Penetration Testing und Red Teaming

Let your company be checked by professional hackers

    White-, Grey- and Blackbox

    Penetration testing

    Whether individual (internal or external) systems, networks, infrastructures or (web) applications, our many years of experience in this sensitive area ensure that you get the best quality and a strong partner.
    Our penetration tests incorporate daily in-house threat intelligence and decades of know-how.

    Daniel Querzola

    Daniel kombiniert sein technisches Security Know How mit einer strategisch-lösungsorientierten Herangehensweise, um maßgeblich an der Cyber Resilience seiner Kunden beizutragen. Seine Kernexpertise beinhaltet Deep-Dive Pentesting & Red Teaming im Kontext komplexer Unternehmensarchitekturen, sowie Vulnerability Management.

    Zertifikate:
    Offensive Security Experienced Penetration Tester (OSEP)
    Offensive Security Web Expert (OSWE)
    Offensive Security Certified Professional (OSCP)
    GIAC Mobile Device Security (GMOB)
    CompTIA Security+
    Certified Ethical Hacker

    Michael Niewöhner

    Mit der Hackermentalität im Blut und seiner ausgeprägten analytischen Denkweise löst er komplexe Probleme auf unkonventionelle Weise. Aus dem Blickwinkel eines Angreifers trägt er dabei maßgeblich zur Erhöhung der Cyber Resilience seiner Kunden bei.

    Zertifikate:

    Offensive Security Experienced Penetration Tester (OSEP)
    Offensive Security Web Expert (OSWE)
    Offensive Security Certified Professional (OSCP)
    GIAC Mobile Device Security (GMOB)

    Unsere Experten sind umfassend Zertifiziert

    Penetration Testing Zertifikat OSCP
    Penetration Testing Zertifikat OSEP
    Penetration Testing Zertifikat OSWE
    Penetration Testing Zertifikat GMOB
    Penetration Testing Zertifikat Comptia Security plus
    Penetration Testing Zertifikat Certified Ethical Hacker
    Penetration Testing Zertifikat CISSP
    Red Teaming Zertifikat Red Team Operator

    Pentest Referenzprojekte

    Branche:
    Banken / Finanzwesen

    Funktion:
    Projektverantwortlicher für Ausbau und Standardisierung des Penetration Testing

    Verantwortungsbereiche:

    • Analyse der rechtlichen und regulatorischen Anforderungen
    • Risikoanalyse gemäß KWG/MaRisk/BAIT
    • Kollaboration mit internen Risikokontrollabteilungen (Datenschutz, Compliance, Legal usw.)
    • Abstimmung inkl. Betriebsvereinbarung mit dem Betriebsrat
    • GAP Analyse
    • Definition von Standards und Vorgaben für das Penetration Testing
    • Reconciliation Prozess zwischen bekannten Assets und unbekannten Assets
    • Penetration Testing Report Template gemäß Anforderungen BaFin
    • Prüfung der Pentesting Berichte auf Qualität und Alignment mit BaFin Anforderungen
    • Koordination von Pentests
    • Eskalationsmanagement
    • Definition und Implementierung von Prozessen (end-to-end)
    • Ordnungsgemäße Übergabe in den operativen Betrieb

    Branche:
    Banken / Finanzwesen

    Funktion:
    Projektleiter für Pentest-Governance

    Verantwortungsbereiche:

    • Anpassung von Richtlinien
    • Erarbeitung von IST/ SOLL/ INTERIM/ Final Zustand
    • Erstellung Konzept externe Dienstleister
    • Definition und Abstimmung Berichtswesen, KRI’s und KPI’s

    Branche:
    Banken / Finanzwesen

    Funktion:
    Projektverantwortlicher

    Verantwortungsbereiche:

    • Anbahnung, Planung und Durchführung diverser Pentest-Projekte
    • Infrastruktur-Pentests: Perimeter, Netzübergänge/-trennung, Windows- und Linux-Server
    • Physische Sicherheit der Institute selbst bzw. der SB-Bereiche: Zutrittskontrollsysteme, Videoüberwachung, Sicherheit der Netzzugänge (v.a. in SB- und Empfangs-Bereichen)
    • Client-Sicherheit: Rechteausweitung, AV-Evasion, Lateral Movement in interne Netze
    • Anwendungen: Prüfung interner und externer Webapplikationen nach dem vollständigen OWASP WSTG
    • Awareness: Social Engineering und Phishing-Angriffe
    • Erstellung detaillierter Testberichte mit Dokumentation der technischen Details und kundenspezifischen Maßnahmenempfehlungen

