Prüfung
Umfassende Risikotransparenz ist der Schlüssel für das Management Ihrer Informations- und IT-Sicherheit. Nur aus dem damit verbundenen Wissen heraus erwächst Ihnen die Möglichkeit, Sicherheitsmaßnahmen zielgerichtet, wirksam und wirtschaftlich zu optimieren. Auf Basis langjähriger und fundierter Erfahrung sowie ausgewiesener Expertise bietet Ihnen SCHUTZWERK hierzu verschiedene Formen von Sicherheitsassessments.
Die gezielte und regelmäßige Suche nach Schwachstellen innerhalb von Technologien, Maßnahmen und Konzepten der Informations- und IT-Sicherheit bildet einen elementaren Bestandteil der Gesamtsicherheitsstrategie moderner Unternehmen. Ausgehend von der Komplexität eingesetzter Informationstechnologien und den damit verbundenen Bedrohungen ergeben sich eine Vielzahl sinnvoller Prüfungsansätze. Ein wichtiger Schwerpunkt liegt dabei auf der technischen Sicherheit, jedoch sind auch organisatorische und personelle Sicherheitsaspekte in die Prüfungen einzubeziehen. Dementsprechend hoch sind die Anforderungen an das Know-how der Prüfer. Es bietet sich daher an - nicht zuletzt auch im Sinne einer objektiven Betrachtung - auf die Unterstützung eines spezialisierten Partners wie der SCHUTZWERK GmbH zurückzugreifen.
Zur Ermittlung Ihrer individuellen Risiken bietet Ihnen SCHUTZWERK folgende Sicherheitsassessments:

Penetrations-
test
Risikobasierte Prüfung von IT-Systemen bezüglich vorhandener Sicherheitsschwachstellen aus Perspektive externer und interner Angreifer

Penetrations-
test
- Ziel
- Realistische Simulation zielgerichteter Angriffe auf IT-Systeme
- Umfang
- Fokussiert (vorgegebene Risikoszenarien)
- Informationsbasis
- Grey- oder Black-Box
- Ausgangspunkt
- Via Internet und/oder LAN/WAN
- Objekte
- Alle IT-Komponenten / -anwendungen
- Methode
- Direkte Angriffsversuche (komplexe Angriffe / Multistaging)

Schwachstellen-
analyse
Umfassende Prüfung von IT-Systemen bezüglich vorhandener Sicherheitsschwachstellen aus Perspektive externer und interner Angreifer

Schwachstellen-
analyse
- Ziel
- Identifikation aller Schwachstellen in definierten IT-Umgebungen
- Umfang
- Vollständig (z.B. vorgegebene IP-Adressbereiche)
- Informationsbasis
- White-, Grey- oder Black-Box
- Ausgangspunkt
- Via Internet und/oder LAN/WAN
- Objekte
- Alle IT-Komponenten / -anwendungen
- Methode
- Softwareunterstützte Schwachstellensuche mit Angriffsversuchen

Cloud Security Assessment
Sicherheitsüberprüfung der Cloudumgebung und der Sicherheitskonfiguration ihrer Clouddienste aus der Perspektive von Angreifern und privilegierten Benutzern

Cloud Security Assessment
- Ziel
- Identifikation von Konfigurationsfehlern und Schwachstellen im Cloud Umfeld
- Umfang
- Vollständig oder fokussiert (vorgegebene Risikoszenarien)
- Informationsbasis
- Grey- oder Black-Box
- Ausgangspunkt
- Via Internet und/oder Cloud Portale / Konsolen
- Objekte
- Alle Cloud Ressourcen
- Methode
- Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe

WeB Application
Security AssesSment
Sicherheitsüberprüfung von Web-Applikationen sowie deren Basissystemen aus Perspektive von externen Angreifern und privilegierten Benutzern

WeB Application
Security AssesSment
- Ziel
- Identifikation aller Schwachstellen in definierten Web-Applikationen
- Umfang
- Vollständig oder fokussiert (vorgegebene Risikoszenarien)
- Informationsbasis
- White-, Grey- oder Black-Box
- Ausgangspunkt
- Via Internet und/oder LAN/WAN
- Objekte
- Web-Applikationen, Basissysteme, Web Services
- Methode
- Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive externer Angreifer und privilegierter Benutzer

