Übersicht Penetrationstest-Dienstleistungsunternehmen in Deutschland

Aus einer Marktanalyse heraus hatte ich eine Liste deutscher Dienstleistungsunternehmen für Penetrationstests bzw. IT-Sicherheitsanalysen zusammengestellt. Diese Liste der Pentest-Dienstleister ist das Ergebnis von persönlicher Erfahrung mit Anbietern, der geschalteten Anzeigen durch Google AdWords sowie normale Google-Suchergebnisse. Falls ein Unternehmen fehlt, das die unten genannten Kriterien erfüllt, nehme ich es gerne zusätzlich auf. An dieser Stelle möchte ich erwähnen, dass ich selbst Gesellschafter eines dieser Unternehmen bin, der binsec GmbH aus Frankfurt am Main. Die Liste in alphabetischer Reihenfolge ist:

  • binsec GmbH aus Frankfurt am Main
  • cirosec GmbH aus Heilbronn
  • it.sec GmbH & Co. KG aus Ulm
  • RedTeam Pentesting GmbH aus Aachen
  • Secorvo Security Consulting GmbH aus Karlsruhe
  • secuvera GmbH aus Gäufelden
  • SRC Security Research & Consulting GmbH aus Bonn
  • SySS GmbH aus Tübingen
  • usd AG aus Neu-Isenburg

Die Kriterien zur Auswahl waren:

  • Nur Unternehmen mit Stammsitz in Deutschland.
  • Nur Unternehmen, die speziell auf Informations- oder IT-Sicherheit spezialisiert sind.
  • Nur Unternehmen, mit einem expliziten Fokus auf Penetration Testing.
  • Keine Freelancer sowie keine Ein-Personen-GmbHs.

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
SSLHonorCipherOrder On

Die Grenzen von Antivirus-Software – Gegen Scriptkiddie top, gegen Hacker relativ nutzlos

Eigentlich dachte ich, dass Antivirus-Software unverzichtbar in der Abwehr von Schadsoftware ist. Dieser Glaube wurde durch die Bachelorarbeit  „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer erschüttert. Bei individuell entwickelter Schadsoftware beißt sich Antivirus-Software regelrecht die Zähne aus. Dominik Sauer zeigte in seiner Arbeit sehr anschaulich, dass jeder Hacker in der Lage ist, seinen bösartigen Schadcode mit relativ einfachen Mitteln vor jeder relevanten Antivirus-Engine zu verstecken. Dabei beschreibt er eine generische Vorgehensweise, wie man dieses reproduzieren kann. In seinem Fazit schreibt er dazu:

„Nach dieser Bachelorthesis und meiner professionellen Meinung als Penetration Tester nach sind Antivirenprogramme dennoch nicht obselet geworden. Antivirus-Software ist erforderlich um breite Malware-Angriffe zu erkennen, aber weitgehend nutzlos in der Abwehr zielgerichteter Angriffe.“

Die Verhaltenserkennungen von Antivirussoftware ist leider nicht optimal und kann durch relativ einfache Mittel ausgetrickst werden. Die Signaturerkennung ist zwar sehr gut, allerdings muss dafür erst ein Schädling als solcher identifiziert und geeignete Signaturen erstellt werden. Wird eine Schadsoftware nur bei einem oder sehr wenigen Zielen eingesetzt, passiert dieses vielleicht nie.

Insgesamt muss man die Grenzen von Antivirus-Software kennen: Gegen breite Angriffe oder gegen mit Scriptkiddie-Tools erzeugter Schadcode helfen Antivirus-Software sehr gut, wenn im Zweifel auch erst zeitverzögert. Gegen zielgerichtete Angriffe von einem Hacker sind sie absolut nutzlos.