FAQ

Nein, auch unsere Assessments finden nicht alle Schwachstellen. Jede Schwachstelle zu finden, ist ein unseriöses Versprechen, das wir unseren Kunden nicht geben können.

Prinzipbedingt lässt sich nur die Existenz von Schwachstellen nachweisen; das Gegenteil ist in den meisten Fällen nicht möglich.

Das kann von Dienstleistung zu Dienstleistung sehr unterschiedlich sein. Auf der jeweiligen Dienstleistungsseite wird die Durchführung im Detail erläutert.

Für einen generellen Überblick über unseren Prozess können Sie einfach herunterscrollen.

Idealerweise findet das Assessment auf einer geeigneten Testumgebung statt. Dadurch können Daten- und Verfügbarkeitsverluste auf der Produktionsumgebung ausgeschlossen und der Test ohne besondere Vorsichtsmaßnahmen durchgeführt werden. Dabei ist allerdings zu beachten, dass die Testumgebung der Produktionsumgebung möglichst nahekommen sollte. Das bedeutet konkret, dass beispielsweise Debug-Einstellungen ausgeschaltet werden sollten.

Falls das nicht möglich ist, kann nach einer Risikoabwägung auch auf einer Produktionsumgebung getestet werden.

Lutra lutra ist der wissenschaftliche Name des Fischotters.

Als potenziell gefährdete Art steht der Otter für unseren Nachhaltigkeitsgedanken, als agiler Jäger und Schwimmer repräsentiert er unsere Arbeit als Penetrationstester.

Diese Begriffe beschreiben, wie viele Informationen dem Tester zu Beginn des Assessments zur Verfügung stehen. Erhalten wir keine Informationen, spricht man von einem Black-Box Assessment. Den Gegenpol dazu bildet das White-Box Assessment, bei dem der Tester alle verfügbaren Informationen erhält.

Eine Mischform stellt das Grey-Box Assessment dar. Dabei wird vor dem Assessment mit dem Tester besprochen, welche Informationen benötigt werden, um den Test so effizient wie möglich zu gestalten.

Da wir aufwandsbasiert arbeiten, lässt sich das pauschal nur schwer beantworten. Beispielsweise ist ein Vulnerability Assessment eines komplexen Shopsystems deutlich aufwendiger als der Test einer statischen Webanwendung.

Kontaktieren Sie uns deshalb gerne für ein Erstgespräch, in dem wir gemeinsam einen möglichen Scope definieren können: hello@lutrasecurity.com

Ein Assessment ist kein Garant für eine sichere Anwendung. Vielmehr sollte es als Werkzeug gesehen werden, das dabei unterstützt, existierende Risiken zu verstehen und das Sicherheitsniveau kontinuierlich zu erhöhen.

Angreifer bevorzugen Schwachstellen, die sie leicht finden und ausnutzen können. Mit einem hohen Sicherheitsniveau reduzieren Sie somit das Risiko für einen erfolgreichen Angriff.

Prozess

Wie sieht eine typische Dienstleistung bei Lutra Security aus?

  • Erstgespräch

    Während eines Erstgesprächs wird Ihr konkretes oder auch weniger konkretes Problem besprochen. Wir klären erst einmal, wie wir Ihnen helfen können und ob Sie uns überhaupt brauchen.

  • Aufwandsschätzung

    Nach dem Erstgespräch stellen Sie in einem Scopingtermin das System vor. Dabei werden die dahinterliegende Technologie und die fachliche Grundlage erläutert, um eine fundierte Aufwandsschätzung zu ermöglichen.

    Im Anschluss daran bekommen Sie von uns ein Angebot mit unserer Aufwandsschätzung.

  • Kickoff

    Im Kickoff werden die letzten Fragen des Testers über das System ausgeräumt. Außerdem wird besprochen, was der Tester benötigt, um das Assessment so effizient wie möglich durchführen zu können. Im Falle eines Webanwendungs-Assessments könnten das beispielsweise verschiedene Benutzerkonten sowie eine Firewallfreischaltung sein.

  • Assessment

    Während der Durchführung des eigentlichen Assessments müssen Sie in der Regel nicht mitwirken. Für konkrete Fragen des Testers sollte jedoch ein Ansprechpartner zur Verfügung gestellt werden.

  • Reporting

    Jede unserer Dienstleistungen beinhaltet einen ausführlichen Bericht, der die gefundenen Schwachstellen und Fehlkonfigurationen detailliert beschreibt und konkrete Handlungsempfehlungen liefert.