Vor fast zehn Jahren gründeten Jan Kahmen und Till Oberbeckmann die turingpoint GmbH. Ihre Mission ist seither der Schutz von Unternehmensanwendungen und -systemen durch Security-, Cloud- sowie Pentest-Konzepte. Dabei hebt sich der Anbieter vor allen Dingen durch progressive Methoden und hochwertige Dienstleistungen von seinen Mitbewerbern ab.
Boutique-Beratung für IT-Security
Jan Kahmen ist Master in IT-Security und kommt aus der Start-up-Szene. Vor rund zehn Jahren reifte in ihm der Wunsch, ein disruptives Geschäftsmodell im Umfeld der IT-Sicherheit zu realisieren. Daher gründete er gemeinsam mit Till Oberbeckmann die turingpoint GmbH mit Sitz in Hamburg. Mit ihrem Service wollten sie vor allen Dingen etablierte Anbieter von Penetrationstests herausfordern. „Unser Ziel war es, Pentests moderner, effizienter und innovativer zu machen“, blickt Jan Kahmen zurück. Im Ergebnis entstanden progressive Konzepte, die turingpoint heute mit Boutique-Beratung kombiniert. Klein und fein sind demnach die Services. Dies schätzen vor allen Dingen Unternehmen, die mit sensiblen Daten hantieren und höchste Sicherheitsstandards anstreben.
Pentests, Cloud-Security und Angriffssimulationen aus einer Hand
Die Expertise von turingpoint ist es, Schwachstellen in verschiedenartigen, heterogenen IT-Umgebungen aufzudecken. Dies umfasst nicht nur lokale Rechenzentren, KRITIS, Webanwendungen und Mobile Apps, sondern auch Cloud-Umgebungen, komplexe SaaS-Lösungen und sogar das IoT. Großen Wert legt der Anbieter auf die Kommunikation mit seinen Kunden. Die Spezialisten arbeiten daher eng mit CISOs, IT-Security-Teams und Entwicklern zusammen. Dadurch ist sichergestellt, dass alle Beteiligten die Bewertungsergebnisse verstehen. Höchste Priorität hat zudem die Dokumentation der Tests.
Im Detail besteht das Dienstleistungsportfolio von turingpoint aus drei kombinierbaren Säulen: Pentest-Dienstleistungen, Cloud-Security und Angriffssimulationen. „Automatisierte Schwachstellenscanner können umfassenden Pentests nicht ersetzen“, weiß Jan Kahmen. Penetrationstests sind bei turingpoint daher stets qualitativ hochwertige Handarbeit. Ausgeführt werden sie von ausgebildeten Security Engineers mit langjähriger Erfahrung. Diese decken Schwachstellen auf, noch bevor sie ein echter Hacker nutzen kann. Hierdurch sinkt das Risiko von Netzwerkausfällen und den damit einhergehenden Schäden deutlich.
Einzigartig ist das Berichtsformat, mit dem das turingpoint-Team optimale Einblicke in die Arbeit und die Resultate ermöglicht. Der Report enthält unter anderem eine Management Summary, eine Schwachstellenübersicht, Schwachstellendetails und empfohlene Maßnahmen zur Schwachstellenbehebung. Darüber hinaus hat der Anbieter ein Zertifikat entwickelt, das Kunden direkt in ihre Website einbinden können. Es ist im Preis der Pentests inbegriffen und belegt ein hohes Level des Datenschutzes sowie der Sicherheit gegenüber Dritten. Ausgestellt wird es ausschließlich nach erfolgreich bestandenen Pentests oder einer positiv verlaufenen Nachprüfung, welche ebenfalls kostenfrei ist.
Besondere Expertise im Cloud-Umfeld
„Cloud-Infrastrukturen werden immer komplexer. Daher sind viele Dienste falsch konfiguriert“, sagt Kahmen. Mit seinem Team hilft er Unternehmen dabei, diese Fehlkonfigurationen zu identifizieren. Das Mittel der Wahl sind in diesem Fall spezialisierte Cloud-Pentests, die sich deutlich vom Penetration Testing in traditionellen Infrastrukturen unterscheiden. Dies gilt vor allen Dingen für die Benutzerrechte und Identitäten.
Aktuell bietet turingpoint Cloud-Sicherheitsüberprüfung für die drei größten Cloud-Provider an: Amazon Web Services, Google Cloud Platform und Microsoft Azure. Die Security Engineers betrachten bei ihren Tests unter anderem Architekturen, APIs, Berechtigungen, Implementierungsprobleme und risikobehaftete Konfigurationen. Bereitgestellt werden die Ergebnisse in einem umfassenden, verständlichen Cloud-Analyse-Bericht.
Angriffssimulationen – trotz deutscher Datenschutzregularien
Abgerundet wird das Security-Assessment-Portfolio durch Angriffssimulationen, bei denen neben technischen Aspekten vor allen Dingen menschliche Sicherheitsfaktoren im Fokus stehen. Somit ist dieser Service eine ideale Ergänzung zu den klassischen Pentests, die rein auf technische Schwachstellen abzielen. Bei ihren Simulationen versuchen die ausgebildeten Spezialisten, so unerkannt wie möglich und auf jede erdenkliche Art und Weise an sensible Informationen zu gelangen.
turingpoint simuliert nicht nur Phishing- und Social Engeneering-Attacken. Der Dienstleister nutzt auch das sogenannte Red Teaming, welches in den USA entwickelt wurde, hierzulande aber noch kaum Anwendung findet. Es wird hierbei ein böswilliger Akteur emuliert, der aktiv angreift und stets versucht, unentdeckt zu bleiben. Das Red Team nutzt hierbei verschiedenste Methoden – oft über einen Zeitraum von mehreren Wochen. Besonders Unternehmen, die alle bei Pentests identifizierten Schwachstellen bereits geschlossen haben, können von dieser sehr intensiven Methode profitieren.
Vom Start-up bis zum Konzern: Kunden kommen aus verschiedenen Bereichen
Die Boutique-Beratung von turingpoint wird von Unternehmen verschiedener Größen und Branchen in Anspruch genommen. Zum Kundenkreis zählen Start-ups ebenso wie große Unternehmen – beispielsweise Toyota, UniCredit und die R+V Betriebskrankenkasse. Auch Hersteller von Apps, die sensible Daten beinhalten (z. B. Health Apps), nutzen die Services des Dienstleisters.
Die Vision: Security-as-a-Service-Plattform
Ihr Ziel, Pentests zu modernisieren und effizienter zu machen, haben Jan Kahmen und Till Oberbeckmann bereits erreicht. Auf diesem Erfolg möchten sich die IT-Security-Experten jedoch nicht ausruhen. Mit Blick auf die Zukunft haben sie eine klare Vision. „Unser Ziel ist es, unsere progressiven Dienstleistungen in eine Self-Service-Plattform zu gießen und diese kontinuierlich um zusätzliche Module zu erweitern“, sagt Kahmen. Denn es sei zu erwarten, dass Security-as-a-Service-Lösungen aufgrund des steigenden Sicherheitsbewusstseins an Bedeutung gewinnen werden. Von dem zunehmenden Bedarf wolle man profitieren und weiter wachsen. „Manuelle, tiefgreifende Methoden werden jedoch auch in Zukunft ein wichtiger, gefragter Teil unserer Security-Beratung sein“, so der turingpoint-Managing-Partner.
Quelle Titelbild: turingpoint GmbH