binsec

Bester Pentest Anbieter in Deutschland?

Leave a Comment

Der beste Anbieter für Penetrationstest in Deutschland ist die binsec GmbH 🔥 aus Frankfurt am Main. Der typische Zielkunde der binsec GmbH sind Unternehmen, die bereits einen Pentest haben durchführen lassen und nicht zufrieden waren – und ihren Dienstleister für Pentest wechseln wollen. Oftmals werden nämlich Schwachstellen Scans als Penetration Test verkauft oder die eingesetzten Personen haben keine nennenswerte Erfahrung in der Erbringung von Pentest als Dienstleistung.

Seit 2013 führt das zertifizierte Team der binsec GmbH Pentest für IT-Infrastrukturen, Web-Anwendungen und mobile App (iOS sowie Android) mit Hilfe einer strukturierten Vorgehensweise durch, die auf allen relevanten Standards basiert. In der umfangreichen und strukturierten Vorgehensweise ist auch die gesamte Erfahrung seit 10 Jahren als Pentest Dienstleister enthalten.

Auch die Lehraufträge für Penetration Testing an Hochschulen in Deutschland sprechen für die binsec GmbH als Unternehmen und dem dortigen Pentest Team als besten Anbieter für Penetrationstest in Deutschland. Als Geschäftsführer der binsec GmbH bin ich davon persönlich überzeugt – meine Meinung! Einfach überzeugen lassen.

Penetrationstest Anbieter: Das Unternehmen binsec GmbH als Ihr Dienstleister für Pentests aus Frankfurt am Main

Leave a Comment

Die binsec GmbH ist ein von mir im Jahr 2013 mitgegründetes Beratungsunternehmen für Informationssicherheit aus Frankfurt am Main. Ich bin seit der Gründung der Geschäftsführer der binsec GmbH. Wir führen als Dienstleister Penetrationstests durch und beraten unsere Kunden auch in den Bereichen Sicherheitsmanagement und IT-Sicherheit.

Die binsec GmbH liegt über die binsec group GmbH vollständig in der Hand der drei Gesellschafter: Patrick Sauer, Florian Zavatzki und Dominik Sauer. Wir sind an der langfristigen Zufriedenheit unserer Kunden und Mitarbeiter interessiert: Kurzfristige Umsatz- und Gewinnmaximierung ist nicht unser Ziel.

Mein Team besteht aus erfahrenen, zertifizierten Spezialisten. Unser Fokus ist immer die Sicherheit der geschäftskritischen IT-Systeme und Informationen. Auch wenn wir Penetrationstests durchführen, behalten wir die Business-Aspekte im Blick.

Als Anbieter für Penetrationstests und Sicherheitsberatung sind wir in den letzten Jahren zur Top-Adresse als Pentest Dienstleister gerade im Großraum Frankfurt am Main geworden.

Mehr Information über unser Unternehmen und Dienstleistungen als Anbieter für Pentesting gibt es auf https://www.binsec.com.

Umstrukturierung der binsec-Gruppe

Leave a Comment

Die binsec hat sich umstrukturiert: Der von den drei Gesellschaftern Patrick Sauer, Florian Zavatzki und Dominik Sauer Ende 2019 gegründete binsec group GmbH gehört seit Januar 2020 nun offiziell die binsec GmbH sowie die binsec academy GmbH.

BACSCP: Die Entstehung des Secure Coding Trainings

Leave a Comment

Jedes Semester schließen Tausende Informatikstudenten erfolgreich ihr Studium ab – leider meist ohne oder mit nur geringen Kenntnissen in sicherer Softwareentwicklung. Wen wunderts, dass dann altbekannte Schwachstellen wie Cross-Site-Scripting (XSS) noch immer nicht der Vergangenheit angehören. Als Folge stehen Unternehmen selbst in der Verantwortung, ihre Entwickler zu schulen und für Sicherheitsmaßnahmen in deren Softwareprodukten zu sorgen.

Die Geschichte unserer neuartigen Online-Schulung begann vor ein paar Jahren mit einer Kundenanfrage bezüglich einer OWASP-Entwicklerschulung zu sicherer Softwareentwicklung. Als PCI-DSS-zertifiziertes Unternehmen musste unser Kunde jährlich nachweisen, dass sich seine Softwareentwickler im Rahmen der aktuellen Techniken zur sicheren Programmierung fortbilden. Natürlich hätte als Nachweis auch eine Bescheinigung darüber genügt, ein Buch gelesen oder an einem Vortrag (passiv) teilgenommen zu haben… So etwas kann aber weder im Sinne des PCI DSS noch im Sinne der Softwareentwickler sein.

