diamond_fulldiamonddiamond_halfdiamond_eurosearch-iconmenuchat-iconclose-iconenvelope-iconsmartphone-call-icon

Prüfung

Risikotransparenz schaffen

Prüfung

Umfassende Risikotransparenz ist der Schlüssel für das Management Ihrer Informations-, Cyber- und IT-Sicherheit. Nur aus dem damit verbundenen Wissen heraus erwächst Ihnen die Möglichkeit, Sicherheitsmaßnahmen zielgerichtet, wirksam und wirtschaftlich zu optimieren. Auf Basis langjähriger und fundierter Erfahrung sowie ausgewiesener Expertise bietet Ihnen SCHUTZWERK hierzu verschiedene Formen von Sicherheitsassessments.

Zur Prüfung Ihrer individuellen Risiken bietet Ihnen SCHUTZWERK folgende Sicherheitsassessments:

Penetrationstest
Schwachstellen­analyse
Red Teaming
Embedded Security Assessment
Automotive Security Assessment
Web Application Security Assessment
Mobile Application Security Assessment
Cloud Security Assessment
Social Engineering Assessment
Phishing Awareness Assessment
Endpoint Security Assessment
Analy­se von Si­cher­heits­kon­zep­ten
Bedrohungs- und Risikoanalyse
Reifegradanalyse der Informations­sicherheit
IT-Forensik

Die gezielte und regelmäßige Suche nach Schwachstellen innerhalb von Technologien, Maßnahmen und Konzepten der Informations-, Cyber- und IT-Sicherheit, bildet einen elementaren Bestandteil der Gesamtsicherheitsstrategie moderner Unternehmen. Ausgehend von der Komplexität eingesetzter Informationstechnologien und den damit verbundenen Bedrohungen ergeben sich eine Vielzahl sinnvoller Prüfungsansätze. Ein wichtiger Schwerpunkt liegt dabei auf der technischen Sicherheit, jedoch sind auch organisatorische und personelle Sicherheitsaspekte in die Prüfungen einzubeziehen. Dementsprechend hoch sind die Anforderungen an das Know-How der Prüfer. Es bietet sich daher an - nicht zuletzt auch im Sinne einer objektiven Betrachtung - auf die Unterstützung eines spezialisierten Partners wie der SCHUTZWERK GmbH zurückzugreifen.

Scope und Vorgehensweise

Bei jedem Assessment wird mit dem Kunden vorweg der genaue Scope und die Vorgehensweise abgestimmt. Dabei können unter anderem die folgenden Aspekte berücksichtigt werden (in Anlehnung der durch das BSI vorgeschlagenen Klassifikation von Penetrationstests):

Ziel
Identifikation und Risikobewertung von Schwachstellen
Angreiferperspektive
Externe Angreifer
Interne Angreifer
Privilegierte User
Aggressivität
Jeweils wählbar zwischen passiv über vorsichtig/abwägend bis aggressiv
Vorgehensweise
Jeweils wählbar zwischen verdeckt bis offensichtlich
Informationsbasis & Techniken
Black-Box
Gray-Box
White-Box
  • Schwachstellenanalyse
  • Manuelle Analyse
  • Reverse Engineering
  • Social Engineering
  • Ausnutzung von Schwachstellen
  • Konfigurationsanalyse
  • Analyse von Konzepten und Spezifikationen
  • Interviews und Workshops
  • Source Code Analyse
  • Analyse von Konzepten und Spezifikationen
  • Interviews und Workshops
Umfang
Umfassend
Begrenzt
Fokussiert
Ziel
Identifikation und Risikobewertung von Schwachstellen
Angreiferperspektive
Externe Angreifer
Interne Angreifer
Privilegierte User
Aggressivität
Jeweils wählbar zwischen passiv über vorsichtig/abwägend bis aggressiv
Vorgehensweise
Jeweils wählbar zwischen verdeckt bis offensichtlich
Informationsbasis & Techniken
Black-Box
  • Schwachstellenanalyse
  • Manuelle Analyse
  • Reverse Engineering
  • Social Engineering
  • Ausnutzung von Schwachstellen
Gray-Box
  • Konfigurationsanalyse
  • Analyse von Konzepten und Spezifikationen
  • Interviews und Workshops
White-Box
  • Source Code Analyse
  • Analyse von Konzepten und Spezifikationen
  • Interviews und Workshops
Umfang
Umfassend
Begrenzt
Fokussiert

Ergebnisse

Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:

  • Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
  • Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
  • Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
  • Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
  • Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
  • Beschreibung von Maßnahmen zur Behebung der Schwachstellen
  • Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.

Grundlegende Phasen Von Sicherheitsassessments

Die Realisierung von Sicherheitsassessments bedingt mehr als fachspezifisches Know-how. Ein strukturierter Projektablauf sowie professionelles Projektmanagement sind weitere wichtige Erfolgsfaktoren. SCHUTZWERK bietet Ihnen alle genannten Aspekte innerhalb nachfolgend beschriebener Phasen:

> Erläuterung des Untersuchungsobjekts

> Definition relevanter Bedrohungsszenarien & Prüfungsschwerpunkte

> Klärung technischer & rechtlicher Rahmenbedingungen

> Definition Projektverlauf, Ansprechpartner, Verantwortlichkeiten & Termine

Protokoll

> Verbindliche Termin- & Ressourcenplanung

> Aktualisierung der Testwerkzeuge

> Internet-Recherche

> Footprinting/Enumeration Scan der IP-Ranges / Bestimmung der Angriffsfläche / Crawling / Spidering

> Observation von Gebäuden (Assessment Zutrittsschutz)

> Analyse der Untersuchungsobjekte bzgl. Schwachstellen

> Verifikation identifizierter Schwachstellen mittels direkter Angriffe (Umfang und Aggressivität abhängig von der Art des Assessments)

> Detaillierte Dokumentation der Vorgehensweise und der Befunde

> Risikoanalyse identifizierter Schwachstellen

> Erstellung eines Katalogs priorisierter Maßnahmen

> Ausarbeitung zielgruppenspezifischer Präsentationen

> Erläuterung des Assessments und der Befunde

> Erläuterung und Diskussion der Maßnahmen

Dokumentation
Projektmanagement & QS


Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder finden Sie Ihren Ansprechpartner

+49 731 977 191 - 0 Ansprechpartner finden
Kostenfreies Erstgespräch