Prüfung

Umfassende Risikotransparenz ist der Schlüssel für das Management Ihrer Informations- und IT-Sicherheit. Nur aus dem damit verbundenen Wissen heraus erwächst Ihnen die Möglichkeit, Sicherheitsmaßnahmen zielgerichtet, wirksam und wirtschaftlich zu optimieren. Auf Basis langjähriger und fundierter Erfahrung sowie ausgewiesener Expertise bietet Ihnen SCHUTZWERK hierzu verschiedene Formen von Sicherheitsassessments.

Die gezielte und regelmäßige Suche nach Schwachstellen innerhalb von Technologien, Maßnahmen und Konzepten der Informations- und IT-Sicherheit bildet einen elementaren Bestandteil der Gesamtsicherheitsstrategie moderner Unternehmen. Ausgehend von der Komplexität eingesetzter Informationstechnologien und den damit verbundenen Bedrohungen ergeben sich eine Vielzahl sinnvoller Prüfungsansätze. Ein wichtiger Schwerpunkt liegt dabei auf der technischen Sicherheit, jedoch sind auch organisatorische und personelle Sicherheitsaspekte in die Prüfungen einzubeziehen. Dementsprechend hoch sind die Anforderungen an das Know-how der Prüfer. Es bietet sich daher an - nicht zuletzt auch im Sinne einer objektiven Betrachtung - auf die Unterstützung eines spezialisierten Partners wie der SCHUTZWERK GmbH zurückzugreifen.

Zur Ermittlung Ihrer individuellen Risiken bietet Ihnen SCHUTZWERK folgende Sicherheitsassessments:

Penetrations-
test


Risikobasierte Prüfung von IT-Systemen bezüglich vorhandener Sicherheitsschwachstellen aus Perspektive externer und interner Angreifer

Penetrations-
test

Ziel
Realistische Simulation zielgerichteter Angriffe auf IT-Systeme
Umfang
Fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
Grey- oder Black-Box
Ausgangspunkt
Via Internet und/oder LAN/WAN
Objekte
Alle IT-Komponenten / -anwendungen
Methode
Direkte Angriffsversuche (komplexe Angriffe / Multistaging)

Schwachstellen-
analyse


Umfassende Prüfung von IT-Systemen bezüglich vorhandener Sicherheitsschwachstellen aus Perspektive externer und interner Angreifer

Schwachstellen-
analyse

Ziel
Identifikation aller Schwachstellen in definierten IT-Umgebungen
Umfang
Vollständig (z.B. vorgegebene IP-Adressbereiche)
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via Internet und/oder LAN/WAN
Objekte
Alle IT-Komponenten / -anwendungen
Methode
Softwareunterstützte Schwachstellensuche mit Angriffsversuchen

WeB Application
Security AssesSment


Sicherheitsüberprüfung von Web-Applikationen sowie deren Basissystemen aus Perspektive von externen Angreifern und privilegierten Benutzern

WeB Application
Security AssesSment

Ziel
Identifikation aller Schwachstellen in definierten Web-Applikationen
Umfang
Vollständig oder fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via Internet und/oder LAN/WAN
Objekte
Web-Applikationen, Basissysteme, Web Services
Methode
Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive externer Angreifer und privilegierter Benutzer

Mobile Application
Security AssesSment


Sicherheitsüberprüfung von mobilen Applikationen sowie deren Betriebsumgebungen aus Perspektive von Angreifern und privilegierten Benutzern

Mobile Application
Security AssesSment

Ziel
Identifikation aller Schwachstellen in definierten mobilen Applikationen
Umfang
Vollständig oder fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via verfügbarer Schnittstellen
Objekte
Mobile Applikationen, Basissysteme, Web Services
Methode
Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive externer Angreifer und privilegierter Benutzer

PRÜFUNG EINGEBETTETER SYSTEME


Sicherheitsprüfung von eingebetteten Systemen sowie deren Betriebsumgebung aus Perspektive von Angreifern

PRÜFUNG EINGEBETTETER SYSTEME

Ziel
Identifikation aller Schwachstellen in definierten eingebetteten Systemen 
Umfang
Vollständig oder fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
White-, Grey- oder Black-Box
Ausgangspunkt
Via physischem Zugriff oder verfügbarer Schnittstellen
Objekte
Hardware-Basissysteme, Hardware-Module, Kommunikationsschnittstellen
Methode
Direkte Angriffsversuche (komplexe Angriffe / Multistaging) aus Perspektive von Angreifern

Reifegradanalyse der Informationssicherheit


Prüfung technischer, organisatorischer und personeller Sicherheitsprozesse und -konzepte, in Form von Interviews, Dokumentationssichtungen und Ortsbegehungen, konform zu den Controls aus ISO/IEC 27001

Reifegradanalyse der Informationssicherheit

Ziel
Umfassende Identifikation des Optimierungsbedarfs von sicherheits-relevanten Prozessen und Konzepten
Umfang
Vollständig
Informationsbasis
White-Box
Ausgangspunkt
Gesamte IT-Umgebung oder durch den Auftraggeber definierte Teilbereiche
Objekte
Sicherheitsrelevante Prozesse und Konzepte der definierten IT-Umgebung
Methode
Interviews, Dokumentationssichtungen und Ortsbegehungen (mittels eines umfassenden Fragenkatalogs konform zu ISO/IEC 27001, inkl. grafischer Auswertungen)

