informationsbeschaffung, bis hin zu physischen Sicherheitsangriffen.
Kurz erklärt

  • Ganzheitliche Simulation eines realen Angreifers
  • Überprüfung von Wirksamkeit und Reaktionsfähig der bestehenden Sicherheitsorganisation
  • Verbesserung der Sicherheitsorganisation
Threat Hunting
Im Unterschied zu einer IT Forensik, erfolgt die Analyse im Rahmen des Threat Huntings nicht anlassbezogen, sondern unter der generellen Annahme einer bereits bestehenden Kompromittierung. Ziel ist es laufende Cyber-Angriffe proaktiv zu identifizieren und aufzudecken. Hierbei untersuchen unsere Experten Ihre IT Landschaft gezielt auf Muster und Indikatoren die auf eine solche bestehende Bedrohungen hinweisen und unterstützen Sie dabei, diese einzuordnen und zu beheben.
Kurz erklärt

  • Aufklären ob und wann ein Einbruch stattgefunden hat
  • Identifizierung von betroffenen Systemen
  • Abschätzung des Schadensfalls
  • Eindämmung und Behebung von Vorfällen
Mobile Device Security
Mobile Endgeräte, insbesondere Smartphones, haben erheblichen Einfluss auf den Alltag - sowohl beruflich als auch privat, sowohl positiv als auch negativ. Insbesondere im Geschäftsumfeld bringt der Einsatz mobiler Endgeräte zusätzliche Risiken mit sich, zumal wenn privaten Geräten der Zugang auf Dienstressourcen gewährt wird (BYOD).
@-yet unterstützt Sie hinsichtlich des sicheren Einsatzes von mobilen Endgeräten in vielerlei Hinsicht; von der Erarbeitung einer Mobile Device-Strategie, über entsprechende EMM/MDM- und Sicherheitskonzepte bis hin zu Penetrationstests auf mobile Endgeräte und Apps sowie entsprechende Code Reviews bietet @-yet die vollständige Palette der Dienstleistung im Bereich Mobile Device Security.
Kurz erklärt

  • Mobile Device-Strategie
  • Konzepte für Mobile Device Security und MDM/EMM
  • Mobile Device Checks: Penetrationstests auf Geräte, Anwendungen und
    MDM/EMM-Infrastruktur
  • App Checks: dynamische und statische Überprüfung mobiler Applikationen,
    Coder Review
  • Schulungen Mobile Device Security
Webapplikationen + Mobile Applikationen
Webapplikationen und mobile Applikationen erfreuen sich immer größerer Beliebtheit sowohl bei Entwicklern als auch bei Benutzern. Mit dem Anstieg der Komplexität, dem Einsatz neuartiger Web-Technologien und -Frameworks sowohl im Frontend als auch im Backend entstehen neue Angriffsvektoren und damit die Wahrscheinlichkeit für weitere Sicherheitslücken. Nicht nur selbsterzeugter Quellcode ist anfällig, auch verwundbare Drittanbieter-Bibliotheken oder neuartige Applikationsarchitekturen wie Microservices (Docker, Kubernetes, OpenShift etc.) können Angreifer Tür und Tor öffnen. Angreifer sind sich diesem Umstand bewusst und entwickeln neue Angriffstechniken, um Vertraulichkeit, Integrität und Verfügbarkeit zu beeinträchtigen. @-yet Experten wenden ebenso im Rahmen der Sicherheitsanalysen moderne Angriffsverfahren und Techniken (bspw. Reverse Engineering Techniken) an, um Sicherheitslücken zu identifizieren und geeignete technische und organisatorische Behebungsmaßnahmen herzuleiten. Um das Sicherheitsniveau nachhaltig anzuheben bietet @-yet auch eine umfassende Beratung rund um sichere Softwareentwicklung an.
Kurz erklärt