    Branche:
    Energieversorger

    Funktion:
    Projektverantwortlicher

    Verantwortungsbereiche:

    • Prüfungsvorbereitung & Planung
    • Deep-Dive Corporate Network Penetration Test zur technischen Evaluierung der Office- sowie Leitstellen-Infrastruktur
    • Durchführung regelmäßiger Penetration Tests und Unterstützung bei der Umsetzung ökonomisch sinnvoller Maßnahmen, um das Risiko eines erfolgreichen Angriffs stark zu reduzieren, sowie die entsprechenden regulatorischen Anforderungen wie Sorgfaltspflichten und Maßnahmen nachweislich zu erfüllen

    Branche:
    Pharma

    Funktion:
    Projektverantwortlicher

    Verantwortungsbereiche:

    • Planung, Durchführung & sehr erfolgreicher Abschluss eines globalen Pentests
    • Evaluierung der bestehenden, global vernetzten Infrastruktur und Ermittlung des Angriffspotenzial sowohl externer, als auch möglicher interner Angreifer
    • Entwicklung einer umfassenden Sicherheitsstrategie inklusive einer priorisierten Roadmap zur initialen Behebung kritischer Sicherheitslücken, sowie zum Monitoring mittels Managed Services
    • Erstellung des detaillierten Testberichts

    Branche:
    Sportwarenhersteller

    Funktion:
    Projektverantwortlicher

    Verantwortungsbereiche:

    • Identifizierung und Bewertung kritischer Sicherheitslücken sowie Erarbeitung von Maßnahmen zur Behebung
    • Prüfung in Anlehnung an den vollständigen OWASP WSTG v4
    • Ausführlicher Bericht für Management und IT
    • Überprüfung behobener Schwachstellen im Rahmen einer Nachprüfung
    • Weltweit betriebene Webshops zum Vertrieb von Produkten sowie Mitarbeiterportale für verschiedene Geschäftsprozesse
    • Erstellung priorisierter Maßnahmenkataloge von organisatorischen Maßnahmen für das Management und technischen Maßnahmen für die IT
    • Erkennung von Defiziten in der Entwicklung und Festlegung von Maßnahmen, um diese nachhaltig zu bearbeiten

    Branche:
    Medizingerätehersteller

    Funktion:
    Projektverantwortlicher

    Verantwortungsbereiche:

    • Analyse der rechtlichen und regulatorischen Anforderungen
    • FDA Draft Guidance und 510(k)-Einreichungsumfang
    • UL 2900 Cybersicherheitsstandard für medizinische Geräte
    • NIST 800-Serie für Sicherheit, Datenschutz und Risikomanagement
    • ISO 62304 und 14971 über AAMI TIR-57 für medizinische Geräte
    • Analyse sowohl der Entwicklungs- als auch der Restrisiken
    • Überprüfung und Penetrationstest von Software, Schnittstellen und Hardware
    • Reverse Engineering von Hardware und Firmware
    • Unterstützung des Kunden zur Etablierung der Security-by-Design-Strategie

    Branche:
    Banken / Finanzwesen
    Öffentlicher Sektor / Gesundheitswesen

    Funktion:
    Pentester

    Verantwortungsbereiche:

