Schwachstellenanalyse aus externer und/oder interner Perspektive

Aus der weitreichenden Vernetzung der IT-Infrastruktur im Unternehmen resultieren verschiedene Risiken. Vor allem die im Internet exponierten IT-Systeme sind fortdauernd Angriffsversuchen ausgesetzt, welche größtenteils automatisiert und ungezielt erfolgen. Aber auch die Sicherheit der IT-Systeme im internen Netzwerk ist gefährdet. Die Bedrohungen reichen hierbei vom Datendiebstahl durch Innentäter oder externe Eindringlinge bis hin zur Infizierung mit Schadprogrammen.

Mit der Schwachstellenanalyse bieten wir Ihnen eine umfassende Prüfung aller Ihrer innerhalb eines definierten Bereichs erreichbaren IT-Systeme bezüglich vorhandener Sicherheitsmängel. Im Gegensatz zur risikobasierten Vorgehensweise (Penetrationstest) liegt der Schwerpunkt dabei auf der Vollständigkeit der Prüfung. Die Basis des Assessments bilden automatisierte Scans mittels spezieller Software. Deren Ergebnisse werden anschließend manuellen Risikoanalysen und -bewertungen unterzogen. Auch eine Verifikation kritischer Schwachstellen durch direkte Angriffsversuche ist möglich. Die Durchführung erfolgt bei komplexeren IT-Umgebungen grundsätzlich durch zwei Auditoren.

Die Schwachstellenanalyse umfasst folgende Punkte:
  • Enumeration (Erfassung) erreichbarer externer und/oder interner IT-Systeme und Dienste 
  • Automatisierter Schwachstellen-Scan mittels spezieller Software-Tools (Details laut Punkt „Testwerkzeuge und Standards“)
  • Manuelle Analyse und Bewertung der Ergebnisse zur Identifikation angreifbarer Schwachstellen und Sicherheitslücken 
  • Manuelle Verifikation detektierter Sicherheitslücken mittels direkter Angriffe (soweit sinnvoll und nach Absprache) 
  • Weitere Aspekte können in das Assessment einbezogen werden, z.B. Abgrenzung des LAN gegenüber Fremdnetzen mit verschiedenen Vertrauensstellungen (WAN-Anbindung von Niederlassungen, WAN-Anbindung externer Partner etc.), Sicherheitsaspekte der internen Netzwerksegmentierung (VLAN etc.), Qualität der Systemadministration (Patchmanagement, Passwortmanagement etc.)

Test- und Angriffsszenarien können innerhalb des Projekts gegenüber den Systemverantwortlichen erläutert und ggf. angepasst werden.

Als Ergebnis der Analyse erhalten Sie, neben einer Erläuterung und Risikobewertung der identifizierten Sicherheitsmängel, eine fundierte Bewertung der Qualität Ihres System- und Netzwerkmanagements. Wesentlicher Bestandteil des Abschlussberichts ist außerdem ein Katalog mit priorisierten Maßnahmen, in welchem alle identifizierten Schwachstellen konkreten Lösungen zugeordnet werden.