  • Technische Sicherheitsüberprüfung der Client-seitigen und Backend-seitigen Komponenten mittels statischer (Security Code-Review) und dynamischer (Penetration Testing) Testmethoden
  • Prüfung von Android- und iOS Applikationen inkl. Backend-Systemen unter Berücksichtigung sämtlicher Bedrohungsszenarien (Verlust eines Smartphones, gerootetes/gejailbreaktes Gerät, Bring your own Device etc.)
  • Identifizierung von Sicherheitslücken sowie Bestimmung und Bewertung der Risiken im Kontext der Geschäftsprozesse
  • Erstellung und Priorisierung von individuellen Behebungsmaßnahmen zur Steigerung des Sicherheitsniveaus sowie Erstellung eines Maßnahmenbehebungsplans (kurz-, mittel-, langfristig)
  • Ganzheitliche Betrachtung mittels Durchführung von Bedrohungsanalysen und Betrachtung der darunterliegenden Infrastruktur und Prozesse mit der Methode Threat Modeling nach STRIDE
  • Beratung zur sicheren Softwareentwicklung von der Anforderungsanalyse, über Implementierung bis hin zu automatisierten Deployment (DevOps, CI/CD etc.)
Code Review
Im Rahmen von detaillierten Quellcodeanalysen bewerten unsere Experten die inneren Abläufe von Applikation. Implementierungsfehler und systematische Fehlermuster können hierbei identifiziert und aufgezeigt werden. @-yet setzt hierbei sowohl auf Verfahren der statischen, als auch der dynamischen Codeanalyse.
Kurz erklärt

  • Sicherheitsüberprüfung von Software anhand des Sourcecodes
  • Identifizierung von Implementierungsfehlern
  • Identifizierung von systematischen und logischen Fehlern
  • Manuelle und/oder Tool gestützte statische Analyse
WLAN / WiFi Security
Der Angriffsvektor "WLAN" ist mit entsprechendem Equipment auch über Kilometer möglich. Die Luftschnittstelle ist hierbei nur schlecht abzusichern und eine erfolgreiche Kompromittierung gibt meist Zugriff auf das interne Unternehmensnetzwerk. Möglich ist auch, dass jemand WLAN-fähiges Equipment in Ihre IT-Infrastruktur eingebracht hat, um von außen auf diese zuzugreifen. Weitere Gefahren bestehen für die WLAN-Endgeräte, z. B. wenn der Anwender unterwegs ist.
Bei der Sicherheitsanalyse der WLAN-Infrastruktur Ihres Unternehmens wird zunächst eine Bestimmung aller verfügbaren WLAN-Netze an Ihren Standorten erstellt. Im Anschluss wird die Vorgehensweise eines echten Angreifers simuliert und die Anfälligkeit der Systeme geprüft.
Abschließend schätzen die @-yet Experten die Sicherheitslage ein, beschreiben die ermittelten Schwachstellen und liefern konkrete Maßnahmen zur Verbesserung des Sicherheitsniveaus.
Kurz erklärt

  • Bestimmung der Geolokation aller WLAN Accesspoints
  • Simulation von Hacker-Angriffen über die Luftschnittstelle auf Accesspoints und Clients
  • Prüfung der Konfiguration von legitimen WLAN-Equipment
  • Beschreibung notwendiger Verbesserungsmaßnahmen
Social Engineering

Angreifer dringen immer häufiger ohne Gewaltanwendung in Unternehmen und Organisationen ein, bewegen sich völlig ungehindert zwischen den Mitarbeiter. Hierbei erlangen sie sensitive Informationen, platzieren Angreifersysteme im Unternehmensnetzwerk oder manipulieren angetroffene Systeme, um später aus der Ferne auf die IT-Infrastruktur des Unternehmens zuzugreifen. Dieses Vorgehen ist auch bekannt als "Social Engineering".
Im Rahmen eines simulierten Hacker-Angriffs wird dieses Angriffsszenario realistisch nachgestellt und Optimierungspotenziale bzgl. der technischen und physische Schutzmaßnahmen, der organisatorische Prozesse und des Faktors "Mensch" ermittelt.

Kurz erklärt

  • Simulation eines realistischen Hacker-Angriffs auf das Unternehmen
  • Starker Fokus auf den Faktor "Mensch" und organisatorische Aspekte
  • Anwendung breit aufgestellte Angriffszenarien, z. B. Informationsbeschaffung, Umgehung von Zutrittskontrollen, Platzieren von Angreifersystemen, Analyse von Funknetzwerken, usw.
  • Gute Ergänzung zu einem Penetrationstest
Open Source Intelligence (OSINT)

Zielgerichteten Cyber-Angriffen auf Unternehmen geht immer eine umfassende Informationsbeschaffung (Engl. Reconnaissance) seitens der Angreifer voraus. Hierbei gewinnen diese meist rein passiv oder minimal invasiv wertvolle Informationen über das Unternehmen, z. B. aus öffentlich verfügbaren Quellen. Mit diesen Informationen können dann effiziente Angriffsszenarien modeliert und Angriffe zielgerichtet auf das Unternehmen angepasst werden.
Im Rahmen einer sogenannten "Open Source Intelligence"-Überprüfung werden seitens der @-yet GmbH diese Informationen aufbereitet und dargestellt sowie Bedrohungsszenarien abgeleitet.

