+49 241 149 46 0 information@plesnik.de

Sicherheitsüberprüfung durch Penetrationstest

Verringern Sie das Risiko von finanziellen Verlusten durch Sicherheitsüberprüfungen mit Penetrationstests (ISO-27001, PCI DSS, NIST)

Zum Penetrationstest

Sicherheitsüberprüfungen von IT-Systemen

Die Sicherheit von Unternehmensinformationen, sollten für jeden Geschäftsführer den höchsten Stellenwert einnehmen. Allein in Deutschland werden jedes Jahr zahlreiche Unternehmen Opfer von Industriespionage durch Schwachstelln der eigenen IT-Systeme.

Regelmäßige Sicherheitsüberprüfungen und Schwachstellenanalysen durch Penetrationstests verringern das Risiko eines digitalen Datendiebstahls und erhöhen das Vertrauen Ihrer Kunden in Sie und Ihr Unternehmen.

Im Zuge der EU-Datenschutzgrundverordnung wird der Nachweis von Sicherheitsmaßnahmen für viele Unternehmen verpflichtend.

[weiter zu: Was sind Penetrationstests?]

Schreiben Sie uns...

White-Box-Angriff

Bei einem White-Box-Angriff werden dem Penetrationstester relevanten Informationen vorher zur Verfügung gestellt. Beispielweise Server IP Adressen, Webservice URLs, E-Mail Adressen oder die eingesetzte Firewall.

Der Hacker kann leichter angreifen doch das Szenario ist weniger real. 

Black-Box-Angriff

Bei einem Black-Box-Angriff wird ein realer Angriff simuliert. Der Penetrationstester erhält keine Informationen über das Unternehmen. Diese Testform ist kostenintensiver und unbekannte Schwachstellen bleiben ggf. unerkannt.

Der Hacker kann schwieriger angreifen doch bleiben Schwachstellen ggf. unerkannt.

Grey-Box-Angriff

Bei einem Grey-Box-Angriff werden dem Penetrationstester nur ausgewählte Informationen über die IT-Struktur gegeben. Er stellt eine Mischung aus White-Box- und Black-Box-Angriff dar. Über die Realitätsnähe kann man streiten.

Die Vor- und Nachteile von White- und Black-Box-Angriffen treffen zu.

Social-Engineering-Angriff

Beim Social-Engineering-Angriff wird die „Schwachstelle Mensch“ geprüft. Dabei erlangen Sie Information zu IT-Security-Sensibilität Ihrer Mitarbeiter. Hierzu zählen z.B. Phishing-E-Mails, auslegen von USB-Sticks, Zugangskontrollen, uvm..

Die notwendigste Sicherheitsüberprüfung für jedes Unternehmen!

IT-Security-Audits als Grundlage für Penetrationstests

Penetrationstests dienen der Auffindung möglicher Schwachstellen Ihrer IT-Systeme. Die besten Grundlagen hierfür stellen unabhängige Sicherheitsüberprüfungen durch einen externen IT-Security-Officer dar. Sicherheitslücken, fehlende Sicherheitsprozesse, korrektes Patchmanagement und die Qualitätssicherung dieser Prozesse werden dabei deutlich. Die Ergebnisse werden in einer Risikobewertung zusammengefasst, priorisiert und in einem Maßnahmenkatalog abgebildet. Dies bildet eine solide Grundlage für einen Penetrationstest, welcher danach gezielt diese Schwachstellen prüft.

[weiter zu: Penetrationstests sind keine IT-Security-Tests]

Bei einem IT-Security-Audit werden neben den technischen Prozessen auch die Arbeitsabläufe der Mitarbeiter überprüft und in die Risikobewertung eingeschlossen.

Kostenloser IT-Security-Check

Mit dem IT-Security-Check überprüfen und schließen Sie in wenigen Minuten kritische IT-Sicherheitslecks in Ihrem Unternehmen.

Penetrationstests sind keine IT-Security-Tests

Es ist wichtig Penetrationstests von einer allgemeinen Überprüfung der IT oder gar der Informationssicherheit zu unterscheiden. Obschon sich Penetrationstests vielfach als „Oberbegriff“ für Sicherheitsüberprüfungen etabliert haben, so vernachlässigen sie wesentliche Aspekte wie die Compliance-Prüfung (Regelkonformität) und das Vulnarability-Assessment (Schwachstellenanalyse).

Z

Compliance-Prüfung

Mit einer Compliance-Prüfung prüfen Sie die Einhaltung der individuellen Vorgaben und IT-Sicherheitsstandards Ihres Unternehmens unter Einbeziehung der gesetzlichen Vorgaben und Richtlinien.

Vulnerability-Assessment

Bei einem Vulnerability-Assessment werden bestehende Schwachstellen aufgespürt. Diese werden z.B. durch veraltete Software und Betriebssysteme, unsichere Konfigurationen sowie fehlende Verschlüsselungsmaßnahmen erzeugt.

Sicherheitsüberprüfungen durch IT-Security-Tests

Im Rahmen eines IT-Security-Tests überprüft ein zertifizierter IT-Security-Officer Ihre Informationssysteme auf Schwachstellen und Gefahrenquellen.