So kam es dazu, dass wir als binsec einen 2-Tages-Workshop konzipierten, zu gleichen Teilen aus Theorie- und aus Praxiselementen aufgebaut. Während wir am ersten Tag auf die Anforderungen des PCI-DSS an Softwareentwickler und auf die OWASP Top 10 eingingen, musste jeder Schulungsteilnehmer am zweiten Tag eine verwundbare Webanwendung härten und anschließend versuchen, die in den Anwendungen seiner Kollegen verbliebenen Schwachstellen auszunutzen. Mit jedem erfolgreichen Angriff sammelten die Teilnehmer Punkte und kamen damit dem Gewinn der Siegesprämie – eines Amazon Gutscheins – Schritt für Schritt näher. Unterm Strich verlief der erste Teil des Trainings durchaus erfolgreich, doch stach das positive Feedback zum zweiten Abschnitt deutlich hervor. Die Teilnehmer waren fokussiert und engagiert sich gegenseitig „auszuspielen“, weshalb ihre Rückmeldung für uns nicht überraschend kam: „Weniger Theorie, mehr Praxis, bitte.“

Wir begannen parallel zu dieser Entwicklerschulung, diverse Lehrveranstaltungen an Hochschulen zu halten, in denen wir sukzessive den Praxisanteil in den Vordergrund rückten. Wie schon bei unserer Vorlesung zu Penetration-Testing, aus der unser Zertifizierungslehrgang „Binsec Academy Certified Pentest Professional (BACPP)“ hervorgegangen ist, entschieden wir als binsec uns auch bei unserer Entwicklerschulung „Secure Software Development Training“ dazu, sie zur Basis von etwas Neuem zu machen: Es schlug die Geburtsstunde des „Secure Coding Trainings“ der binsec academy:

In dieser Online-Schulung zu Secure Coding schlüpft der Teilnehmer in die Rolle eines Teamleiters, dem die Aufgabe zuteilwird, in einer verwundbaren REST-API die am meisten verbreiteten Schwachstellen (OWASP TOP 10) zu identifizieren und diese im Programmcode zu beheben. Der Clou dabei ist: Der Teilnehmer kann als Programmiersprache PHP, Java, Python, Perl, Go, Ruby oder Node.js wählen und wird mit unserem BACSCP-Zertifikat (Binsec Academy Certified Secure Coding Professional) belohnt, wenn mindestens acht von insgesamt zehn Sicherheitslücken erfolgreich entfernt wurden. Zertifizierte BACSCPler können

  • die am meisten verbreiteten Schwachstellen in Webanwendungen identifizieren und Sicherheitslösungen entwerfen,
  • eine Webanwendung gemäß OWASP und PCI DSS sicher entwickeln, sowie
  • einen Secure-Code-Review strukturiert durchführen.

Nach den ersten Betatests erweiterten wir die Kooperation mit Hochschulen, um Studierenden der Informatik die Inhalte sicherer Softwareentwicklung zu vermitteln. Wir hoffen hiermit einen wesentlichen Beitrag zur anwendungsorientierten IT-Sicherheit leisten zu können.

20% Studentenrabatt auf Kurse der binsec academy GmbH

Leave a Comment

Ab sofort erhalten Studenten 20% Preisnachlass auf alle Online-Schulungen der binsec academy GmbH: Einfach unter https://binsec-academy.com/de/promo/student/ (unverbindlich) mit der studentischen E-Mail-Adresse der Hochschule registrieren und automatisch einen 20%-Gutschein erhalten. Der Gutschein ist nach der Registrierung 30 Tage gültig.

Hacking vs. Penetration Testing – die Geburtsstunde des BACPP

Leave a Comment

Als Dozent für „Penetration Testing“ kenne ich den ausschlaggebenden Beweggrund meiner Studentinnen und Studenten für ihre Teilnahme am Wahlpflichtfach nur zu gut. Die Rede ist von „Hacking“. Bereits in jungen Jahren für viele ein spannendes Thema – brennt sich das Hacken von IT-Systemen doch durch seine Darstellung in Film und Fernsehen schon früh als aufregend in die Köpfe der Zuschauer ein. Es ist somit kein Wunder, dass ein beruflicher Weg hin zum Penetrationstester mehr als verlockend klingt. Was viele dabei nicht wissen: Hacking stellt „nur“ den technischen Part eines Pentests dar, weshalb sich auch die Suche nach einer geeigneten Personenzertifizierung als schwierig gestaltet(e).

