Pentest

14. September 2022

Re-Zertifizierte Penetrationstester

Bereits seit 2012 sind zwei unserer Pentester durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Alle drei Jahre muss ein Fachkundenachweis erbracht werden, um die Zertifizierung aufrecht zu erhalten. Das ist erneut gelungen! Sowohl Simon Bieber, als auch Tobias Glemser sind für mindestens weitere drei Jahre zertifizierte Penetrationstester. Die Personenzertifizierung des BSI zum Penetrationstester stellt hohe Ansprüche an die […]
weiterlesen …

20. Februar 2019

Warum sollte man Sicherheitsvorkehrungen für einen Pentest deaktvieren?!?

#pentestwissen Diese Frage stellte mir ein Interessent (m/w/d) neben vielen weiteren bei einem Vorgespräch zum Thema Penetrationstests. Was gemeint ist und wieso er die Frage gestellt hat, wird in diesem Beitrag näher beleuchtet.

4. Januar 2019

Penetrationstests von EBICS Schnittstellen und Webservices

Electronic Banking Internet Communication Standard (=EBICS) ist ein in Deutschland von der deutschen Kreditwirtschaft definierter, multibankfähiger Standard zur Übertragung von Zahlungsverkehrsdaten über das Internet. Er hat den veralteten BCS-Standard abgelöst. Stark vereinfacht gesprochen werden dabei XML-Nachrichten definiert, die verschlüsselt und signiert meist über eine per TLS gesicherte Webservice-Schnittstelle zu den Banksystemen übertragen werden.
Nahezu jede Bank in Deutschland bietet eine über das Internet für jedermann erreichbare Schnittstelle nach diesem Standard an, um den Zahlungsverkehr über das Internet abwickeln zu können. Folglich unterliegen auch diese Schnittstellen der Regulierung und es müssen in regelmäßigen Abständen Sicherheitsüberprüfungen, z. B. in Form eines Penetrationstests, durchgeführt werden, um Schwachstellen und damit verbundene Risiken zu identifizieren.