Über mikado  Leistungen  Info Center  Kontakt
 
 
Sicherheit testen - Sicherheit schaffen

Penetrationstests


Die Sicherheit Ihrer geschäftlichen Daten bestimmt maßgeblich das wirtschaftliche Bestehen Ihres Unternehmens. Der Verlust bzw. der unbefugte Zugriff auf Informationen können neben finanziellen Verlusten auch eine negative Außenbzw. Innenwirkung nach sich ziehen. Es existieren die unterschiedlichsten Angriffswege auf IT-Systeme, Netzwerke oder Anwendungen. Neben unbefugten Zugriffen aus dem Internet kann der Angriff auch aus dem internen Netz heraus erfolgen. Des Weiteren kann sich ein Angreifer durch die Täuschung Ihrer Mitarbeiter Zugang zu Ihrer IT verschaffen.

Die technische Absicherung der IT-Infrastruktur kann nur bedingt dazu beitragen, die Sicherheit Ihrer Daten zu gewährleisten. Dies liegt zum einen daran, dass keine Software ohne Fehler ist. Zum anderen muss die Arbeitsfähigkeit Ihrer Mitarbeiter gewährleistet sein, was oft zu Abstrichen im Rahmen der technischen Sicherheit führt. Um dennoch für die Sicherheit Ihrer Daten sorgen zu können, müssen Sie wissen, wo die Schwachstellen Ihrer IT-Infrastruktur liegen. So sind Sie in der Lage, gezielte Maßnahmen zur Steigerung der IT-Sicherheit umzusetzen.

Ergebnisse des Penetrationstests:
  1. Existierende bzw. potentielle Schwachstellen Ihrer IT-Infrastruktur werden identifiziert.
  2. Empfehlungen zur Steigerung der IT-Sicherheit in Ihrem Unternehmen werden vorgelegt.
  3. Eine neutrale Instanz bewertet die Sicherheit Ihrer IT-Systeme.
  4. Die übergebene Dokumentation kann als Grundlage für Sicherheits-Zertifizierungen genutzt werden.

Vorgehensweise

  • Wir stimmen mit Ihnen ab, wie wir Ihr Netzwerk angreifen sollen (Blackoder White-Box Angriffe).
  • Wir definieren den Umfang des Angriffs (Sicherheitsscan, Angriff auf Serversysteme, Angriff der Netzwerkkomponenten, Angriff der Dienste.
  • Wir penetrieren Ihr Netzwerk gemäß den getroffenen Absprachen intern oder aus dem Internet.
  • Sie erhalten eine detaillierte Dokumentation unseres Penetrations-Tests und wir präsentieren die Ergebnisse auch auf Wunsch in Ihrem Unternehmen.
  • Sie erhalten konkrete Vorschläge zur Verbesserung der Netzwerksicherheit.

Standards

Bei der Durchführung von Penetrationstest orientieren wir uns an etablierten Standards wie OSSTMM und OWASP. Beide Standards definieren Inhalte bzw. Tätigkeiten, die im Zuge eines Penetrationstest durchgeführt werden müssen.

OSSTMM (Open Source Security Testing Methodology Manual

Das OSSTMM stellt eine Methodik zur Planung, Durchführung und Dokumentation von technischen Sicherheitsüberprüfungen dar. Die erste Version wurde im Jahr 2000 vom ISECOM (Institute for Security and Open Methodologies) veröffentlicht und wird bis heute kontinuierlich weiterentwickelt. Die im OSSTMM beschriebene Methodik ist konform zu diversen Normen und Frameworks wie z.B.ISO/IEC 17799, BASEL II, SOX, IT GSHB und ITIL.

OWASP(Open Web Application Security Project)

Das OWAS-Projekt wird von Unternehmen, Bildungseinrichtungen und einer weltweiten Community umgesetzt. Diese Gruppe ist insbesondere durch die regelmäßige Veröffentlichung der Top 10 gefährlichsten Angriffe auf Webanwendungen bekannt geworden und stellt u.a. ein Framework für das Testen von Webanwendungen zur Verfügung. Das Ziel von OWASP ist Applikationssicherheit in den Fokus der Softwareentwicklung zu stellen und Methoden zu entwickeln, die Software langfristig sicherer machen. Der OWASP-Testing Guide ist ein Framework, welches das Vorgehen zur umfassenden Überprüfung von Web Applikationen beschreibt.

Leistungen

Externer Penetrationstest

Basierend auf dem abgestimmten Ansatz (White- Black-Box) und den definierten Inhalten überprüfen wir Ihre Systeme über das Internet. Dabei können sie entscheiden, ob wir einzelne Systeme oder die gesamte extern erreichbar Infrastruktur testen.

Interner Penetrationstest (technisches Audit)

Bei einem internen Penetrationstest untersuchen wir Ihre Infrastruktur aus dem internen Netz Ihres Unternehmens. Neben der physikalischen Sicherheit (Serverräume, Administrationsräume, Arbeitsplätze, etc.) untersuchen wir Ihre Serverund Client-Systeme auf bekannte Schwachstellen und verifizieren die Ergebnisse mit Hilfe von verfügbaren Exploits.

(Web-)Applikationstest

Wir penetrieren Ihre internen oder externen Webapplikationen gemäß dem OWASP Testing Framework. Auf Wunsch können auch nur einzelne Module (z.B. Data Validation Testing) bearbeitet werden.

Die Ergebnisse werden Ihnen in einem Bericht übergeben, welcher die identifizierten Schwachstellen beschreibt und Maßnahmen zur Behebung bzw. zur Steigerung der IT-Sicherheit darstellt. Erkannte Schwachstellen werden in einem schriftlichen Report dokumentiert und bezüglich deren Risikopotential bewertet.



Für weitere Informationen oder für die Erstellung eines individuellen Angebots nehmen Sie bitte Kontakt zu uns auf.




Impressum       Druckversion