    • Planung des Umfangs (Scoping) der Penetrationstests sowie der Rules of Engagement
    • Penetrationstests von Webapplikationen, Infrastrukturen sowie mobilen Applikationen (z. B. gemäß OWASP oder NIST 800-115) im White, Grey und Black Box Approach
    • Identifikation von Sicherheitslücken durch manuelle Schwachstellenanalyse
    • Unterstützung der Sicherheitsüberprüfungen mittels gängiger Schwachstellenscanner (z. B. BurpSuite, Nessus, OWASP ZAP, Nikto, Skipfish, nmap, etc.)
    • Koordination und Management von Penetration Testing Programmen und Quality Assurance für durchgeführte Penetrationstests
    • Erstellung und Weiterentwicklung von Dokumentationen und Checklisten zur Sicherstellung des Testerfolgs im Rahmen eines Penetrationtests
    • Informationsbeschaffung mittels manueller und automatisierter Tools im Rahmen des vereinbarten Scopes (u.a. Shodan, öffentliche Datenbanken wie RIPE)
    • Ausnutzen identifizierter Schwachstellen im Rahmen der vereinbarten Rules of Engagement mittels gängiger Tools (z. B. Metasploit, Proof of Concept Exploit Code) und eigener Angriffsvektoren
    • Dokumentation der Vorgehensweise und Ergebnisse basierend des ermittelten Risikos (Risikoanalyse) sowie unter Verwendung von Indikatoren wie Ausnutzbarkeit und Eintrittswahrscheinlichkeit (angelehnt an CVSS)
    • Ausarbeitung von Handlungsempfehlungen zu identifizierten Schwachstellen in einem zielgerichteten Reporting gemäß Adressatenkreis
    • Durchführung von Re-Tests zur Verifizierung von geschlossenen Schwachstellen und anschließender Ergebniskommunikation

    Branche:
    Mittelstand / Industrie / Versorger / Handel

    Funktion:
    Pentester

    Verantwortungsbereiche:

    • Planung des Umfangs (Scoping / Testumfang) der Penetrationstests und Schwachstellenanalysen sowie der Rules of Engagement
    • Penetrationstests und Schwachstellenanalysen von iOS-, Webapplikationen sowie Infrastrukturen (z.B. mit Fokus auf OWASP Top 10 oder NIST 800-115) im White-, Grey-, sowie Black-Box Approach
    • Automatisierte und manuelle Schwachstellenanalysen zur Detektion von erreichbaren Netzwerkservices („Enumeration“, z.B. via nmap, Nessus, Dirbuster oder Nikto)
    • Koordination und Management von Penetration Testing Programmen und Quality Assurance für durchgeführte Penetrationstests
    • Erstellung und Weiterentwicklung von Dokumentationen und Checklisten zur Sicherstellung des Testerfolgs im Rahmen eines Penetrationtests
    • Informationsbeschaffung mittels manueller und automatisierter Tools im Rahmen des vereinbarten Scopes (u.a. Shodan, öffentliche Datenbanken wie RIPE)
    • Ausnutzen identifizierter Schwachstellen im Rahmen der vereinbarten Rules of Engagement mittels gängiger Tools (z.B. metasploit, POC Exploit Code) und eigener Angriffsvektoren
    • Dokumentation der Vorgehensweise und Ergebnisse basierend auf Basis des ermittelten Risikos (Risikoanalyse) sowie unter Verwendung von Indikatoren wie Ausnutzbarkeit oder Eintrittswahrscheinlichkeit (angelehnt an CVSS)
    • Ausarbeitung von Handlungsempfehlungen zu identifizierten Schwachstellen in einem zielgerichteten Reporting gemäß Adressatenkreis
    • Durchführung von Re-Tests zur Verifizierung von geschlossenen Schwachstellen und anschließender Ergebniskommunikation

    Pentest Ansätze

    Black Box Pentest
    Black Box Pentest

    Der Pentester erhält ein Minimum an Informationen

    Simulation eines von einem Eindringling durchgeführten Angriffs

    Ohne vorherige Kenntnisse über die Angriffsziele

    Grey Box Pentest
    Grey Box Pentest

    Simulation eines Angriffs, der von einem autorisierten Mitarbeiter
    oder mit teilweiser Kenntnis der Infrastruktur/Anwendungen durchgeführt wird

    Der Pentester verfügt über
    einige Informationen (z. B. Benutzer/Passwort)

    White Box Pentest
    White Box Pentest

    Der Pentester verfügt über ein breites Wissen über die
    Infrastruktur/Anwendungen als Angriffsziel

    Penetration Testing Arten

    Externe Pentests

    Testen Sie Ihre aus dem Internet erreichbaren Systeme mit denselben Techniken wie ein böswilliger Angreifer.