Mobile Application
Security AssesSment
Sicherheitsüberprüfung von mobilen Applikationen sowie deren Betriebsumgebungen aus Perspektive von Angreifern und privilegierten Benutzern

Mobile Application
Security AssesSment
- Ziel
- Identifikation aller Schwachstellen in definierten mobilen Applikationen
- Umfang
- Vollständig oder fokussiert (vorgegebene Risikoszenarien)
- Informationsbasis
- White-, Grey- oder Black-Box
- Ausgangspunkt
- Via verfügbarer Schnittstellen
- Objekte
- Mobile Applikationen, Basissysteme, Web Services
- Methode
- Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive externer Angreifer und privilegierter Benutzer

Home office
Security AssesSment
Sicherheitsüberprüfung der Home Office Umgebung, des Clients und der Konfiguration ihrer relevanten Dienste (VPN etc.) aus der Perspektive von Angreifern und privilegierten Benutzern

Home office
Security AssesSment
- Ziel
- Identifikation von Konfigurationsfehlern und Schwachstellen
- Umfang
- Vollständig
- Informationsbasis
- White-, Grey- oder Black-Box
- Ausgangspunkt
- Via Internet und Client
- Objekte
- Clientsystem, Home Office Infrastruktur
- Methode
- Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe

PRÜFUNG EINGEBETTETER SYSTEME
Sicherheitsprüfung von Hardware-Komponenten und eingebetteten Systemen sowie deren Betriebsumgebung aus Perspektive von Angreifern

PRÜFUNG EINGEBETTETER SYSTEME
- Ziel
- Identifikation aller Schwachstellen in definierten eingebetteten Systemen
- Umfang
- Vollständig oder fokussiert (vorgegebene Risikoszenarien)
- Informationsbasis
- White-, Grey- oder Black-Box
- Ausgangspunkt
- Via physischem Zugriff oder verfügbarer Schnittstellen
- Objekte
- Hardware-Basissysteme, Hardware-Module, Kommunikationsschnittstellen
- Methode
- Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive von Angreifern

Reifegradanalyse der Informationssicherheit
Prüfung technischer, organisatorischer und personeller Sicherheitsprozesse und -konzepte, in Form von Interviews, Dokumentationssichtungen und Ortsbegehungen, konform zu den Controls aus ISO/IEC 27001

Reifegradanalyse der Informationssicherheit
- Ziel
- Umfassende Identifikation des Optimierungsbedarfs von sicherheits-relevanten Prozessen und Konzepten
- Umfang
- Vollständig
- Informationsbasis
- White-Box
- Ausgangspunkt
- Gesamtes Unternehmen
- Objekte
- Sicherheitsrelevante Prozesse und Konzepte des Unternehmens
- Methode
- Interviews, Dokumentationssichtungen und Ortsbegehungen (mittels eines umfassenden Fragenkatalogs konform zu ISO/IEC 27001, inkl. grafischer Auswertungen)

IT-RisikOASSessment
nach ISO/IEC 27005
Prozessorientierte Prüfung einzelner Applikationen oder ganzer IT-Umgebungen zur Ermittlung und Quantifizierung relevanter Risiken

IT-RisikOASSessment
nach ISO/IEC 27005
- Ziel
- Realistische Bewertung und Quantifizierung von Risiken
- Umfang
- Fokussiert (lt. identifizierter Bedrohungsszenarien)
- Informationsbasis
- White-Box
- Ausgangspunkt
- Gesamte IT-Umgebung oder definierte Teilbereiche
- Objekte
- Applikationen, IT-Umgebungen
- Methode
- Interviews, Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe,auf Basis des Prozessverlaufs nach ISO/IEC 27005

Prüfung
Client-systeme
Umfassende Prüfung von Client-Systemen bezüglich technischer und prozessbezogener Sicherheitsschwachstellen

Prüfung
Client-systeme
- Ziel
- Identifikation aller Schwachstellen in Client-Konfiguration und Client-Management
- Umfang
- Vollständig (definierte Clients)
- Informationsbasis
- White-Box
- Ausgangspunkt
- Client-Systeme und deren Managementumgebung
- Objekte
- PC, Notebooks, Tablets, Smartphones
- Methode
- Interviews, Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe

