Dienstleistungen

Die Pentagrid AG ist auf die manuelle und semi-automatische IT-Sicherheitsanalyse von Informationstechniksystemen spezialisiert. Aufgrund unserer mehr als zehnjährigen Erfahrungen mit Sicherheitsuntersuchungen von Software, Hardware und Infrastruktur, ist unser Team in der Lage, Sie in zahlreichen Informationssicherheitsbereichen zu unterstützen. Da Informationssicherheit Wissen von abstrakten Konzepten bis hin zu tiefen technischen Prozessen erfordert, sind wir davon überzeugt, dass fortwährendes Lernen ein Schlüsselelement unserer Mission ist. Mit Hilfe unserer Analysten können unsere Kundinnen und Kunden ihre Risiken identifizieren und die zugrunde liegenden technischen Probleme adressieren.

Software Security Assessments

Pentagrid führt Software-Sicherheitsuntersuchungen in den verschiedenen Phasen Ihres Projektlebensszyklus durch – in den frühen Phasen der Anforderungsfestlegung, während der Design-Phase und Implementation, vor dem Go-Life, später bei regulären Sicherheitschecks und bei Sicherheitsvorfällen. Unser Softwaresicherheitsprüfungen umfassen beispielsweise:

  • Webanwendungen und webbasierte Schnittstellen

  • Mobile Applikationen

  • Backend-Applikationen

  • Authentisierungs- und Identitätsmanagement-Lösungen

  • Desktop-Anwendungen

  • Datenbank-Applikationen

Infrastruktur- und Netzwerksicherheitsuntersuchungen

Neue IT-Infrastruktur legt häufig den Schwerunkt auf Funktionen. Bewährte Verfahren der IT-Sicherheit finden dabei nicht selten erst später Anwendung, fügen sich dann nicht immer gut in das Gesamtsystem ein und hinterlassen Schutzlücken. Daher ist das Finden von Verwundbarkeiten und sicherheitsbezogenen Problemen der Schlüssel, die Angriffsresilienz von IT-Systemen zu verbessern. Wir unterstützen Sie bei der Analyse vielfältiger Infrastrukturtypen, beispielsweise:

  • Firmennetzwerke

  • VoIP-Installationen

  • Firewall-Setups und Netzwerksegmentierung

  • WiFi-Netzwerke

  • Virtualisierte Netzwerke und virtualisierte Infrastruktur

  • Cloud-basierte Infrastruktur und Orchestrierungsinstallationen

  • Access-Gateway-Lösungen und VPNs

  • Mobile-Device-Management-Lösungen

  • Malware-Suche und die Analyse von Sicherheitsvorfällen

  • Konzeption und Einrichtung nichtoffensichtlicher Honeypots

Hardware-Sicherheitsuntersuchungen

Hardware zu verkaufen bedeutet, Kontrolle über die Geräte und deren Nutzungsart zu verlieren. Dritte können Ihre Geräte auseinanderbauen, Informationen wie kryptografische Schlüssel oder Firmware extrahieren und diese auf Verwundbarkeiten hin analysieren und von gefundenen Verwundbarkeiten profitieren. Pentagrid unterstützt Sie darin, Verwundbarkeiten festzustellen bevor Ihre Produkte auf dem Markt verfügbar sind. Wir helfen Ihnen beispielseweise bei der Untersuchung von:

  • Eingebetteten Systemen

  • IoT-Geräten

  • Firmware

  • Infotainmentsystemen

  • Protokollen von Feldbussen, Funkverbindungen wie Bluetooth und proprietären Systemen

  • RFID-basierten Systemen wie Zugangskontrollen

  • Geldautomaten

  • Medizinischen Geräten

  • Industriellen Steuersystemen

  • Betriebsleittechnik

Beratung

Basierend auf unseren technischen Erfahrungen und Kenntnissen wie Angreifer Herausforderungen angehen, berät Pentagrid in sicherheitsbezogenen Themen. Wir unterstützen Sie beispielsweise in folgenden Feldern:

  • Technisches Consulting für IT-Audit-Teams

  • Etablierung eines Security Development Lifecycle

  • Konzeptionierung und Etablierung eines IT-Sicherheitslevels in Ihrem IT-Betrieb

  • Management von Sicherheitsvorfällen und Kommunikation von Sicherheitslücken mit externen Dritten

  • Unterstützung Ihrer öffentlichen Kommunikation bei Sicherheitsvorfällen

  • Etablierung sicherheitsrelevanter Anforderungen bei der IT-Beschaffung

  • Management von Bug-Bounty-Programmen

Analysemethoden

Abhängig von den Projektzielen und verfügbaren Informationen wählt das Analyseteam einen Untersuchungsansatz, der Projektanforderungen und -einschränkungen berücksichtigt. Üblichweise nutzen wir folgenden Methoden:

  • Black-, Grey-, Whitebox-Analyse

  • Reverse-Engineering

  • Quellcodeuntersuchungen

  • Konzept-Reviews

  • Architektur-Reviews

  • Strukturierte Penetrationstests und Hot-Spot-Tests

  • Red-Teaming

  • Test-Methodologien: OWASP Testing Guide, OWASP Mobile Security Testing Guide (MSTG), OSSTMM

  • Fuzzing