Prüfung

Umfassende Risikotransparenz ist der Schlüssel für das Management Ihrer Informations- und IT-Sicherheit. Nur aus dem damit verbundenen Wissen heraus erwächst Ihnen die Möglichkeit, Sicherheitsmaßnahmen zielgerichtet, wirksam und wirtschaftlich zu optimieren. Auf Basis langjähriger und fundierter Erfahrung sowie ausgewiesener Expertise bietet Ihnen SCHUTZWERK hierzu verschiedene Formen von Sicherheitsassessments.

Die gezielte und regelmäßige Suche nach Schwachstellen innerhalb von Technologien, Maßnahmen und Konzepten der Informations- und IT-Sicherheit bildet einen elementaren Bestandteil der Gesamtsicherheitsstrategie moderner Unternehmen. Ausgehend von der Komplexität eingesetzter Informationstechnologien und den damit verbundenen Bedrohungen ergeben sich eine Vielzahl sinnvoller Prüfungsansätze. Ein wichtiger Schwerpunkt liegt dabei auf der technischen Sicherheit, jedoch sind auch organisatorische und personelle Sicherheitsaspekte in die Prüfungen einzubeziehen. Dementsprechend hoch sind die Anforderungen an das Know-how der Prüfer. Es bietet sich daher an - nicht zuletzt auch im Sinne einer objektiven Betrachtung - auf die Unterstützung eines spezialisierten Partners wie der SCHUTZWERK GmbH zurückzugreifen.

Zur Ermittlung Ihrer individuellen Risiken bietet Ihnen SCHUTZWERK folgende Sicherheitsassessments:

Penetrations-
test

Risikobasierte Prüfung von IT-Systemen bezüglich vorhandener Sicherheitsschwachstellen aus Perspektive externer und interner Angreifer
weiterlesen

Penetrations-
test

Ziel
Realistische Simulation zielgerichteter Angriffe auf IT-Systeme
Umfang
Fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
Grey- oder Black-Box
Ausgangspunkt
Via Internet und/oder LAN/WAN
Objekte
Alle IT-Komponenten / -anwendungen
Methode
Direkte Angriffsversuche (komplexe Angriffe / Multistaging)
weiterlesen

Schwachstellen-
analyse

Umfassende Prüfung von IT-Systemen bezüglich vorhandener Sicherheitsschwachstellen aus Perspektive externer und interner Angreifer
weiterlesen

Schwachstellen-
analyse

Ziel
Identifikation aller Schwachstellen in definierten IT-Umgebungen
Umfang
Vollständig (z.B. vorgegebene IP-Adressbereiche)
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via Internet und/oder LAN/WAN
Objekte
Alle IT-Komponenten / -anwendungen
Methode
Softwareunterstützte Schwachstellensuche mit Angriffsversuchen
weiterlesen

Cloud Security Assessment

Sicherheitsüberprüfung der Cloudumgebung und der Sicherheitskonfiguration ihrer Clouddienste aus der Perspektive von Angreifern und privilegierten Benutzern
weiterlesen

Cloud Security Assessment

Ziel
Identifikation von Konfigurationsfehlern und Schwachstellen im Cloud Umfeld
Umfang
Vollständig oder fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
Grey- oder Black-Box
Ausgangspunkt
Via Internet und/oder Cloud Portale / Konsolen
Objekte
Alle Cloud Ressourcen
Methode
Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe
weiterlesen

WeB Application
Security AssesSment

Sicherheitsüberprüfung von Web-Applikationen sowie deren Basissystemen aus Perspektive von externen Angreifern und privilegierten Benutzern
weiterlesen

WeB Application
Security AssesSment

Ziel
Identifikation aller Schwachstellen in definierten Web-Applikationen
Umfang
Vollständig oder fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via Internet und/oder LAN/WAN
Objekte
Web-Applikationen, Basissysteme, Web Services
Methode
Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive externer Angreifer und privilegierter Benutzer
weiterlesen