Social Engineering
Assessment
Risikobasierte Prüfung der Gebäudesicherheit hinsichtlich unautorisiertem Eindringen oder der Mitarbeitersensibilität hinsichtlich personenbezogener IT-Angriffe

Social Engineering
Assessment
- Ziel
- Simulation zielgerichteter Angriffe auf Gebäude, Räume oder IT-Umgebungen durch personenbezogene Manipulationen
- Umfang
- Fokussiert (vorgegebene Risikoszenarien)
- Informationsbasis
- Grey- oder Black-Box
- Ausgangspunkt
- Gebäudezugänge, Kommunikationswege (persönlich, telefonisch, via E-Mail etc.)
- Objekte
- Gebäude / Räume, Mitarbeitersensibilität
- Methode
- Direkte Angriffsversuche durch Vortäuschung falscher Identitäten, falscher Tatsachen etc.

IT-Forensik
Analyse von Sicherheitsvorfällen oder verdächtigen Sachverhalten im Bereich der Informationstechnologien

IT-Forensik
- Ziel
- Analyse und (soweit möglich) Aufklärung von IT-Sicherheitsvorfällen oder verdächtigen IT-Sachverhalten
- Umfang
- Fokussiert oder umfassend (vorfallabhängig)
- Informationsbasis
- White-Box
- Ausgangspunkt
- Via Internet und/oder LAN/WAN
- Objekte
- Alle IT-Komponenten / -Anwendungen
- Methode
- Detaillierte Analyse mittels spezieller Forensiktools / Assessmentwerkzeugen

Digitaler Wachdienst
Kontinuierliche Schwachstellenüberwachung und -frühwarnung für kritische IT-Systeme

Digitaler Wachdienst
- Ziel
- Frühzeitge Erkennung und Behebung von Schwachstellen
- Umfang
- Vollständig (z.B. vorgegebene IP-Adressbereiche)
- Informationsbasis
- White-Box
- Ausgangspunkt
- Via Internet
- Objekte
- Alle IT-Komponenten und Web-Anwendungen
- Methode
- Softwareunterstützte Schwachstellensuche und Frühwarnung auf Basis des "digitalen Fingerabdrucks" der zu schützenden IT-Umgebung
Die Realisierung von Sicherheitsassessments bedingt mehr als fachspezifisches Know-how. Ein strukturierter Projektablauf sowie professionelles Projektmanagement sind weitere wichtige Erfolgsfaktoren. SCHUTZWERK bietet Ihnen alle genannten Aspekte innerhalb nachfolgend beschriebener Phasen:
Grundlegende Phasen von Sicherheitsassessments
-
1 Kick-off Meeting
- Erläuterung des Untersuchungsobjekts (Verfahrensabhängig: White-Box / Black-Box / Grey-Box)
- Definition relevanter Risikoszenarien & Prüfungsschwerpunkte
- Klärung technischer & rechtlicher Rahmenbedingungen
- Definition Projektverlauf, Ansprechpartner, Verantwortlichkeiten & Termine
-
2 Projektvorbereitung
- Verbindliche Termin- & Ressourcenplanung
- Aktualisierung der Testwerkzeuge
-
3 Informationsbeschaffung
- Internet-Recherche
- Footprinting/Enumeration Scan der IP-Ranges / Bestimmung der Angriffsfläche / Crawling / Spidering
- Observation von Gebäuden (Assessment Zutrittsschutz)
-
4 Analyse & Verifikation
- Analyse der Untersuchungsobjekte bzgl. Schwachstellen
- Verifikation identifizierter Schwachstellen mittels direkter Angriffe
- (Umfang und Aggressivität abhängig von der Art des Assessments)
-
5 Erstellung Ergebnisreport
- Detaillierte Dokumentation der Vorgehensweise und der Befunde
- Risikoanalyse identifizierter Schwachstellen
- Erstellung eines Katalogs priorisierter Maßnahmen
-
6 Ergebnispräsentation
- Ausarbeitung zielgruppenspezifischer Präsentationen
- Erläuterung des Assessments und der Befunde
- Erläuterung und Diskussion der Maßnahmen