Kurz erklärt

  • Durchführen eines umfassenden Informationsbeschaffung über das Unternehmen aus Sicht eines echten Angreifers
  • Ableiten und Modellieren hieraus resultierender Angriffsszenarien
  • Anschauliche Darstellung der Ergebnisse
Überprüfung physische Sicherheit
Häufig dringen Angreifer physisch (mit/ohne Gewaltanwendung) in Organisationen ein und bewegen sich völlig ungehindert auf dem Gelände und in den Gebäuden. Im Rahmen derartiger nicht autorisierter Zutritte ist es möglich, sensitive Informationen zu erlangen, Manipulationen durchzuführen und die komplette IT-Infrastruktur zu kompromittieren.
Im Rahmen von Vor-Ort-Begehungen identifiziert @-yet konkrete Schwachstellen in der physischen Sicherheit insbesondere in Hinblick auf die IT-Infrastruktur und zeigt mögliche Wege potentieller Angreifer auf, die einen Zugang zum Netzwerk bzw. zu Daten ermöglichen können. Ebenfalls werden organisatorische Sicherheitsaspekte mit aufgenommen und bewertet, z. B. mögliche Zutrittskontrollen, Behandlung von Gästen, Absicherung von sensitiven Bereichen, etc. Behandelt werden im Wesentlichen die Aspekte Vertraulichkeit und Integrität, insbesondere hinsichtlich Zugangs- und Zugriffsschutz.
Kurz erklärt

  • Gelände-Begehung
  • Gebäude-Begehung
  • Überprüfung von Schließsystemen und
  • sonstigen Sicherheits-Einrichtungen
  • fotografische Dokumentation der Zutritte/Zugänge
  • wenn gewünscht praktische Tests entsprechender Angriffswege
Analyse technischer und organisatorischer Sicherheit
Um ein möglichst breit aufgestelltes Bild des Ist-Status der Informationssicherheit einer Organisation zu erlangen, bietet @-yet eine auf Interviews und Stichproben basierende Überprüfung der internen IT-Infrastruktur, im eines „Quick-Check – Informationssicherheit“ an.
Hierbei wird im Rahmen eines Workshops, neben den wichtigsten Aspekten der technischen Sicherheitsmaßnahmen, auch ein starker Fokus auf die organisatorischen Maßnahmen gelegt, die bei einem rein technischen Assessment meist nicht vollumfänglich erfasst werden können. Wenn möglich werden auch mögliche „Kronjuwelen“ identifiziert. Eine Begehung des Standorts, zur Identifikation von Optimierungspotenzial bzgl. der Absicherung des Standorts gegen Manipulation, Abfluss von Informationen und Sabotage gehört ebenfalls zum Testumfang.
Kurz erklärt

  • Interviews mit Verantwortlichen für die Themen technische und organisatorische Sicherheit
  • Sichtung vorhandener Dokumentation
  • Einsichtnahme in Konfigurationen von Diensten und Systemen
  • Begehung einzelner Gebäude und fotografische Dokumentation von Verbesserungspotenzialen
Security Awareness + Live Hacking
Die Sicherheit einer Organisation bzw. eines Unternehmens ist zu einem wesentlichen Teil von der Sensibilisierung der Mitarbeiter abhängig. Dies gilt insbesondere für Risiken, denen nur schwer technisch begegnet werden kann wie z. B. gezielte Angriffe mittels Spear-Phishing. @-yet bietet vielfältige und maßgeschneiderte Wege an, die Security Awareness aufrechtzuerhalten und weiter zu verbessern.
Um den größtmöglichen Effekt zur Anhebung des Sicherheitsbewusstseins zu erzielen, setzt @-yet vor allen Dingen auf praktische Darstellung von Angriffsvektoren und Gegenmaßnahmen. Dies kann u. a. im Rahmen von Phishing-, USB-Stick-Kampagnen oder spielerischen Inkognito-Angriffen erfolgen. Als besonders erfolgreich haben sich außerdem Security Awareness Veranstaltungen vor Ort erwiesen. Hierbei werden bei Frontalveranstaltungen aktuelle und lebensnahe Angriffsszenarien auf Organisation und Mitarbeiter durch sogenanntes „Live-Hacking“ anschaulich demonstriert und erklärt. Teilweise hochkomplexe Angriffsszenarien werden anschaulich aufbereitet und verständlich erklärt, ohne zu tief in die Technik einzusteigen.
Für diese (Mitglieder der Geschäftsführung o. ä. („High Value Targets“) können speziell angepasste Inhalte vorgestellt werden, z. B. Gefahren bei der Nutzung von LAN/WLAN-Netzen auf Reisen, Angriffe auf Notebook/Smartphone bei physischem Zugriff (Evil Maid-Attack) und vieles mehr.
Kurz erklärt

