Security Assessments

Penetration Tests

Wir prüfen Ihre Systeme aus der Perspektive eines Angreifers – systematisch, kontrolliert und mit der Tiefe, die automatisierte Tools allein nicht erreichen. Unsere Penetration Tests decken sowohl Applikationen als auch Netzwerkinfrastrukturen ab.

Application Security Testing

• Webapplikationen und Web Services (REST, SOAP, GraphQL)
• Mobile Apps (iOS und Android)
• Embedded Devices und IoT-Firmware
• AI/LLM-Applikationen – Prompt Injection, Data Leakage, Model Manipulation

Network Penetration Tests

• Externe Penetration Tests – Angriffsfläche aus dem Internet
• Active Directory (AD) Penetration Tests – Privilege Escalation, Kerberoasting, Golden Ticket
• Interne Netzwerk-Tests – laterale Bewegung und Segmentierungsprüfung

Testmethoden

Je nach Zielsetzung setzen wir auf unterschiedliche Testansätze:

• White Box: Vollständiger Zugang zu Quellcode, Architektur und Dokumentation – maximale Testtiefe und Effizienz
• Grey Box: Teilinformationen wie Benutzerkonten oder Netzwerkdiagramme – realistischer Insiderangriff
• Black Box: Kein Vorwissen – simuliert einen externen Angreifer ohne Vorkenntnisse

Weitere Informationen unter penetration-tester.ch

Red Teaming

Während ein Penetration Test einzelne Systeme gezielt prüft, simuliert ein Red-Team-Engagement einen realistischen, mehrstufigen Angriff auf Ihre gesamte Organisation. Ziel ist es, die Erkennungs- und Reaktionsfähigkeit Ihres Unternehmens unter realen Bedingungen zu testen.

• Realistische Angriffsszenarien über mehrere Vektoren (Netzwerk, Social Engineering, physisch)
• Prüfung Ihrer Detection- und Response-Fähigkeiten
• Kombination aus technischen und menschlichen Angriffsmethoden
• Vertraulicher Abschlussbericht mit Tactical und Executive Summary

Phishing-Simulationen

Testen Sie die Widerstandsfähigkeit Ihrer Mitarbeitenden gegen Social-Engineering-Angriffe. Unsere Simulationen sind realitätsnah gestaltet und liefern messbare Ergebnisse – als Grundlage für gezielte Awareness-Massnahmen.

• E-Mail-Phishing – massgeschneiderte Kampagnen mit realistischen Szenarien
• USB-Phishing – präparierte Datenträger an strategischen Orten
• QR-Code-Phishing – Ausnutzung des Vertrauens in QR-Codes
• Briefpost-Phishing – physische Social-Engineering-Angriffe
• Detailliertes Reporting mit Klickraten, Zeitverläufen und Abteilungsvergleichen

Beratend auf Ihrer Infrastruktur oder «as a Service» – auf unserer eigenen, Schweizer Infrastruktur betrieben.

Secure Code Review

Bei einem sicherheitsbezogenen Quellcode Audit wird der Quellcode einer Applikation systematisch auf Sicherheitslücken untersucht. Bestimmte Schwachstellenklassen – insbesondere Injection-Angriffe und Autorisierungsfehler – lassen sich per Code Review besonders zuverlässig identifizieren. Am effektivsten in Kombination mit einem Penetration Test, da gewisse Schwachstellen nur im laufenden Betrieb erkennbar sind.

• Manuelle Analyse durch erfahrene Security Engineers – nicht nur Tool-Output
• Unterstützte Sprachen: C#, Java, PHP, JavaScript/TypeScript, Python und weitere
• Fokus auf OWASP Top 10, Business Logic und Autorisierungsfehler
• Kombination mit automatisierter statischer Analyse (SAST)

Architektur-Reviews

Bewertung Ihrer Systemarchitektur auf Sicherheitsschwächen, bevor diese in der Implementierung zum Problem werden. Ein Architektur-Review frühzeitig im Projekt spart kostenintensive Nacharbeit und verhindert strukturelle Sicherheitsmängel.

• Bewertung von Netzwerk-, Applikations- und Cloud-Architekturen
• Identifikation von Design-Schwächen und fehlender Segmentierung
• Empfehlungen nach Defense-in-Depth und Zero-Trust-Prinzipien
• Dokumentierter Bericht mit priorisierten Massnahmen

Schwachstellenscans

Automatisierte Untersuchung Ihrer Systeme auf bekannte Schwachstellen – ein kostengünstiger Einstieg in die Sicherheitsüberprüfung, der Ihnen ein umfassendes Bild Ihrer Angriffsfläche liefert. Ideal als Ergänzung zu Penetration Tests oder als regelmässige Überprüfung.

• Web Application Vulnerability Scans
• Host-basierte Schwachstellenscans (intern und extern)
• Regelmässige Scans as a Service – kontinuierliche Überwachung Ihrer Angriffsfläche
• On-prem oder vollständig als Managed Service

Sicherheitsbegleitung Softwareentwicklung

Sicherheit von Beginn an in den Entwicklungsprozess integrieren – statt am Ende teure Nacharbeit. Wir begleiten Ihr Entwicklungsteam über den gesamten Projekt-Lebenszyklus und stellen sicher, dass Sicherheit kein Nachgedanke bleibt.

Phase 1: Projektbeginn

• Architektur-Review und Definition von Sicherheitsanforderungen
• Threat Modelling und Risikoanalyse
• Aufbau von CI/CD Security Pipelines

Phase 2: Während der Entwicklung

• Security-Schulung der Entwickler
• Frühe Sicherheitstests und Code Reviews
• Laufende Beratung bei sicherheitsrelevanten Design-Entscheidungen

Phase 3: Vor dem Go-Live

• Umfassender White-Box Penetration Test
• Abschlussbericht mit Risikobewertung und Freigabeempfehlung

Interne Audits und Compliance-Assessments

Objektive Bewertung Ihres Sicherheitsniveaus gegen anerkannte Standards und Frameworks. Unsere Assessments zeigen Ihnen nicht nur, wo Sie stehen – sondern auch, welche Massnahmen den grössten Effekt erzielen.

• ISO 27001 / ISO 62443 – Gap-Analysen und Zertifizierungsvorbereitung
• CIS Critical Controls – priorisierte Sicherheitsmassnahmen
• NIST Cybersecurity Framework (CSF 2.0)
• IKT Minimalstandard – Schweizer Anforderungen für kritische Infrastrukturen
• Maturitätsanalysen mit Benchmarking und Fortschrittsmessung

Einführungspaket Cybersicherheit für KMU

Ein kompakter Einstieg in die IT-Sicherheit für Ihr gesamtes Unternehmen – an einem Tag. Ideal für KMU, die pragmatisch und kosteneffizient starten möchten.

Teil 1: Alle Mitarbeitenden

• Interaktive Präsentation zu aktuellen Bedrohungen
• Gruppenarbeit mit praxisnahen Szenarien
• Security Awareness Training

Teil 2: Geschäftsleitung & IT

• Risikoeinschätzung Ihrer wichtigsten Assets
• Priorisierte Massnahmenplanung
• Infrastruktur-Übersicht und Quick Wins

Sie erhalten einen schriftlichen Bericht mit gewichteten Risikoeinschätzungen und konkreten, umsetzbaren Empfehlungen.