Vernetzte Systeme werden für Angreifende immer interessanter und Schwachstellen werden oft trotz solider Entwicklungsprozesse nicht immer erfasst. Dies haben auch Normungs- und Regulierungsbehörden (z.B. UNECE r155 / ISO 21434, CRA, IEC 62443, FDA Richtlinien, EU MDR / IEC 81001-5-1, DO-326A / ED-202A, DO-356A / ED-203A, NIS-2) erkannt, die für bestimmte Produkte sogenannte Penetration Tests fordern. Bei solchen Tests übernehmen Penetration Testende die Rolle von Angreifenden und versuchen Schwachstellen zu identifizieren, die zum Angriff auf das System genutzt werden können.
Aufgrund der vielen Angriffsherde und um die Sicherheit Ihrer Systeme zu gewährleisten, führen wir Penetrationstests durch.
Kompetenter Partner für Cyber Security und Pentesting von vernetzten Systemen
Ein breites Fachwissen ist erforderlich, um Systeme ganzheitlich und nicht isoliert zu testen – von eingebetteten Systemen, Cloud, mobile Benutzeranwendungen bis hin zu Unternehmensnetzwerken. ITK unterstützt Sie bei IT-Penetration Tests, legt aber auch einen starken Fokus auf das Testen eingebetteter Systeme. Unsere Expertise stützt sich im Bereich Embedded Security und Systems auf unsere branchenübergreifende Erfahrung in verschiedenen Domänen, beispielsweise Automotive, Gesundheit oder Industrie. Zudem verfügen wir über ein breites Hintergrundwissen in IT-Systemen Web- und Cloud-Dienste, IT-Netzwerke) sowie für Smartphone Anwendungen.
ITK Engineering als Teamplayer
Wir bieten unseren Kunden eine externe Hacker-Sicht, agieren dabei jedoch nur auf technischer Ebene als Gegenspieler. Auf der Projektebene ist für uns eine starke Partnerschaft wichtig. Wir stellen unseren Kunden nicht nur einen Bericht zur Verfügung, sondern bemühen uns, Lösungen für Ihre individuellen Probleme zu finden. Auf Wunsch binden wir unsere Kunden sogar in den Prüfprozess mit ein. Diese Einstellung wird insbesondere dadurch gefördert, dass die ITK Engineering selbst Systeme entwickelt. Wir verfügen bereits über das erforderliche Domänenwissen und kennen die Schwierigkeiten, die entstehen, wenn Gegenmaßnahmen zu einem späten Zeitpunkt eingeführt werden. Wir teilen unsere Bewältigungsstrategien gerne mit Ihnen und entwickeln Ihr Schutzkonzept.
Ihre Vorteile im Überblick
Technisches und domänenübergreifendes Know-how: Basierend auf unserer Expertise in der Embedded-Security Entwicklung sind wir ein erfahrener Partner, der die Grundlagen Ihrer Produkte und Prozesse aus der täglichen Arbeit kennt.
Security Engineering Expertise: Wir wissen, dass ein Systemwechsel schwierig ist und schlagen Gegenmaßnahmen vor, um notwendige Änderungen so weit wie möglich zu minimieren.
Externe Sichtweise: Da wir an der Kundenproduktentwicklung nicht direkt beteiligt sind, haben wir eine unvoreingenommene Perspektive.
Partnerschaftliche Arbeitsweise: Wir unterstützen Sie auch nach dem Bericht und helfen bei der Interpretation sowie Umsetzung der Ergebnisse.
Einbindung in den Penetration Testing Prozess: Sofern der Bedarf besteht können wir Sie regelmäßig einbinden, damit Sie zusammen mit uns die Richtung der Pentests mitgestalten können.
Tiefgehende Tests: Wir gehen über das halbautomatische Scannen von Schwachstellen hinaus – auf diese Weise identifizieren wir die meisten Schwachstellen.
Unsere Zertifizierungen im Bereich Penetration Testing
Über folgende Qualifikationen verfügt unser Pentesting-Team: Offensive Security Certified Professional (OSCP), Offensive Security Experienced Penetration Tester (OSEP), Foundation in ISMS nach ISO/IEC 27001. Ihre Daten und Prototypen sind bei uns sicher dank unserer unternehmensinternen Zertifizierungen (inklusive Dokumentation und Auditerfahrung): TISAX Certification Level 3, ISO 27001 Zertifizierung.