Mobile Application
Security AssesSment

Sicherheitsüberprüfung von mobilen Applikationen sowie deren Betriebsumgebungen aus Perspektive von Angreifern und privilegierten Benutzern
weiterlesen

Mobile Application
Security AssesSment

Ziel
Identifikation aller Schwachstellen in definierten mobilen Applikationen
Umfang
Vollständig oder fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via verfügbarer Schnittstellen
Objekte
Mobile Applikationen, Basissysteme, Web Services
Methode
Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive externer Angreifer und privilegierter Benutzer
weiterlesen

Home office
Security AssesSment

Sicherheitsüberprüfung der Home Office Umgebung, des Clients und der Konfiguration ihrer relevanten Dienste (VPN etc.) aus der Perspektive von Angreifern und privilegierten Benutzern
weiterlesen

Home office
Security AssesSment

Ziel
Identifikation von Konfigurationsfehlern und Schwachstellen
Umfang
Vollständig
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via Internet und Client
Objekte
Clientsystem, Home Office Infrastruktur
Methode
Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe
weiterlesen

PRÜFUNG EINGEBETTETER SYSTEME

Sicherheitsprüfung von Hardware-Komponenten und eingebetteten Systemen sowie deren Betriebsumgebung aus Perspektive von Angreifern
weiterlesen

PRÜFUNG EINGEBETTETER SYSTEME

Ziel
Identifikation aller Schwachstellen in definierten eingebetteten Systemen 
Umfang
Vollständig oder fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via physischem Zugriff oder verfügbarer Schnittstellen
Objekte
Hardware-Basissysteme, Hardware-Module, Kommunikationsschnittstellen
Methode
Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive von Angreifern
weiterlesen

Reifegradanalyse der Informationssicherheit

Prüfung technischer, organisatorischer und personeller Sicherheitsprozesse und -konzepte, in Form von Interviews, Dokumentationssichtungen und Ortsbegehungen, konform zu den Controls aus ISO/IEC 27001
weiterlesen

Reifegradanalyse der Informationssicherheit

Ziel
Umfassende Identifikation des Optimierungsbedarfs von sicherheits-relevanten Prozessen und Konzepten
Umfang
Vollständig
Informationsbasis
White-Box
Ausgangspunkt
Gesamte IT-Umgebung oder durch den Auftraggeber definierte Teilbereiche
Objekte
Sicherheitsrelevante Prozesse und Konzepte der definierten IT-Umgebung
Methode
Interviews, Dokumentationssichtungen und Ortsbegehungen (mittels eines umfassenden Fragenkatalogs konform zu ISO/IEC 27001, inkl. grafischer Auswertungen)
weiterlesen

IT-RisikOASSessment
nach ISO/IEC 27005

Prozessorientierte Prüfung einzelner Applikationen oder ganzer IT-Umgebungen zur Ermittlung und Quantifizierung relevanter Risiken
weiterlesen

IT-RisikOASSessment
nach ISO/IEC 27005

Ziel
Realistische Bewertung und Quantifizierung von Risiken
Umfang
Fokussiert (lt. identifizierter Bedrohungsszenarien)
Informationsbasis
White-Box
Ausgangspunkt
Gesamte IT-Umgebung oder definierte Teilbereiche
Objekte
Applikationen, IT-Umgebungen
Methode
Interviews, Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe,auf Basis des Prozessverlaufs nach ISO/IEC 27005
weiterlesen

Prüfung
Client-systeme

Umfassende Prüfung von Client-Systemen bezüglich technischer und prozessbezogener Sicherheitsschwachstellen
weiterlesen

Prüfung
Client-systeme

Ziel
Identifikation aller Schwachstellen in Client-Konfiguration und Client-Management
Umfang
Vollständig (definierte Clients)
Informationsbasis
White-Box
Ausgangspunkt
Client-Systeme und deren Managementumgebung
Objekte
PC, Notebooks, Tablets, Smartphones
Methode
Interviews, Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe
weiterlesen

Social Engineering
Assessment

Risikobasierte Prüfung der Gebäudesicherheit hinsichtlich unautorisiertem Eindringen oder der Mitarbeitersensibilität hinsichtlich personenbezogener IT-Angriffe
weiterlesen

