Unternehmen, deren Geschäftsprozesse von einem sicheren und störungsfreien Betrieb ihrer IT-Systeme stark abhängig oder die durch Regularien, Verträge oder Gesetze zur Einhaltung eines angemessenen Sicherheitsniveaus verpflichtet sind und die Effektivität der umgesetzten Sicherheitsmaßnahmen auch hinsichtlich neuartiger Angriffe bewerten lassen möchten, sollten ihre Sicherheitsmaßnahmen zu angemessenen Zeitpunkten von neutralen Fachleuten überprüfen lassen.
Hierzu bieten wir auf das jeweilige Einsatzszenario abgestimmte Scan- und Penetrationstests, die es ermöglichen, eine kosteneffiziente und effektive Prüfung der Sicherheit von Systemen und Anwendungen gegen Angriffe von innen und außen durchzuführen. Diese gezielten Einbruchsversuche werden unter möglichst realen Bedingungen mit Methoden, Wissen und Werkzeugen eines potentiellen Angreifers im Intranet oder Internet ausgeführt. Dabei können die Prüfungen mit Vorwissen (White-Box-Test) über die zu testenden Systeme bzw. Anwendungen oder ohne jegliche Vorabinformationen (Black-Box-Test) erfolgen.
Der Einsatz von Scantests hat die Aufgabe, ein möglichst umfassendes Bild über Schwachstellen zu gewinnen ohne diese explizit auszunutzen. Sinnvoll ergänzt werden solch toolgestützte Tests mit manuellen Penetrationstests auf Netz- und Nutzerebene, die exemplarisch aufzeigen können, welche Eindringtiefe ein Angreifer ggfs. hätte. Die Durchführung von Penetrationstests ist insbesondere dann wichtig, wenn hochschutzbedürftige Daten sicherheitsrelevanten Bedrohungen ausgesetzt sind. Wiederholt man solche kombinierten Scan/Pentests in festen Zyklen und zusätzlich bei größeren Änderungen der IT-Umgebung, dann erhält man wertvolle Informationen zur Behebung der vorliegenden Schwachstellen. Unsere zielgruppenorientierten Berichte enthalten zu den jeweiligen Feststellungen, deren Risiko im Kontext des jeweiligen Einsatzszenarios bewertet wird, angemessene und nachvollziehbare Maßnahmenempfehlungen zur Beseitigung der Schwachstellen.
Für die Sicherheitsprüfungen setzen wir neben spezialisierten, eigenen Werkzeugen auch eine Vielzahl kommerzieller Tools ein, um eine möglichst umfassende Prüfungstiefe zu erreichen. Deren Ergebnisse werden durch unsere Auditoren verifiziert und ggf. vorhandene Falschmeldungen werden eliminiert.
Security Journal |
---|
Aktuelle Techniken, Trends und Nachrichten aus der Welt der Informationssicherheit |