KMU Pentesting
& Cybersicherheit

Ich teste deine IT schnell, praxisnah & risikobasiert und biete alles von kompakten Schnell-Audits bis zu umfassenden Pentests. So kannst du Schwachstellen aufdecken, Risiken priorisieren und sofort handeln.

SCHWACHSTELLEN FINDEN
ANGRIFFSFLÄCHE REDUZIEREN

Wie gut ist deine IT gegen Angriffe geschützt?

Ich teste deine IT-Systeme, Netzwerke und Cloud-Dienste aus der Perspektive eines Hackers. Dabei arbeite ich praxisnah, effizient und risikobasiert. Ich decke Schwachstellen auf, helfe dir, deine grössten Risiken zu identifizieren und zeige dir, wo dringender Handlungsbedarf besteht.

So findest du heraus, wo deine wichtigsten Cyber-Risiken liegen und mit welchen konkreten Massnahmen du sie effektiv reduzieren kannst, sodass deine IT gezielter gegen Angriffe geschützt ist.

KMU Cybersicherheit

DEINE VORTEILE MITTschan ITS?

  • Flexibel & Direkt – Ohne Umwege zum Ergebnis

    Als unabhängiger Pentester ohne grossen Overhead kann ich schneller und flexibler auf deine Anforderungen eingehen als grosse Sicherheitsfirmen.

    Du hast direkten Kontakt zu mir – ohne Zwischeninstanzen oder lange Entscheidungswege.

    Das bedeutet kurze Reaktionszeiten, individuelle Dienstleistungen statt standardisierter Verfahren und Ergebnisse, die genau auf deine IT-Umgebung abgestimmt sind. Ob kompakte Massnahmenliste oder detaillierter Bericht – du entscheidest, in welcher Form du die Ergebnisse möchtest.

  • Internationale Standards & Methodik

    Mit einem praxisnahen Ansatz überprüfe ich deine IT-Sicherheit durch gezielte Angriffssimulationen und strukturierte Audits. Dabei nutze ich internationale Standards wie NIST SP 800-115 und das NIST Cybersecurity Framework 2.0, um Schwachstellen realistisch zu identifizieren und einzuordnen.

    Die Bewertung erfolgt unter Verwendung etablierter Methoden wie CWE zur Klassifizierung und CVSS zur Einschätzung des Schweregrads. Zusätzlich werden Findings auf MITRE ATT&CK gemappt, um Angriffstechniken realen Bedrohungen zuzuordnen und praxisnahe Abwehrmassnahmen abzuleiten.

    Das Ergebnis ist eine klare Priorisierung der Risiken, gezielte Schutzmassnahmen und eine fundierte Entscheidungsgrundlage, um deine IT-Sicherheit effektiv zu verbessern.

  • Umfassende Erfahrung mit Netzwerksicherheit

    Ich beschäftige mich seit vielen Jahren intensiv mit Netzwerksicherheit, Infrastrukturhärtung und den Methoden, mit denen Cyberkriminelle in interne Netzwerke eindringen.

    Durch meine mehrjährige Erfahrung in der internen IT eines Schweizer KMU in der Maschinenindustrie kenne ich die typischen Schwachstellen und Herausforderungen aus erster Hand – von Firewalls und VPNs über Active Directory bis hin zu Cloud-Diensten. Dieses Praxiswissen hilft mir, Risiken realistisch einzuschätzen und gezielte Empfehlungen zu geben, die sich im Unternehmensalltag umsetzen lassen.

  • Unabhängig zertifizierter Ethical Hacker

    Ich bin zertifiziert als Certified Red Team Operator (CRTO), Hack The Box Certified Defensive Security Analyst (CDSA), OSCP und OSWP.

    Diese renommierten Zertifizierungen bestätigen meine Fachkenntnisse in Penetration Testing, Red Teaming, Netzwerksicherheit und drahtlosen Angriffstechniken – sowohl aus offensiver als auch aus defensiver Perspektive.

BUCHE JETZT EIN KOSTENLOSES & UNVERBINDLICHES BERATUNGSGESPRÄCH!

Kontakt

Pentesting & Red Teamingmit Tschan ITS

Ein professioneller Sicherheitstest folgt einem strukturierten Ablauf, um Schwachstellen gezielt zu identifizieren und realistische Angriffsszenarien zu simulieren. Ich orientiere mich dabei an den bewährten Prinzipien von NIST SP 800-115, um eine fundierte und nachvollziehbare Sicherheitsbewertung zu gewährleisten.

  • Erstgespräch & Planung

    Jeder Auftrag beginnt mit einem unverbindlichen Erstgespräch, um den Umfang und die Ziele des Tests zu definieren. Soll ein gezieltes Pentesting durchgeführt werden oder eine realistische Red-Teaming-Simulation? Welche Systeme oder Angriffsszenarien sind relevant? Basierend auf diesen Anforderungen erstelle ich ein individuelles Angebot mit einer klaren Kostenübersicht.

  • Informationsgewinnung & Angriffssimulation

    Bevor ein echter Angriff möglich ist, sammeln Angreifer zuerst Informationen – genau das simuliere ich in dieser Phase. Dazu gehören OSINT-Recherche, Netzwerkanalyse und das Identifizieren potenzieller Angriffsvektoren. Anschliessend prüfe ich mit gezielten Tests, welche Schwachstellen ausgenutzt werden könnten und wo kritische Sicherheitslücken bestehen.

  • Schwachstellenanalyse & Verifizierung

    Ich identifiziere Schwachstellen manuell und bewerte, ob sie tatsächlich ausnutzbar sind. Falls eine detaillierte Verifikation durch einen Exploit gewünscht wird, stimme ich dies vorher mit dir ab. Dadurch bleiben alle Tests unter voller Kontrolle, ohne unnötige Risiken für den Betrieb.

  • Privilegienausweitung & interne Analyse

    Falls ein Angriff innerhalb des Netzwerks simuliert wird, analysiere ich, ob sich einmal gewonnene Zugriffsrechte ausweiten lassen. Dies beinhaltet Privilege Escalation, Seitwärtsbewegung (Lateral Movement) und den Zugriff auf sensible Systeme. Beim Red Teaming liegt der Fokus darauf, Sicherheitsmechanismen zu umgehen und langfristig unentdeckt zu bleiben.

  • Reporting & Risikobewertung

    Alle identifizierten Schwachstellen werden nachvollziehbar dokumentiert und anhand von CWE & CVSS bewertet. Auf Wunsch ordne ich die Findings dem MITRE ATT&CK Framework zu, um darzustellen, welche Angriffstechniken in der Praxis genutzt werden könnten. Das Reporting umfasst entweder eine kompakte Massnahmenliste oder einen detaillierten Sicherheitsbericht mit technischen Nachweisen und Proof-of-Concepts – je nach deinem Bedarf.

  • Ergebnisbesprechung & Abschluss

    Zum Abschluss präsentiere ich die Ergebnisse und bespreche mögliche Massnahmen zur Risikominimierung. Falls gewünscht, kann ich nach der Umsetzung von Sicherheitsmassnahmen gezielte Nachtests durchführen, um die Wirksamkeit der Verbesserungen zu überprüfen.