Bei einer App zur Unterstützung und Automatisierung von Geschäftsprozessen wurde ein Grey-Box Pentest durchgeführt. Ziel des Tests war die Identifikation von Schwachstellen in der zugrunde liegenden IT-Infrastruktur.

• Planung, Koordination und Durchführung des Penetrationstests
• Auswahl geeigneter Tools und Testmethoden basierend auf dem zu prüfenden System
• Analyse und Identifizierung von Schwachstellen in der IT-Infrastruktur der App inkl. Risikobewertung
• Erstellung einer Dokumentation der Ergebnisse mit Handlungsempfehlungen und Zusammenfassung für das Management
• Präsentation der Ergebnisse gegenüber dem Kunden

Für einen großen Anbieter für Finanz- und Personalmanagementlösungen wurde ein White-Box Pentest für eine zentralisierte Anwendung durchgeführt, die zur Authentifizierung und Autorisierung von Benutzern für verschiedene Apps des Anbieters verwendet wird. Ziel des Tests war die Identifikation von Schwachstellen in der zugrunde liegenden Cloud-Infrastruktur.

• Planung, Koordination und Durchführung des Penetrationstests
• Auswahl geeigneter Tools und Testmethoden basierend auf dem zu prüfenden System
• Durchführung automatisierter und manueller Sicherheitstests
• Analyse und Identifizierung von Schwachstellen in der Cloud-Umgebung der App inkl. Risikobewertung
• Überprüfung der eingesetzten Cloud-Services auf sichere Konfiguration nach Best-Practices und anerkannten Standards wie CIS-Benchmark
• Sicherheitsanalyse des Identity Access Managements (IAM)
• Sicherheitsanalyse der bereitgestellten Application Programming Interfaces (APIs)
• Sicherheitsanalyse der DevOps-Prozesse
• Erstellung einer Dokumentation der Ergebnisse mit Handlungsempfehlungen und Zusammenfassung für das Management
• Präsentation der Ergebnisse gegenüber dem Kunden

In einem durch Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Forschungsprojekts wurde untersucht, wie automatisiert mögliche Angriffswege in Cloud-Umgebungen ermittelt werden können. Ziel des Projekts war es, generische Verfahren und Methoden mit Hilfe von KI zu entwickeln, die Ausnutzwahrscheinlichkeiten für Angriffsmöglichkeiten in Cloud-Umgebungen vorhersagen können.

• Planung und Koordination des Projekts
• Evaluierung aktuell verfügbarer Tools zum Scannen von Cloud-Infrastrukturen

• Analyse des Markts und aktueller Forschungsartikel zu Möglichkeiten der Identifikation kombinierter Schwachstellen in Cloud-Umgebungen zur Bestimmung komplexer Angriffswege

• Entwicklung automatisierter Sicherheitsanalysen für Cloud-Umgebungen
• Anfertigen von Dokumentationen und Forschungsberichte

Bei einer Marketingplattform eines namenhaften deutschen Unternehmens aus der Lebensmittelindustrie wurde ein Black-Box Pentest durchgeführt. Ziel des Tests war die Identifikation von Schwachstellen im Bereich Web- und Infrastruktur.

• Planung, Koordination und Durchführung des Penetrationstests
• Auswahl geeigneter Tools und Testmethoden basierend auf dem zu prüfenden System
• Durchführung automatisierter und manueller Sicherheitstests
• Analyse und Identifizierung von Schwachstellen der Webanwendung und der zugrundeliegenden IT-Infrastruktur inkl. Risikobewertung
• Erstellung einer Dokumentation der Ergebnisse mit technischen Details, Handlungsempfehlungen und Zusammenfassung für das Management
• Präsentation der Ergebnisse gegenüber dem Kunden

Weiterentwicklung der Webanwendung eines Energiekonzerns, die zur Konfiguration von Heizungen für Unternehmens- und Endkunden bereitgestellt wird. Ziele der Weiterentwicklung waren es, die Anwendung mit neuen Funktionen nach Anforderungen der Stakeholder zu erweitern, Anpassungen zur Einhaltung regulatorischer Vorgaben umzusetzen und die Entwicklung einer Whitelabel-Lösung für Unternehmenskunden.

• Fullstack-Softwareentwicklung in Cloud-Umgebungen
• Durchführung von Code Reviews und Sicherheitsanalysen
• Bewertung und Umsetzung von Pentest-Ergebnissen

• Planung und Umsetzung von DevOps-Prozessen
• Integration automatisierter Sicherheits-Scans in DevOps-Prozessen
• Durchführung von Unit- und Integrationstests
• Unterstützung bei der risikokritischen Bewertung von Public Cloud Services
• Anfertigung von Dokumentationen der Software-Architektur

Es wurde eine Webanwendung entwickelt, mit der Unternehmenskunden eines AWS-Managed-Service-Providers visuell aufbereitete Informationen über ihre Cloud-Umgebungen abrufen können. Ziel des Projekts war die transparente Offenlegung anfallender Kosten der verwendeten Cloud-Services und die Visualisierung der Ergebnisse automatisierter AWS-Compliance-Checks.

• Backend-Softwareentwicklung in Cloud-Umgebungen
• Definition und Bereitstellung von APIs in Absprache mit Frontend-Entwickler
• Durchführung von Code Reviews
• Durchführung von Unit- und Integrationstests
• Planung und Umsetzung von DevOps-Prozessen
• Planung und Abstimmung mit Stakeholdern
• Anfertigung von Dokumentationen der Software-Architektur

Im Rahmen des Web Application Security Services wurden regelmäßige Penetrationstests der Webanwendungen eines Energiekonzerns durchgeführt. Ziel des Projekts war das sicherheitskritische Monitoring der Anwendungen und die frühzeitige Identifikation von Schwachstellen im Bereich Web und IT-Infrastruktur.

• Unterstützung des Kunden beim Anfertigen von Schutzbedarfsanalysen
• Koordination und Durchführung von Penetrationstests
• Durchführung automatisierter und manueller Sicherheitstests
• Analyse und Identifizierung von Schwachstellen in Webanwendungen und in den zugrundeliegenden IT-Infrastrukturen inkl. Risikobewertungen
• Erstellung von Dokumentationen und Präsentationen der Ergebnisse mit Handlungsempfehlungen
• Durchführung zielgerichteter Nachtests

Es wurde eine App zur automatisierten Überprüfung von Webanwendungen auf Schwachstellen entwickelt. Ziel des Projekts war die Entwicklung eines Webportals für Unternehmenskunden, mit dem diese ihre eigenen Anwendungen automatisiert auf Schwachstellen in den Bereichen Web, Infrastruktur, Verschlüsselung und JavaScript-Dependencies überprüfen können. Ein weiteres Ziel war die Möglichkeit, regelmäßige Schwachstellen-Scans zeitlich planen und automatisch ausführen zu können. Die Ergebnisse der Scans werden dem Kunden in einem Dashboard visuell aufbereitet dargestellt.

• Abstimmung mit Stakeholder
• Entwurf und Dokumentation der Software- und Systemarchitektur
• Aufstellung, Priorisierung und Koordination der Entwicklungstätigkeiten
• Backend-Softwareentwicklung
• Frontend-Softwareentwicklung
• Planung und Durchführung von Deployments
• Planung und Durchführung von Softwaretests
• Präsentation der Ergebnisse gegenüber Stakeholder