Das Unternehmen

Eine ausreichend gehärtete IT-Landschaft ist in den Zeiten exponentiell zunehmendem Cybercrimes zur grundlegenden Notwendigkeit geworden, um die Basis aller Geschäftsprozesse bis hin zu kritischen Infrastrukturen zu schaffen und aufrechtzuerhalten.

 

Beim Großteil der namhaften Betriebe ist die Verwunderung groß, dass wir in unseren Pentests so erfolgreich und weit vordringen können, ohne entdeckt zu werden. Damit dies vom C-Level intern nicht falsch aufgenommen wird, vielleicht vorweg ein paar Worte dazu: Stabile und funktionale IT-Netzen, wie wir sie in diversen Konzernen vorfinden, sind nicht per se auch als sicher gegen Cyber-Angriffen zu bewerten! Von professionellen IT-Teams kann man sich funktionale IT-Systeme erwarten und diesem Anspruch wird inzwischen löblicherweise immer besser Genüge getan! Automatisch von denselben Leuten auch Angriffs-resistente Netzwerke zu erwarten, wäre jedoch vermessen. Gleich, wie man von einem Architekten für sein Firmengebäude nicht gleichzeitig eine uneinnehmbare Festung erhoffen kann. Daher sehen wir immer häufiger, wie professionelle Corporate-Netzwerke im Angriffsfall einknicken – und mit ihnen das Rückgrat des jeweiligen Unternehmens. Spinnt man diesen Gedanken logisch weiter, erkennt man schnell, in welchem Maße wir persönlich abhängig von einer resistenten IT-Infrastruktur sind.

 

Dies sind einige der Hauptgründe, warum wir 2011 die Notwendigkeit erfüllt haben, ein IT-Security-Unternehmen in Österreich zu gründen, welches sich um Angriffs-resistente Netzwerke kümmert und Sie im kompletten Prozess dazu langfristig begleiten kann.

 

Kernkompetenzen

All unsere Team-Mitglieder waren in ihrem ‚früheren Leben‘ erfahrene Systemadministratoren, Entwickler und Security-Verantwortliche, bevor sie sich bei uns der IT-Security verschrieben haben. In unseren Projekten bringen Sie die Erfahrungen als Verteidiger wie auch als Angreifer in Ihr Unternehmen und begleiten Sie in Ihrem gewünschten Tempo professionell auf dem Weg zu einem (Ihrem Schutzbedarf entsprechend) ideal gesichertem Netzwerk. Dabei arbeiten wir wahlweise komplett Hersteller-Neutral oder bringen auf Ihren Wunsch hin Vorschläge zu bewährten Herstellern aus unserem Attack&Defense-Lab mit ein. Unsere Angriffe orientieren sich hauptsächlich am MITRE ATTACK Framework sowie dem OWASP für Websecurity. In der Maßnahmenbegleitung sind die CIS-CSC 20 und NIST ein ständiger Begleiteter und sorgen dafür, dass sich Ihre Security-Investitionen von Zeit und Geld auch in Kennzahlen messbar vor dem Management präsentieren lassen! Für das ideale Maß an managed Security stehen wir unseren Kunden auch gerne mit SecOps-Paketen und entsprechend kurzen SLAs Gewehr bei Fuß und sind die Ersten und die Letzten in Ihrem Unternehmen in einer hart umkämpften Nacht.

 

Da Sicherheit zu guter Letzt vor allem auch vom Faktor Mensch abhängig ist, schulen wir gerne Ihre Mitarbeiter im Alltag an deren Arbeitsplatz mittels unserer Reallife-Phishing-Angriffe. IT-Personal machen wir in unseren Attack&Defense-Workshops zu unseren Mitstreitern in Ihrem Unternehmen, indem wir Ihnen Einblick in die weltweit aktuelle Trickkiste von Angreifern wie auch Verteidigern geben. Nur so wird es Ihnen möglich, richtige Entscheidungen treffen zu können.

 

Ein letzter Hinweis vorweg aus unseren Erfahrungen: IT-Sicherheit in einem Unternehmen erfolgreich umzusetzen ist unendlich viel mehr, als ein paar Firewalls und Antiviren-Systeme auszurollen. Gerade ab 4-stelligen Mitarbeiterzahlen, sind nicht nur technische Maßnahmen, sondern auch unsere psychologische, organisatorische und politische Kompetenzen an den Tag zu legen um vereinbarte Ziele zu erreichen. Dies gleicht manchmal einem Tanker, den wir vorsichtig rücklings einparken müssen, um erfolgreich zu sein. Und dies benötigt Zeit, menschliches Fingerspitzengefühl, intensive, vielschichtige Begleitung und Vertrauen.

 

Zertifizierungen

Wir richten uns in unseren Dienstleistungen nach den gängigsten Standards wie OWASP (Open Web Application Security Project), ISO 2700x, OSSTMM (Open Source Security Testing Methodology Manual) und auf Wunsch der PCI (Payment Card Industry).

 

Über die Jahre hinweg haben wir leider erkennen müssen, dass die Qualität von Security-Profis am Markt erstaunlicherweise mit der Anzahl der Zertifizierungen und Ausbildungen abnimmt. Somit sind wir vorsichtiger geworden im blinden Sammeln von Zertifikaten, können Ihnen jedoch gerne Nachweise zu unterschiedlichen Prüfungen liefern (CISSP, ISO 27000 Manager, CCNA, CEH,  CISMITIL)

 

Credits

Auch wir mussten unsere Knowhow und Doing zwar blutig erarbeiten, jedoch das Rad nicht komplett neu erfinden, sondern beziehen wir auch heute noch immer wieder gerne aus der Zusammenarbeit vieler genialer Köpfe weltweit. Insbesondere, um nur einige wenige zu nennen, bedanke ich mich für die Arbeit und Publikationen von @SpecterOps, @Cyb3rWard0g, @gentilkiwi, @424f424f, @armitagehacker, @mattifestation, @SubTee, @christruncer und @ReL1k