Audits & Penetration Testing

IT-Sicherheitskonzepte haben nur wenig Wert, wenn ihre Wirksamkeit nicht regelmäßig überprüft wird. Wir bieten Ihnen drei Elemente der professionellen Überprüfung Ihrer Informationssicherheit an:

  • Audits der Informationssicherheit
  • Schwachstellenscans
  • Penetrationstests

 

Informationssicherheitsaudit
In einem Audit Ihrer Informationssicherheit prüfen wir zunächst Ihre ggf. vorhandene Dokumentation und bereiten anhand derer einen Fragenkatalog, eine Liste der zu befragenden Mitarbeiter sowie eine Liste der zu besichtigenden Räumlichkeiten und Systeme vor. Sie erhalten daraufhin von uns einen Plan für den folgenden Vor-Ort-Audit.

Während diesem gehen wir gemeinsam mit Ihnen und ggf. benötigten Mitarbeitern den Fragenkatalog durch und führen eine Besichtigung der Räumlichkeiten, Produktionsstätten und Systeme durch.

Oft ergibt sich hierbei bereits konkreter Handlungsbedarf, der spätestens in der Abschlussbesprechung von uns angesprochen wird. Nach dem Vor-Ort-Audit werten wir die gewonnenen Erkenntnisse aus und erstellen einen umfassenden Bericht mit Gefährdungspotentialen, Erkenntnissen und priorisierten Handlungsempfehlungen. Auf Wunsch präsentieren und erklären wir diesen Bericht ausführlich Vertretern der Geschäftsleitung.
Schwachstellenscan
Ein Schwachstellenscan hilft Ihnen, bekannte Schwachstellen in Standardsoftware wie Webservern, Exchange-Installationen, ERP-Systemen usw. zu entdecken.

Schwachstellen im System bergen grundsätzlich ein hohes Gefahrenpotenzial. Besonders brisant sind dabei diejenigen, die bekannt sind, jedoch bei Ihnen noch nicht geschlossen wurden. Denn meist existieren bereits fertige Exploits, die ein potenzieller Angreifer nur noch anzuwenden braucht, um sich Zugang zu Ihrem System zu verschaffen. Solche Lücken gilt es möglichst bald zu erkennen und zuverlässig zu schließen.

Unsere Schwachstellenscans können Sie entweder aus der Sicht eines externen Angreifers vom Internet aus oder mit unserer VASBox in Ihrem eigenen, internen Firmennetzwerk durchführen lassen. Nachdem Sie uns mit einem Schwachstellenscan beauftragt haben, überprüfen wir die angegebenen Systeme auf laufende Dienste sowie über 44.000 bekannte Schwachstellen. Der gesamte Test wird von einem unserer Analysten überwacht, so dass wir bei technischen Problemen schnell reagieren können. Nach Abschluss des Scans erhalten Sie einen umfassenden Report mit Ergebnissen zu jedem einzelnen gefundenen System. Entdeckte Schwachstellen werden beschrieben, nach ihrem Gefährdungspotenzial klassifiziert und Sie erhalten eine Empfehlung, wie diese Lücke zu schließen ist. Zusätzlich haben Sie die Möglichkeit, den automatisiert erzeugten Report durch einen unserer Analysten zusammenzufassen und die gefundenen Schwachstellen bewerten und priorisieren zu lassen. Diesen Bericht erhalten Sie dann zusätzlich zu den Reports des Scanners.

Konkrete Informationen und Preise zu unserer VASBox finden Sie hier.
Penetrationstest
Ein Penetrationstest ist die höchste, aber auch anspruchvollste Stufe bei der Übeprüfung Ihrer Informationssicherheit. Hierbei versuchen wir aktiv, unter Ausnutzung vorhandener Sicherheitslücken, in ihr IT-System einzudringen.

Dies ist ein herausfordernder und kreativer Prozess, der aber im Gegensatz zum Schwachstellenscan auch unbekannte Sicherheitslücken (z.B. in selbst entwickelter Software) und systemische Fehler aufdecken kann.

Über einen vorab definierten Zeitraum führen wir unter exakt mit Ihnen abgesprochen Rahmenbedingungen Angriffsversuche auf Ihre Systeme durch. Dabei sind alle Abstufungen möglich zwischen White-Box-Tests, bei denen wir wie ein Angreifer mit Kenntnissen über Ihr System von Ihnen im Vorfeld Informationen über Ihre Systeme erhalten, und Black-Box-Tests, bei denen wir wie ein externer Angreifer alle Informationen zum zu testenden System erst selbst erarbeiten müssen.