  • Awareness-Veranstaltungen mit Vortrag und Live-Hacking
  • Awareness-Kampagnen unter Einsatz von Phishing-E-Mails, USB-Sticks und Inkognito-Angriffen
  • Weitere Maßnahmen wie Flyer, Plakate, „10 Gebote“, E-Learning, etc. werden ebenfalls angeboten
  • Awareness-Workshops, insbesondere für „High Value Targets“
Phishing-Kampagne
Bei einem Großteil der Angriffe auf Unternehmen ist eine erfolgreiche Phishing E-Mail der initiale Angriffsvektor. Ihre Mitarbeiter werden hierbei in meist authentisch formulierten E-Mails angesprochen und aufgefordert Web-Links anzuklicken, schadhafte Anhänge zu öffnen und sensible Daten, z. B. Zugangsdaten herauszugeben.
Die von der @-yet GmbH durchgeführte Phishing-Simulation hilft dabei das Risikopotenzial einem solchen Angriff zum Opfer zu fallen zu senken.
Zum einen wird hiermit eine anonymisierte Bestimmung des Sicherheitsbewusstseins im Unternehmen ermittelt. Zum Anderen ist dies eine aktive Security Awareness Maßnahme, die den "Aha-Effekt" nutzt und den Anwender durch eine anschließende Aufklärung sensibilisiert und wichtige Hinweise gibt, zukünftige Phishing-Angriffe besser zu erkennen.
Kurz erklärt

  • Ermittlung des Status des Sicherheitsbewusstseins
  • Vorbeugung durch aktive Aufklärung
  • Sensibilisierung durch Nutzen des "Aha-Effekts"
  • Wirksamkeitsprüfung technischer Anti-Phishing-Maßnahmen
Last- und Performance-Tests
Blindtext non plaut erem sanihil lorepudic to eligendest aut quam et evellabo. Elessus. Ollatio nseque sum nossimusti ut utem que pos aut aliquas nonsequibus etur repudig endaestrum sum nessi.

In enim justo, rhoncus ut, imperdiet a, venenatis vitae, justo. Nullam dictum felis eu pede mollis pretium. Integer tincidunt.
Überschrift

  • Stichpunkt
Zertifizierungsbegleitung

Eine Zertifizierungsbegleitung ist darauf ausgerichtet, technische und organisatorische Prozesse aus den regulatorischen Anforderungen des zu zertifizierenden Standards zu ermitteln und auf den Kunden abzubilden. Dabei geht @-yet Schrittweise und effizient vor um vorhandene Dokumentation, technische und organisatorische Maßnahmen zu erfassen die einen bestimmten Reifegrad darstellen und eine mögliche Lücke zur Zertifizierbarkeit deutlich machen. Dies gilt als Grundlage um eine fundierte Aufwandsschätzung zur Erreichung der Zertifizierbarkeit durchzuführen. In der Umsetzungsphase werden sowohl Dokumentation als Umsetzung von Maßnahmen begleitet um die Konformität sicher zu stellen. Zur Erreichung eines Zertifikats und Aufrechterhaltung bieten wir interne und externe Audittätigkeiten an um das entsprechende Monitoring und Management von Maßnahmen zu unterstützen.

Kurz erlärt

  • ISMS, VDS, Common Criteria, TISAX, etc.
  • Vorbereitung und Planung durch Anforderungsanalyse und Reifegradermittlung
  • Projektbegleitung zur Umsetzung von Prozessen und technischen Maßnahmen
  • Aufrechterhaltung des Status durch Unterstützung des Monitoring und Management Prozesses
Security Architektur
Konzeption und Design

Blindtext non plaut erem sanihil lorepudic to eligendest aut quam et evellabo. Elessus. Ollatio nseque sum nossimusti ut utem que pos aut aliquas nonsequibus etur repudig endaestrum sum nessi.

In enim justo, rhoncus ut, imperdiet a, venenatis vitae, justo. Nullam dictum felis eu pede mollis pretium. Integer tincidunt.

Überschrift

  • Stichpunkt