Für einen internationalen Aktienbroker wurde eine Handelsplattform mit Echtzeitdaten über WebSockets untersucht. Neben der Mobile-App wurde auch eine separate TAN-App geprüft, die Transaktionen zusätzlich absichert. Der Schwerpunkt lag auf Authentifizierung, Transaktionsintegrität und dem Schutz sensibler Kundendaten.
An mehreren Schulen wurden die IT-Infrastrukturen remote über PenPis untersucht. Dabei standen getrennte Netzbereiche und unterschiedliche Active-Directory-Domänen für Schüler und Angestellte im Mittelpunkt. Ziel war die Überprüfung der Segmentierung und des Schutzes sensibler Daten.
Untersucht wurden kommunale Anwendungen wie Verwaltungssoftware, Bürger-Apps, Impfkoordination und KFZ-Zulassungssysteme. Die Tests konzentrierten sich auf Manipulationssicherheit, Berechtigungsmodelle und Schnittstellen. Ziel war die Absicherung sensibler Bürger- und Verwaltungsdaten.
Geprüft wurden Business-Intelligence-Lösungen im Immobilienbereich und Microsoft PowerBI-Integrationen. Die Tests stellten sicher, dass BI-Daten nicht manipuliert oder unbefugt abgegriffen werden können. Ziel war der Schutz unternehmenskritischer Analysen und Entscheidungsgrundlagen.
Geprüft wurden APIs zur Ausgabe und Verifikation digitaler Identitätsnachweise. Fokus lag auf den Standards OIDC4VCI, OIDC4VP und SD-JWT. Ziel war die Sicherstellung fälschungssicherer Credentials.
Eine Plattform zur Verarbeitung von Lidar-Sensordaten für KI-Training im Bereich autonomes Fahren wurde geprüft. Die Tests orientierten sich an TISAX-Anforderungen. Der Schwerpunkt lag auf Schutz sensibler Entwicklungsdaten.
Eine Online-Apotheke mit Nutzer-, Arzt- und Admin-Rollen wurde geprüft. Verschreibung und Bestellungen erfolgen über ein Workflow-Framework. Getestet wurden Rollenmodelle, Workflows und Datensicherheit.
Untersucht wurden DiGA-Apps im Bereich Psychotherapie. Die Tests umfassten Quellcode und Datenhaltung auf mobilen Endgeräten. Ziel war der Schutz sensibler Patientendaten.
Eine Plattform mit Chatbots, Voicebots und LLM-Anbindung wurde geprüft. Die Tests betrachteten Kommunikation und Workflow-Übergaben. Ziel war die sichere Verarbeitung von Kundendaten.
Geprüft wurden APIs zur Verwaltung von KFZ-Versicherungen und Schadensmeldungen. Im Fokus standen Authentifizierung, Eingabevalidierung und Datenvertraulichkeit. Ziel war der Schutz sensibler Kundendaten.
binsec testet regelmäßig die extern erreichbaren Dienste und internen Netzwerke von Hochschulen und Universitäten. Ein besonderer Schwerpunkt liegt auf dem Schutz der Daten von Studierenden und Mitarbeitenden. Die Überprüfung von Moodle-Instanzen und angebundenen Systemen ist ebenfalls oftmals Bestandteil der Penetrationstests.
Penetrationstests in Finanzumgebungen sind komplex. Sie erfordern umfassende Prüfungen von Online-Banking, mobilen Apps und APIs. Die hohe Softwarequalität macht Sicherheitslücken selten. Werden Schwachstellen gefunden, unterstreicht das den Wert von Erfahrung und einem strukturierten Vorgehen.
DICOM definiert als internationaler Standard für medizische Bildgebung die Formate für medizinische Bilder und stellt sicher, dass diese mit den erforderlichen Daten und in der erforderlichen Qualität für den klinischen Einsatz ausgetauscht werden können.
Bei dem Pentest eines Buchungsportals für einen internationalen Reiseveranstalter mussten wir während des Tests besonderen Augenmerk auf die dazugehörigen Rahmenbedingungen legen.
Lizensierte Online-Sportwettanbieter unterliegen speziellen regulatorischen Anforderungen, die auch einen Penetrationstest betreffen können.
Das Pentesten von Zahlungs-APIs ist eine typische Aufgabe, die wir unzählige Male durchgeführt haben. Auch wenn die Basis die Prüfung gegen OWASP Top 10 ist, werfen wir auch einen Blick auf logischere Sicherheitsthemen.
Regelmäßig erhalten wir Kundenanfragen, welche ihre öffentlich erreichbare IT auf Schwachstellen hin überprüfen lassen möchten. Bei sehr großen IP-Netzen kann das zeitlich schwierig werden.
+49 692475607-0