Während des IT-Security-Test können die technischen Komponenten mittels Penetrationstests geprüft werden. Hierbei wird die produktive Echtumgebung Ihrer IT-Infrastuktur aktiv angegriffen, um eine reale Bedrohung zu simulieren. Es ist daher unablässig diese Vorgänge gezielt zu planen und zu dokumentieren.

Wir empfehlen die Anwesenheit eines IT-Security-Officers sowie aller Administratoren Ihrer IT-Systeme, da es während des Penetrationstests jederzeit zu erheblichen Beeinflussungen Ihrer Arbeitsumgebung kommen kann. Eine sofortige Reaktion ist deshalb eine unbedingte Empfehlung.

Unsere IT-Securtiy-Officer sind durch den TüV Süd nach ISO-27001 zertifiziert.

l

1. Planung & Vorbereitung

Die umfassende Planung und Vorbereitung mit den Verantwortlichen wird durch den IT-Security-Officer durchgeführt. Die Ziele und die Vorgehensweise, die zu prüfenden Systeme und die Intensität (Aggresivität des Hackerangriffs) des Penetrationstests, werden hier festgelegt und dokumentiert. Es wird genau protokolliert, welches System mit welcher Methode geprüft werden soll.

Wichtig

Die Verantwortlichen müssen über mögliche Risiken aufgeklärt werden und eine Notfallliste mit allen relevanten Ansprechpartnern sollte für den Extremfall vorliegen.

2. Informationsbeschaffung & -auswertung

In dieser Phase werden möglichst alle Details über die IT-Infrastuktur gesammelt und ausgewertet. Hierbei sind unterschiedliche Methoden anwendbar und können mit Hilfe von Softwaretools sowie den Informationen der IT-Abteilung und auch der Mitarbeiter ermittelt werden. Das Ziel ist eine möglichst lückenlose Dokumentation aller Schwachstellen Ihrer Informationssysteme zu erstellen.

Wichtig

Sicherheitssysteme können auch durch unbewusste Handlungen ausgesetzt werden. Ein gutes Beispiel hierfür sind Regelungen für BYOD (Bring Your Own Device).

3. Risiko- & Schwachstellenanalyse

Die Risikoanalyse fasst die Ergebnisse aus Phase 1 und 2 zusammen und definiert die entstehenden Risiken eines Angriffs durch den Penetrationstest. Ebenso wird der Angriff auf Ihre IT-Systeme geplant.

Wichtig

Im Anschluss an die Risikobewertung werden die Ergebnisse mit allen Verantwortlichen besprochen und eventuell notwendige Anpassungen für die Vorgehensweisen vorgenommen.

s

4. Angriffssimulation

Dies ist die kritische Phase des IT-Security-Tests. Nun wird der reale Angriff auf das System durchgeführt und die identifizierten Schwachstellen systematisch überprüft, um in Ihre IT-Systeme einzudringen.

Wichtig

Die Angriffe sind real und beeinflussen die zu prüfenden Systeme meist negativ. Darunter leidet die Stabilität, Verfügbarkeit und vor allem die Performance.

5. Dokumentation & Abschlussbewertung

In der Abschlussbewertung werden die Ergebnisse des IT-Security-Tests zusammengefasst. Diese Dokumentation ist ein Bericht, welcher technische und organisatorische Schwachstellen sowie passende Gegenmaßnahmen erläutert.

Wichtig

Die Verständlichkeit der Informationen muss sich am Know-How der Verantwortlichen orientieren, damit die erforderlichen Entscheidungen fundiert und effizient getroffen werden können.

Unvergleichbar besser qualifiziert!

Business Transformation Manager

Als Master of Business Transformation Management unterstützen wir sie rechtzeitig zu identifizieren, welche Veränderungen (Transformationsprozesse) in Ihrem Unternehmen notwendig werden.

Business Transformation Management ist die Antwort der Vordenker, auf das Nachsehen des Change Managements.

Datenschutzfachkräfte

Als zertifizierte Datenschutzfachkräfte analysieren und optimieren wir Ihre Arbeitsprozesse, so dass die IT-Strukturen Ihres Unternehmens alle Vorgaben der EU Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes erfüllen.

Datenschutz ist mehr als ein notwendiges Pflichtthema. Er schützt die Menschen vor der eigenen Leichtsinnigkeit.

Information-Security Officer

Als TÜV geprüfte Information-Security Officer planen und begleiten wir die Umsetzung von Sicherheitsrichtlinien und unterstützen bei der Vorbereitung von IT-Sicherheitsaudits nach offiziellen Normen, wie z.B. ISO-27001, VDA, usw.

Informationssicherheit ist das wahrscheinlich essenziellste Pflichtthema für jedes Unternehmen.

Marketing, Webdesign & SEO

Anders als Werbe- und Internetagenturen ermitteln wir die Wachstumziele Ihres Unternehmens. Wir führen online und offline Kommunikationswege in einer Marketing Strategie zusammen.

Online-Marketing Analysen sind der effizienteste Weg alles über Ihre potentiellen Neukunden zu erfahren.