    Interne Pentests

    Testen Sie Ihre internen Systeme, um Bedrohungen zu beseitigen, die ein böswilliger Insider ausnutzen könnte.

    Webapplication Pentest

    Finden Sie versteckte Sicherheitsrisiken, die Tools in Ihren benutzerdefinierten Webanwendungen nicht finden können

    Wireless WLAN Pentest

    Entdecken Sie Sicherheitsschwachstellen in Ihren drahtlosen Netzwerken, bevor sie Ihre Daten über die physische Grenze hinaus gefährden.

    IoT Pentest

    Eingebettete Systeme enthalten oft versteckte Sicherheitsbedrohungen; wir werden sie finden bevor es die bösen tun.

    Social Engineering

    Durch gezielte Fragetechniken relevante Informationen gewinnen oder Umgehung von Sicherheitsmaßnahmen, um gesicherte Bereiche zu betreten.

    API Pentest

    Prüfen Sie jede Facette Ihrer API, um versteckte Sicherheitslücken zu finden

    Mobile Pentest

    Aufdecken von Sicherheitslücken in selbst entwickelter iOS- und Android-Software

    penetration testing kosten
    Was kostet ein Penetration Test?

    Pentest Kosten

    Die Kosten eines Penetration Tests richten sich nach dem Aufwand (in Personentagen), der Art des Pentests (Black- Grey- oder Whitebox) und der Komplexität, die teilweise extrem individuell und unterschiedlich sein können. Deshalb können seriöse Preisindikationen erst nach einer ersten Scope Einschätzung getroffen werden.

    Um einen groben Rahmen zu geben, bewegen sich ca. 53% unserer Pentests im Rahmen zwischen 5-10 Personentagen (PT) und kosten zwischen 3.000 Euro - 18.000 Euro.

    Rufen Sie uns an

    Sie erreichen uns telefonisch von Montags - Freitags von 08:00 - 17:00 Uhr.

    Telefon: +49 2173 265 3550

    E-Mail

    Schreiben Sie uns gern auch eine E-Mail die wir i.d.R. innerhalb von 24 Stunden beantworten.

    kontakt(AT)apollon-security.com

    Reporting

    For the board of directors, CISO as well as the cyber security expert, the reports of our penetration tests are of the highest level, both visually and in terms of content. You will receive a professional report for each penetration test, which you can also share directly with your annual auditors or regulators.

    Penetration Test Anbieter Checkliste

    Die fünf wichtigsten Punkte auf die Sie bei der Auswahl eines Penetration Testing Anbieters achten sollten. Online und zum Download als PDF.

    We do not leave you alone

    Support

    Our experts do not leave you alone with the results, but support you with validations of vulnerabilities, mitigation options and any other questions that may arise.

    Standards

    Legal and regulatory requirements

    Our experts have extensive experience with auditors and regulators from around the world, so we know exactly what matters.

    Whether BSI-Grundschutz, ISO 27001, BAIT, VAIT, IT Security Act or KRITIS 2.0, DORA, KWG, MaRisk, GDPR or DSGVO or BDSG - to meet all legal and regulatory requirements, regular penetration tests (at least on your externally accessible systems) are mandatory. Our penetration tests meet all requirements and standards.

    We perform our penetration tests in accordance with the specifications of the BSI as well as the internationally recognized penetration testing standards OSSTMM, OWASP, NIST, PTES and ISSAF.

    Rechtliche und regulatorische vorgaben Penetration Testing
    Cyber Security Informationssicherheit Team stark
    Cyber Security Leader Award Gewinner Apollon Security
    Your trump card is our

    Experience

    We have very extensive experience in keeping your systems intact and not unnecessarily disrupting your operations despite deep penetration testing.

    We also use self-developed tools and exploits (0-Days) for our penetration tests.

    We also support you in developing and implementing end-to-end processes for penetration testing. This also includes mitigation, consulting and risk acceptance support where it does make sense.

    Do you have any questions, would you like a callback, or a quote?

    This site is protected by hCaptcha and the hCaptcha Privacy Policy and Terms of Service apply.