Social Engineering
Assessment

Ziel
Simulation zielgerichteter Angriffe auf Gebäude, Räume oder IT-Umgebungen durch personenbezogene Manipulationen
Umfang
Fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
Grey- oder Black-Box
Ausgangspunkt
Gebäudezugänge, Kommunikationswege (persönlich, telefonisch, via E-Mail etc.)
Objekte
Gebäude / Räume, Mitarbeitersensibilität
Methode
Direkte Angriffsversuche durch Vortäuschung falscher Identitäten, falscher Tatsachen etc.
weiterlesen

IT-Forensik

Analyse von Sicherheitsvorfällen oder verdächtigen Sachverhalten im Bereich der Informationstechnologien
weiterlesen

IT-Forensik

Ziel
Analyse und (soweit möglich) Aufklärung von IT-Sicherheitsvorfällen oder verdächtigen IT-Sachverhalten
Umfang
Fokussiert oder umfassend (vorfallabhängig)
Informationsbasis
White-Box
Ausgangspunkt
Via Internet und/oder LAN/WAN
Objekte
Alle IT-Komponenten / -Anwendungen
Methode
Detaillierte Analyse mittels spezieller Forensiktools / Assessmentwerkzeugen
weiterlesen

Digitaler Wachdienst

Kontinuierliche Schwachstellenüberwachung und -frühwarnung für kritische IT-Systeme
weiterlesen

Digitaler Wachdienst

Ziel
Frühzeitge Erkennung und Behebung von Schwachstellen
Umfang
Vollständig (z.B. vorgegebene IP-Adressbereiche)
Informationsbasis
White-Box
Ausgangspunkt
Via Internet
Objekte
Alle IT-Komponenten und Web-Anwendungen
Methode
Softwareunterstützte Schwachstellensuche und Frühwarnung auf Basis des "digitalen Fingerabdrucks" der zu schützenden IT-Umgebung
weiterlesen
Die Realisierung von Sicherheitsassessments bedingt mehr als fachspezifisches Know-how. Ein strukturierter Projektablauf sowie professionelles Projektmanagement sind weitere wichtige Erfolgsfaktoren. SCHUTZWERK bietet Ihnen alle genannten Aspekte innerhalb nachfolgend beschriebener Phasen:

Grundlegende Phasen von Sicherheitsassessments

  • 1 Kick-off Meeting

    • Erläuterung des Untersuchungsobjekts (Verfahrensabhängig: White-Box / Black-Box / Grey-Box)
    • Definition relevanter Risikoszenarien & Prüfungsschwerpunkte
    • Klärung technischer & rechtlicher Rahmenbedingungen
    • Definition Projektverlauf, Ansprechpartner, Verantwortlichkeiten & Termine

  • 2 Projektvorbereitung

    • Verbindliche Termin- & Ressourcenplanung
    • Aktualisierung der Testwerkzeuge

  • 3 Informationsbeschaffung

    • Internet-Recherche
    • Footprinting/Enumeration Scan der IP-Ranges / Bestimmung der Angriffsfläche / Crawling / Spidering
    • Observation von Gebäuden (Assessment Zutrittsschutz)

  • 4 Analyse & Verifikation

    • Analyse der Untersuchungsobjekte bzgl. Schwachstellen
    • Verifikation identifizierter Schwachstellen mittels direkter Angriffe
    • (Umfang und Aggressivität abhängig von der Art des Assessments)

  • 5 Erstellung Ergebnisreport

    • Detaillierte Dokumentation der Vorgehensweise und der Befunde
    • Risikoanalyse identifizierter Schwachstellen
    • Erstellung eines Katalogs priorisierter Maßnahmen

  • 6 Ergebnispräsentation

    • Ausarbeitung zielgruppenspezifischer Präsentationen
    • Erläuterung des Assessments und der Befunde
    • Erläuterung und Diskussion der Maßnahmen

Projektmanagement & QS

Dokumentation