IT-RisikOASSessment
nach ISO/IEC 27005


Prozessorientierte Prüfung einzelner Applikationen oder ganzer IT-Umgebungen zur Ermittlung und Quantifizierung relevanter Risiken

IT-RisikOASSessment
nach ISO/IEC 27005

Ziel
Realistische Bewertung und Quantifizierung von Risiken
Umfang
Fokussiert (lt. identifizierter Bedrohungsszenarien)
Informationsbasis
White-Box
Ausgangspunkt
Gesamte IT-Umgebung oder definierte Teilbereiche
Objekte
Applikationen, IT-Umgebungen
Methode
Interviews, Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe,auf Basis des Prozessverlaufs nach ISO/IEC 27005

Prüfung
Client-systeme


Umfassende Prüfung von Client-Systemen bezüglich technischer und prozessbezogener Sicherheitsschwachstellen

Prüfung
Client-systeme

Ziel
Identifikation aller Schwachstellen in Client-Konfiguration und Client-Management
Umfang
Vollständig (definierte Clients)
Informationsbasis
White-Box
Ausgangspunkt
Client-Systeme und deren Managementumgebung
Objekte
PC, Notebooks, Tablets, Smartphones
Methode
Interviews, Konzeptsichtungen, Konfigurationsanalysen, technische Angriffe

Social Engineering
Assessment


Risikobasierte Prüfung der Gebäudesicherheit hinsichtlich unautorisiertem Eindringen oder der Mitarbeitersensibilität hinsichtlich personenbezogener IT-Angriffe

Social Engineering
Assessment

Ziel
Simulation zielgerichteter Angriffe auf Gebäude, Räume oder IT-Umgebungen durch personenbezogene Manipulationen
Umfang
Fokussiert (vorgegebene Risikoszenarien)
Informationsbasis
Grey- oder Black-Box
Ausgangspunkt
Gebäudezugänge, Kommunikationswege (persönlich, telefonisch, via E-Mail etc.)
Objekte
Gebäude / Räume, Mitarbeitersensibilität
Methode
Direkte Angriffsversuche durch Vortäuschung falscher Identitäten, falscher Tatsachen etc.

IT-Forensik


Analyse von Sicherheitsvorfällen oder verdächtigen Sachverhalten im Bereich der Informationstechnologien

IT-Forensik

Ziel
Analyse und (soweit möglich) Aufklärung von IT-Sicherheitsvorfällen oder verdächtigen IT-Sachverhalten
Umfang
Fokussiert oder umfassend (vorfallabhängig)
Informationsbasis
White-Box
Ausgangspunkt
Via Internet und/oder LAN/WAN
Objekte
Alle IT-Komponenten / -Anwendungen
Methode
Detaillierte Analyse mittels spezieller Forensiktools / Assessmentwerkzeugen

Digitaler Wachdienst


Kontinuierliche Schwachstellenüberwachung und -frühwarnung für kritische IT-Systeme

Digitaler Wachdienst

Ziel
Frühzeitge Erkennung und Behebung von Schwachstellen
Umfang
Vollständig (z.B. vorgegebene IP-Adressbereiche)
Informationsbasis
White-Box
Ausgangspunkt
Via Internet
Objekte
Alle IT-Komponenten und Web-Anwendungen
Methode
Softwareunterstützte Schwachstellensuche und Frühwarnung auf Basis des "digitalen Fingerabdrucks" der zu schützenden IT-Umgebung
Die Realisierung von Sicherheitsassessments bedingt mehr als fachspezifisches Know-how. Ein strukturierter Projektablauf sowie professionelles Projektmanagement sind weitere wichtige Erfolgsfaktoren. SCHUTZWERK bietet Ihnen alle genannten Aspekte innerhalb nachfolgend beschriebener Phasen:

Grundlegende Phasen von Sicherheitsassessments

  • 1 Kick-off Meeting

    • Erläuterung des Untersuchungsobjekts (Verfahrensabhängig: White-Box / Black-Box / Grey-Box)
    • Definition relevanter Risikoszenarien & Prüfungsschwerpunkte
    • Klärung technischer & rechtlicher Rahmenbedingungen
    • Definition Projektverlauf, Ansprechpartner, Verantwortlichkeiten & Termine
  • 2 Projektvorbereitung

    • Verbindliche Termin- & Ressourcenplanung
    • Aktualisierung der Testwerkzeuge
  • 3 Informationsbeschaffung

    • Internet-Recherche
    • Footprinting/Enumeration Scan der IP-Ranges / Bestimmung der Angriffsfläche / Crawling / Spidering
    • Observation von Gebäuden (Assessment Zutrittsschutz)
  • 4 Analyse & Verifikation

    • Analyse der Untersuchungsobjekte bzgl. Schwachstellen
    • Verifikation identifizierter Schwachstellen mittels direkter Angriffe
    • (Umfang und Aggressivität abhängig von der Art des Assessments)
  • 5 Erstellung Ergebnisreport

    • Detaillierte Dokumentation der Vorgehensweise und der Befunde
    • Risikoanalyse identifizierter Schwachstellen
    • Erstellung eines Katalogs priorisierter Maßnahmen
  • 6 Ergebnispräsentation

    • Ausarbeitung zielgruppenspezifischer Präsentationen
    • Erläuterung des Assessments und der Befunde
    • Erläuterung und Diskussion der Maßnahmen

Projektmanagement & QS

Dokumentation