Unsere Referenzprojekte
Embedded Gateway ECU Penetration Test
Herausforderung: Gateway ECUs sind zentrale Elemente in einer Fahrzeugarchitektur und damit Angriffen ausgesetzt. Unser Kunde will seine Gateway ECU auf Schwachstellen testen lassen, hat gleichzeitig aber auch einen engen Zeitplan, den er einhalten muss.
Unser Lösungsweg: Da das System geliefert wurde, waren aufgrund der engen Taktung einige Security Features noch nicht ausreichend funktionsfähig und konnten dementsprechend nicht direkt getestet werden. Um die Zeit maximal effizient zu Nutzen hat das ITK Pentesting Team sich auf bereits funktionsfähige Mechanismen konzentriert und erste Schwachstellen identifiziert. Parallel dazu bei der Identifikation von noch nicht funktionalen Security Features unterstützt und den Test mit zunehmend funktionierenden Security Features strukturiert erweitert.
Kundenmehrwert: Der Kunde wusste den pragmatischen und partnerschaftlichen Umgang in Bezug auf das nicht vollständig gelieferte System zu schätzen. Die Zeit wurde effizient genutzt, sodass der Zeitplan trotz Unwegsamkeit eingehalten werden konnte.
Hybrid System Penetration Test (web service, mobile app, embedded ECU)
Herausforderung: Ein hybrides System bestehend aus einem Backend Webservice/-applikation, einer Smartphone App und einer im Fahrzeug verbauten ECU bietet viel Angriffsfläche und soll auf Schwachstellen überprüft werden.
Unser Lösungsweg: Um den Test zügig durchführen zu können, hat die ITK mehrere Teams gebildet, um die Systemkomponenten zu untersuchen. Diese Teams fokussierten sich zunächst innerhalb der individuellen Komponenten auf Schwachstellen. Anschließend konnten die Teams systemverbundebene Schwachstellen zu Killchains verbinden und darüber hinaus Schwachstellen identifizieren, die erst im Verbund auftreten.
Kundenmehrwert: Der Kunde hat Embedded, Web und Mobile App Penetration Test von ITK aus einer Hand erhalten. Das hat auf der einen Seite den Abstimmungsaufwand auf Kundenseite gesenkt und dazu geführt, dass Schwachstellen auf Systemebene aufgedeckt werden konnten.
IT Network Penetration Test
Herausforderung: Der Kunde betreibt ein IT Netzwerk und muss im Rahmen seines ISMS regelmäßig Penetration Tests durchführen. Mehrere Penetration Tests mit verschiedenen Scopes sind bereits durchgeführt worden, auf deren Basis Handlungsbedarf identifiziert wurde und ein aussagekräftiges Reporting für das Management benötigt wird.
Unser Lösungsweg: ITK hat das System breit getestet und dabei den Fokus nicht nur auf kritische technische Komponenten sondern auch auf naheliegende und nachvollziehbare Schwachstellen gelegt. Basierend auf dem Standard Reporting Framework hat ITK die zahlreichen identifizierten Schwachstellen verständlich für das nicht-technische Management aufgezeigt.
Kundenmehrwert: Sowohl die identifizierten Schwachstellen als auch der managementtaugliche Report waren für den Kunden ideal geeignet, um die Dringlichkeit von Gegenmaßnahmen zu belegen. Darüber hinaus hat ITK über den eigentlichen Penetration Test hinaus bei der Darstellung und Diskussion der identifizierten Schwachstellen unterstützt.
Penetration Test mehrerer Unternehmensnetzwerke (IT): Interne und internetfähige Service-Port-Scans und detaillierte Schwachstellenanalyse, Active Directory, AD Forests, Netzwerkfreigaben, ADFS, AzureAD, ADCS, Datenbanken, benutzerdefinierte Aufzählung und Analyse, E-Mail-Phishing-Kampagnen, AV-Umgehung, …
