IT-Sicherheitsmängel oft durch Datenverlust festgestellt
Eine gute Firewall reicht längst nicht mehr aus, um die digitalen Tore abzuriegeln. Im Rahmen einer umfangreichen IT-Sicherheitsanalyse mit Penetrationstest spüren unsere Experten Schwachstellen auf und kommunizieren alle Möglichkeiten, die digitalen Grenzen ihres Unternehmens sicherer zu machen. Gerade im Zuge eines Datenverlustest werden oft IT-Schwachstellen offengelegt. Neben Verbesserungspotenzial an der Backup-Strategie wird oftmals auch eine grundlegende IT-Sicherheitsstrategie erforderlich. Im Zuge von Managed IT-Security Services sind Pentests Bestandteil der regelmäßigen Audits.
Wir kooperieren als Trusted Advisor mit handverlesenen Partnerunternehmen zur Absicherung Ihrer IT.
IT-Schwachstellenanalyse
Eine professionelle Schwachstellenanalyse umfasst sowohl automatisierte als auch manuelle Maßnahmen. Unsere IT-Security-Spezialisten nutzen dabei die gleichen Tools und Methoden, die auch Hacker verwenden, um sich unerlaubt Zugriff auf Systeme, Netzwerke und Endgräte zu verschaffen.
Security Scan
- automatisierte Sicherheitstests mit Portscannern und Vulnerability Scannern
- manuelle Security-Scans
- Prüfung üblicher Sicherheitslücken
Penetrationstest
- manuelle Informationssammlung
- individuell auf System zugeschnitten
- Penetration durch spezielle Hacking-Tools
- empirische Schwachstellenanalyse
- Anwendung von Social-Engineering Methoden
Wir retten da, wo andere aufgeben!
Social-Engineering
Schwachstellen sind nicht immer digitaler Natur: Beim sog. Social-Engineering (z. Dt. „soziale Manipulation“) versuchen “Hacker” Zielpersonen zu beeinflussen und so an Informationen zu gelangen. Häufige Methoden sind Tailgating, Pretexting und Quid pro Quo. Oft reichen Schulungen von Mitarbeitern und Führungskräften, um das Gefahrenpotential nachhaltig zu minimieren.
- Einhaltung der Standards des Bundesamtes für Sicherheit (BSI)
- Analyse gemäß Open Web Application Security Project (OWASP)
- Tests gemäß Open Source Security Testing Methodology Manual Leitfaden
FAQ Penetrationstest & IT-Sicherheitsanalyse
Ohne die ausdrückliche, schriftliche Zustimmung dürfen und werden unsere IT-Sicherheitsexperten keinen Penetrationstest durchführen. Hintergrund: Viele der Maßnahmen stellen in Deutschland eine Straftat dar. Ihre schriftliche Zustimmung sichert uns dahingehend ab, dass im Anschluss an den Penetrationstest keine Strafverfolgung eingeleitet wird.
Die Sicherheitsanalyse spiegelt den Status Quo zum Zeitpunkt des Tests wieder. Weil Hacker immer neue Trojaner, Viren, Tools und Methoden entwickeln, empfehlen wir, den Sicherheitstest in regelmäßigen Abständen zu wiederholen. Zusätzlich empfehlen wir Ihnen die Verwendung eines Vulnerability Scanners (z. B. Nessus). Entsprechende Programme analysieren Zielsysteme automatisch auf das Vorhandensein bekannter Sicherheitslücken hin.
Bei einer umfassenden Sicherheitsanalyse mit automatischen und manuellen Methoden werden praktisch alle Teilbereiche und Endgeräte von Netzwerken und Systemen betrachtet. Dies betrifft beispielsweise die Endpoint-Security, Server-, Passwort- und E-Mail-Sicherheit. Auch Software und Internetanwendungen (z. B. Cloud-Dienste) werden auf etwaige Sicherheitslücken hin überprüft.
Sehr häufig beobachten unsere Experten, dass Empfehlungen zur Passwortsicherheit in Unternehmen nicht umfassend umgesetzt werden. Außerdem werden Software-Updates und -Patches oft nicht rechtzeitig installiert. Im Bereich Social-Engineering sind Mitarbeiter und Führungskräfte selten ausreichend sensibilisiert und geschult.
Ablauf von Ethical Hacking
- Analyse
Im ersten Schritt analysieren unsere Experten das individuelle Gefährdungspotential in Ihrem Unternehmen. Auf Basis der Analyseergebnisse werden geeignete Tools und Methoden für die Testphase gewählt. - Testphase
Bei der Durchführung simulieren unsere IT-Sicherheitsspezialisten echte Hackerangriffe durch gängige Methodik. Dazu zählen unter anderem: Phishing, Pharming, Keylogging, Denial-of-Service-Attacken (DoS),Social-Engineering sowie der Einsatz von Exploits, Deep-Packet-Inspection (DPI) und SQL-Injections. - Reporting
Im anschließenden Report erhalten Sie alle Testergebnisse sowie Empfehlungen für geeignete Schutzmaßnahmen. Gerne setzen wir diese in Absprache mit Ihnen um.
