Wie sieht das Sicherheitskonzept Ihres Unternehmens aus?!

Hält es allen Bedrohungen oder Anforderungen von innen und außen stand?

Gemeinsam mit Ihnen analysieren wir diese Aspekte und finden die richtigen Antworten, denn frühzeitige Prävention ist besser als aufwendige Schadensbekämpfung.

Sicherheitsinteressen sind nicht erst seit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zu Managementinteressen avanciert.

Erkennen Sie deshalb mit Hilfe eines Security Assessments frühzeitig die Sicherheitslücken Ihrer Systemarchitektur und lassen sich von uns beraten, wie Sie am effektivsten diese Lücken schließen.

Zu jeder gefundenen Sicherheitslücke erhalten Sie eine Risikobewertung und Empfehlungen für deren Beseitigung.

Modular aufgebaute Sicherheitsaudits

Unsere IT-Sicherheits-Überprüfungen sind modular aufgebaut und umfassen - je nach Leistungskategorie - die Security Policy, das Netzwerk mit unterschiedlichsten Komponenten und Systemplattformen, die Sicherheitsarchitektur sowie auf Wunsch auch Logfiles und Konfigurationsdaten Ihrer vorhandenen Sicherheitssysteme - oder auch das Mitarbeiterverhalten durch Social Engineering.

Vorgehensmodell

Anhand einer standardisierten, vielfach erprobten Vorgehensweise überprüfen wir Ihre IT-Sicherheit objektiv und neutral auf Basis eines mehrere Phasen umfassenden Modells.

Die Audits werden von unseren Security-Experten sowohl mittels hocheffizienter Tools als auch manueller Techniken durchgeführt. Wir recherchieren ständig wesentliche Foren, Archive und Newsgroups hinsichtlich Sicherheitslücken und Angriffsmöglichkeiten - zudem bewerten und klassifizieren wir alle gefundenen Schwachstellen übersichtlich in einem Technik- und Management Report.

Analyseeffizienz durch Kombination von Tools und Techniken

Die Sicherheitsanalysen werden von unseren Security-Experten sowohl mittels hocheffizienter Tools als auch manueller Techniken durchgeführt. Sie beinhalten alle erdenklichen Vorgänge des automatisierten Testens und stellen darüber hinaus eine Vielzahl fortgeschrittener Methoden zur verbesserten IT-Sicherheitsanalyse bereit.

Automatisierte Tests können eine bekannte Sicherheitslücke identifizieren. Der entscheidende Unterschied liegt aber im gezielten Ausnutzen der Lücke "von Hand" durch ein hochqualifiziertes Prüfungsteam. Nur so kann das von der Lücke tatsächlich ausgehende Gefahrenpotential eindeutig erkannt, qualifiziert und nachfolgend beseitigt werden.

Sobald ein aktives System penetriert wurde, werden weitere Analysen von dem infiltrierten System und dessen Vertrauensstellung zu anderen Systemen vorgenommen. Dadurch werden eventuell weitere Sicherheitslücken identifiziert und objektiv bewertet, die ein automatisiertes Tool nicht wahrgenommen hätte. Durch das manuelle Testen werden tiefgreifendere Audits ermöglicht, die den von tatsächlichen Angreifern verwendeten Methoden entsprechen.

Application Pentesting

Neben Penetrationstests für Netzwerke bieten wir Ihnen auch Sicherheitstests von spezifischen Applikationen an, beispielsweise für Mail-Plattformen oder E-Trading.

Mit Application Pentesting werden mögliche Sicherheitsmängel und Risiken von öffentlich zugänglichen Anwendungen identifiziert und objektiv bewertet. Die einzelnen Tests werden auf die spezifische Implementierung des Kunden angepasst.

Ein E-Trading Services Audit kann u. a. die Prüfung von Authentisierungs- und Autorisierungsmechanismen, Input-/Outputmethoden, Formularen, Skripten, Datenbankanbindungen, Kundensoftware und Interaktionen zwischen diesen Applikationen beinhalten.

Umfassende Ergebnisdokumentation

Die Ergebnisse der IT-Sicherheitsaudits werden detailliert in einem Sicherheitsreport dokumentiert.

Der Report benennt alle identifizierten Sicherheitsmängel und zeigt Ihnen explizit die daraus resultierenden Risiken auf.

Untergliedert in Executive Summary und Technical Report werden zum einen der Handlungsbedarf und die erforderlichen Maßnahmen für die Geschäftsleitung sowie für das IT-Management verständlich und übersichtlich zusammengefasst; andererseits werden für Ihre Systemingenieure alle Sicherheitslücken mit detaillierten technischen Angaben beschrieben.

Optional bieten wir Ihnen zudem einen Workshop

Pentesting vs. Vulnerability & Risk Management

Pentesting kann professionelles Schwachstellen- und Risikomanagement nicht adäquat ersetzen.

Ein Pentest - einmal pro Jahr - hat nach spätestens 6 Monaten seine Aussagekraft und damit Nachhaltigkeit verloren, weil gefundene und behobene Schwachstellen durch neue ersetzt wurden.

Weitere Gründe nennen wir Ihnen gern.

Informieren Sie sich hier über unsere Leistungen hinsichtlich Vulnerability & Risk Management

Wir freuen uns auf Ihre Kontaktaufnahme.

Nutzen Sie bitte nachfolgendes Kontaktformular