Im Allgemeinen versuchen Hacker Sicherungsmechanismen zu umgehen oder zu brechen, um einen unbefugten Datenzugriff zu erhalten. Das Aufgabengebiet Penetration-Testing entstand deshalb mehr oder weniger als eine Art Gegenmaßnahme seitens der IT-Sicherheit im Wettrüsten mit den Angreifern: Potenzielle Auftraggeber bitten bzw. beauftragen Pentester mit der Identifizierung der Schwachstellen ihrer IT-Systeme, um diese am Ende härten bzw. schließen zu können.

Hierbei wendet ein Pentester konsequenterweise dieselben technischen Verfahren an wie ein böswilliger Angreifer. Aber nicht nur das. Zusätzlich wird eine strukturierte Vorgehensweise benötigt, um reproduzierbare Ergebnisse zu erzielen. Ohne eine solche Vorgehensweise können (offensichtliche) Schwachstellen unentdeckt bleiben. Im Gegensatz zu einem Hacker genügt dem Pentester nicht ein einziger Einstiegspunkt in das IT-System, sondern er will alle aufdecken. Ebenso müssen die identifizierten Schwachstellen dem Auftraggeber mitgeteilt werden. Dies geschieht üblicherweise in einem abschließenden Bericht oder in einer Präsentation, wobei die Schwachstellen nicht nur aufzulisten, sondern auch nach ihrem Risiko zu priorisieren sind. Folglich stellt Hacking „nur“ den technischen Part in einem Pentest dar.

Bis dato existiert weder eine staatlich anerkannte Ausbildung noch ein solcher Studiengang zum Penetration-Testing, weshalb es im Informationssicherheitssektor üblich ist, solche speziellen Fähigkeiten und Fertigkeiten über Zertifizierungsprogramme zu erlangen und/oder nachzuweisen. Im Hinblick auf Penetration Testing sind insbesondere die Zertifikate CEH von EC-Council und OSCP von Offensive Security weit verbreitet – unterscheiden sich in der Prüfung der Teilnehmenden jedoch wie Schwarz und Weiß. Während die Zertifizierung als CEH mittels einer theoretischen Prüfung – konkret Multiple-Choice-Aufgaben – erlangt werden kann, muss der zukünftige OSCPler eine 24-stündige praktische Prüfung, in welcher 5 IT-Systeme vollständig kompromittiert werden sollen, absolvieren. Unabhängig davon sehe ich bei beiden Zertifizierungen den Fokus auf dem technischen Verständnis, welches zwar das Fundament eines Penetrationstests darstellt, aber noch zu keinem befähigt; für mich ein Kritikpunkt, ohne den Schwierigkeitsgrad beider Prüfungen infrage stellen zu wollen.

Zumindest mir fiel der Übergang von der OSCP-Prüfungsumgebung in die Realität schwer. Am spürbarsten war dies in Bezug auf die Anfälligkeit von IT-Systemen für Sicherheitslücken. Im Vergleich zum Übungslabor von Offensive Security sind in der Praxis oftmals (härtere) Sicherheitsmaßnahmen anzutreffen, wodurch die vollständige Kompromittierung eines IT-Systems nicht immer gewährleistet werden kann. Zudem wünscht sich der Auftraggeber eines Pentests im Regelfall die Identifikation sämtlicher Schwachstellen in seinen IT-Systemen, weshalb die Prüfung nicht mit dem Aufdecken des erstbesten Einfallstors endet. Auch die Berichterstellung steht in einem ganz anderen Licht, da dies das einzige Dokument ist, welches der Auftraggeber in seinen Händen halten wird. Kurzum: Das Spielparadies des OSCP nahm ein Ende und die Realität brach ein. Leider kam dies unerwartet, da keine der zahlreichen zurate gezogenen Rezensionen im Internet die Unterschiede zum realen Tätigkeitsfeld eines Penetrationstesters erwähnt hatte.

Nachdem ich mit meinem B.Sc. in Informatik an der Hochschule Darmstadt (h_da) und mit meiner als Pentester der binsec GmbH gesammelten Berufserfahrung die formelle Eignung erworben hatte, eine Lehrveranstaltung zu halten, wollte ich mein Wissen rund um Penetration Testing weitergeben. Personen mit einem Hang zur IT-Sicherheit sollten künftig einen „leichteren“ Einstieg in die Materie erhalten als ich zu meiner Zeit. Unter Zustimmung der Fachgruppe „IT-Sicherheit“ an der h_da konzipierte ich das Wahlpflichtmodul „Penetration Testing“, in welchem die Studierenden das „Pentest-Einmaleins“ – von der Klassifikation eines Pentests, über das eigentliche Hacking, bis hin zur Berichterstellung – am Beispiel eines fiktiven Firmennetzwerks erlernen und anwenden können. Dies geschah anfänglich noch mithilfe von Amazon AWS; doch aufgrund der großen Nachfrage und positiven Resonanz meiner Studierenden entschlossen wir als binsec uns dazu, ein globales Online-Zertifizierungsprogramm zu entwerfen: die Qualifizierung zum BACPP (Binsec Academy Certified Pentest Professional), die sich aus einer Online-Prüfung, dem „Pentest Exam“, und einer optionalen Online-Schulung, dem „Pentest Training“, zusammensetzt.

