Das bieten wir an

Klarer Fokus, größtes Know-How und eine partnerschaftliche Zusammenarbeit mit Handschlagqualität.

Assessments für Entra ID & Azure Cloud

Microsoft Entra ID und Azure sind für viele Unternehmen das neue Active Directory. Wir identifizieren Angriffspfade, über die Angreifer eure Cloud-Umgebung kompromittieren könnten, und zeigen in hybriden Umgebungen auch mögliche Wege in eure On-Prem-Infrastruktur auf.

01

Szenario

Ein gestohlener Cloud-Account oder eine zu weit gefasste Admin-Rolle reicht oft aus, um sensible Daten und Ressourcen zu kompromittieren. Wir suchen nach Angriffspfaden, um eure Cloud-Umgebung und ihre Ressourcen zu kompromittieren: zum Beispiel Umgehungen der Multi-Faktor-Authentifizierung, schwache Conditional-Access-Richtlinien und lohnende Ziele mit weitreichenden Berechtigungen. Bei hybriden Umgebungen finden wir so unter Umständen auch Wege in eure On-Prem-Umgebung.

02

Vorbereitung

Im Vorfeld klären wir Scope und Zugänge: lesende Rollen in Entra ID und Azure sowie die relevanten Subscriptions und Ressourcen. Bei hybriden Umgebungen sehen wir uns auch die Verbindung zu eurem On-Prem Active Directory an.

03

Checklist

Wir erfassen Benutzer, Rollen, Zugriffsrichtlinien und App-Registrierungen und prüfen eure Azure-Ressourcen auf unsichere Einstellungen. Auch privilegierte Konten, Service-Accounts und typische Fehlkonfigurationen in Microsoft 365 sehen wir uns an. In hybriden Umgebungen testen wir Angriffspfade zwischen Cloud und On-Prem.

04

Umfang

Je nach Größe des Tenants und der vorhandenen Azure-Ressourcen rechnen wir mit etwa 5-10 Personentagen à 1.600 €.

In 6 Schritten zum Pentest

So gehen wir vor

1

Wir erheben eure Anforderungen

In einem Scoping-Gespräch definieren wir gemeinsam Umfang und Rahmenbedingungen des Pentests. Wir legen fest, was getestet wird und was ausdrücklich nicht zum Scope gehört.

2

Wir erstellen euch ein Angebot

Auf Basis eurer Anforderungen erstellen wir ein passgenaues Angebot. Ihr erhaltet es zeitnah und nachvollziehbar aufgeschlüsselt.

3

Wir klären alle Voraussetzungen

Nach der Beauftragung bereiten wir den Pentest im Kickoff vor. Zugänge, Testbenutzer, Zeitfenster und Kommunikationswege klären wir gemeinsam.

4

Wir machen den besten Pentest für euch

Wir testen innerhalb des vereinbarten Scopes und Zeitrahmens. Während der Durchführung bleiben wir mit euch im Austausch und melden kritische Findings über die vereinbarten Kanäle. Nach Abschluss erhaltet ihr den Bericht als gesichertes PDF.

5

Wir besprechen die Ergebnisse

Pentest-Berichte sind oft umfangreich. Wir stehen euch nach der Lieferung als Ansprechpartner zur Verfügung und gehen die Ergebnisse und Prioritäten gerne mit euch durch.

6

Wir testen kostenlos nach

Damit ihr aus dem Bericht auch handelt, testen wir behobene Schwachstellen einmalig kostenlos nach, wenn die Behebung innerhalb von acht Wochen nach Berichtsübermittlung erfolgt.

Bereit mit uns zu arbeiten?

Wir gehen für euch in die Offensive und decken Schwachstellen eurer Anwendungen und Infrastrukturen auf, um Angriffe erst gar nicht zu ermöglichen.