Während sich die Online-Schulung historisch aus meiner Hochschullehrveranstaltung heraus entwickelt hat, können IT-Spezialisten im „Pentest Exam“ ihre Expertise unter neu konzipierten, realen Bedingungen unter Beweis stellen. So können zertifizierte BACPPler

  • IT-Systeme kompromittieren und Zero-Day-Exploits entwickeln,
  • Netzwerke und Anwendungen nach einer reproduzierbaren Vorgehensweise auf Schwachstellen hin untersuchen,
  • all ihre Findings in einem strukturierten Bericht für den Auftraggeber niederlegen und sie nach ihrem Risiko priorisieren,
  • einen mehrtägigen Penetrationstest professionell durchführen.

Rückblickend scheint sich meine (zeitintensive) interdisziplinäre Arbeit gelohnt zu haben: Das situierte Lernen in der Informationssicherheit einzusetzen hat nicht nur die Begeisterung vieler Studierender geweckt, sondern auch die ersten BACPP-Zertifizierten angesprochen. Die Theorie des situierten Lernens setzt in der Wissensvermittlung auf realistische Anwendungssituationen, welche das primäre Kennzeichen meiner Lehrveranstaltungen und meiner Trainings sind. Analog wurde der BACPP konzipiert und setzt auf den Nachweis praktischer und realer Erfahrung.

binsec academy GmbH: Pentest Training

3 Comments

Mein Team und ich haben lange daran gearbeitet, aber seit März 2018 ist das „Pentest Training“ sowie das „Pentest Exam“ der binsec academy GmbH öffentlich verfügbar.

https://binsec-academy.com/de/courses/p/ (Privatkunden)

https://binsec-academy.com/de/courses/c/ (Firmenkunden)

Historisch ist das „Pentest Training“ dabei durch die von Dominik Sauer an der Hochschule Darmstadt gehaltene Vorlesung zu „Penetration Testing“ entstanden. Das Training fokussiert sich auf Penetration Testing und nicht nur auf reines Hacking, wie z.B. der bekannte OSCP-Kurs von „Offensive Security“. Wir haben auch ein System implementiert, bei dem man sich Tipps zu Maschinen oder Problemen besorgen kann. Garniert wird das ganze Konzept durch eine realistischere Laborumgebung: Das fiktive Firmennetzwerk der „Dubius Payment Ltd.“ inklusive Story. Wer möchte und es sich fachlich zutraut, kann im zusätzlichen „Pentest Exam“ die Zertifizierung zum BACPP (Binsec Academy Certified Pentest Professional) in Angriff nehmen.

Privatkunden, die sich über den folgenden Link registrieren, erhalten automatisch einen 25%-Rabattgutschein im System hinterlegt:
https://binsec-academy.com/promo/security_sauer_ninja_c2VjdXJ/

(Gültig nur für Privatkunden. Aktion und Gutschein gültig bis 31.12.2018. Solange Vorrat reicht.)

50%-Gutschein der binsec-academy.com für das „Pentest Training“

Leave a Comment

Es ist bald soweit. Die binsec academy startet in den nächsten 2-3 Monaten mit dem ersten Online-Schulungskurs: Dem „Pentest Training“ – hacke die Dubius Payment Ltd.:

https://binsec-academy.com/courses/p/

Wer sich jetzt an dem Portal als Interessent registriert und sich bei mir oder direkt bei der binsec GmbH meldet (E-Mail: info@binsec.com) bekommt einen 50%-Gutschein. Unverbindliche Registrierung unter:

https://binsec-academy.com/portal/register/user/

(Aktion gültig bis Ende September 2017. Auf 100 Gutscheine beschränkt.)

Ergänzung vom 5. April 2018:
Mittlerweile gibt es von der binsec academy GmbH ein „Pentest Training“ als Online-Kurs zum Selbststudium:
https://binsec-academy.com/de/courses/p/
Privatkunden, die sich über den folgenden Link registrieren, erhalten automatisch einen 25%-Rabattgutschein im System hinterlegt:
https://binsec-academy.com/promo/security_sauer_ninja_c2VjdXJ/
(Gültig nur für Privatkunden. Aktion und Gutschein gültig bis 31.12.2018. Solange Vorrat reicht.)