IT Security Assessment - Wie sicher sind Ihre Systeme?

Je komplexer ein System, desto schwieriger ist zu erkennen, wo überhaupt Sicherheitsprobleme auftreten können. Threat Modeling ist ein strukturierter Prozess, um Software und angrenzende Systeme zu analysieren und potenzielle Bedrohungen zu identifizieren. Der Ansatz ist ein idealer Ausgangspunkt, um tiefergehende Sicherheitsanalysen zu priorisieren und effektiver zu gestalten. 

Wir führen Threat Modelings in interdisziplinären Teams durch, um ein System aus möglichst vielen unterschiedlichen Perspektiven zu bewerten. Dabei arbeiten wir nach dem Prinzip „Think like a Hacker“, sodass Sie ein umfassendes und realistisches Bild Ihrer Sicherheitslage gewinnen.

Wie läuft ein Threat Modeling mit uns ab? 

1. Identifikation von Bedrohungen
2. Überführung ins Risiko-Management
3. Kategorisieren von Schwachstellen 
4. Erstellen eines Bedrohungsprofils
5. Einleiten von Sicherheitsmaßnahmen 

Jede Software ist anfällig für Bugs und Sicherheitslücken. Nach der Installation ist die Zahl möglicher Einfallstore für Cyberkriminelle meist noch gering, in der Regel nimmt sie aber im Laufe der Zeit zu, selbst wenn die Anwendung nicht verändert wird.

Beim Vulnerability Scanning werden solche Schwachstellen gesucht und gemeldet. Die Prüfung erfolgt im Idealfall automatisiert und bereits während der Entwicklung. Auf diese Weise können Probleme bereits vor dem Produktiveinsatz behoben und Produktivitätseinbußen vermieden werden. 

Attack Surface Management ist ein proaktiver Ansatz, der die Angriffsflächen eines Systems oder einer Anwendung minimiert. Dabei werden zunächst potenzielle Angriffspunkte identifiziert, auf ihr Gefährdungspotenzial bewertet und Schutzmaßnahmen ergriffen. Anschließend werden Technologien und Sicherheitsrichtlinien in regelmäßigen Intervallen überprüft, um das Sicherheitsniveau zu halten. 

Für IT-Verantwortliche ist es meist schwierig, einen vollständigen Überblick über externe Angriffsflächen zu gewinnen. Mithilfe unserer Expertise und geeigneten Tools liefern wir eine objektive Risikoeinschätzung und installieren ein Monitoring-System, das Administratoren sofort informiert, sollten neue Sicherheitsschwachstellen auftreten.

Viele Risiken ergeben sich aus dem Code einzelner Anwendungen und lassen sich bei gründlicher Code-Analyse leicht erkennen, ehe Schaden entstanden ist. Wir führen Code Reviews sowohl im Entwicklungsprozess als auch im Produktivbetrieb durch. Dabei greifen wir, je nach Einsatzgebiet, auf unterschiedliche Methoden zurück. 

Secure Code Analysis: 
Wir setzen statische Analysen zusammen mit Dependency-Analysen ein, um Schwachstellen einer Software zu identifizieren, zu beheben und damit das Risiko von Exploits und Angriffen drastisch zu minimieren. 

Datenflussanalysen:
Wir simulieren, das Eindringen von Angriffsvektoren in Ihre Software und prüfen, ob die Software diese Angriffe erkennt und unschädlich macht, bevor sie Schaden anrichten. 

Am besten finden Sie Schwachstellen in Software bereits während der Entwicklung und folgen dem sogenannten Secure Software Development Lifecycle. Diese Prüfung auf Risiken wird dabei automatisiert, optimalerweise schon in der Build Pipeline durchgeführt.

Wir unterstützen Sie bei der Planung und Konzeption eines SSDL und begleiten Ihr Team bei der erfolgreichen Umsetzung – von der Entwicklung eines Rollen- und Berechtigungskonzepts über die Ausarbeitung einer Sicherheitsarchitektur bis zum Testing und Qualitätsmanagement. 

Angriff ist die beste Verteidigung! Um die Sicherheit Ihrer IT-Systemen einzuschätzen, nehmen wir die Perspektive des Angreifers ein. Denn nur wer die Schwachstellen kennt, kann sie auch verteidigen. Das Mittel der Wahl hierfür sind Penetrationstests, kurz Pen-Tests. 

Bei Penetration Tests versucht ein autorisierter Sicherheitsexperte in einem strukturierten Prozess, Schwachstellen in einem System zu identifizieren, diese auszunutzen und zu dokumentieren. Er simuliert reale Angriffsszenarien, um die Sicherheitsmaßnahmen eines Unternehmens auf die Probe zu stellen. Unsere Cybersecurity-Experten arbeiten dabei mit den gleichen Techniken und Tools, die auch Hacker verwenden, damit Sie eine realistisches Bild Ihrer IT-Sicherheitslage erhalten.

Ablauf eines Penetrationstests

Wir organisieren Pen-Tests in der Regel in fünf Phasen. 

1. Pre Arrangement
   In der Vorbereitungsphase legen wir in Absprache mit Ihnen Ziele und Umfang des Penetrationstests fest. 
2. Recon
   Anschließend sammeln wir zunächst öffentliche Informationen, die über Suchmaschinen und Verzeichnisdienste ersichtlich sind – genauso, wie es ein Hacker auch tun würde. 
3. Discovery
   In der Discovery-Phase nehmen wir das erste Mal Kontakt zum Zielsystem auf – mithilfe von Scans des Systems und Erkundung zugänglicher Schnittstellen und verwendeter Protokolle.
4. Vulnerability Analysis
   Wir analysieren das System und entscheiden, welche Angriffsmöglichkeiten sich bieten. Ziel ist nicht nur ein erfolgreicher Zugriff, sondern eine möglichst vollständige Analyse der gesamten Sicherheit des Systems. Es werden alle Parameter einer effektiven Verteidigung geprüft, insbesondere Verfügbarkeit, Integrität und Vertraulichkeit von Daten. 
5. Exploit
   Beim eigentlichen Angriff versuchen unsere Tester, die identifizierten Schwachstellen auszunutzen, um in das System einzudringen. Sie simulieren verschiedene Angriffsszenarien und arbeiten sich sukzessive zu Schwachstellen in tieferen Verteidigungsschichten vor, über die Angreifer das System im Worst case vollständig kompromittieren können.

Nach Abschluss des Penetrationstests erstellen wir einen detaillierten Bericht. Sie erhalten eine Zusammenfassung der ausgeführten Tests, identifizierter Schwachstellen und deren potenzieller Auswirkungen. Außerdem zeigen wir Ihnen auf, wie Sie die Schwachstellen abmildern oder ganz beseitigen können, um ein hohes Sicherheitsniveau zu erreichen. 

Ein simulierter Hackerangriff, der Ihre IT-Sicherheit maximal herausfordert: Das Red Team Assessment ist eine Erweiterung des Pen-Tests und stellt Ihre Sicherheitssysteme und -maßnahmen unternehmensweit auf die Probe. 

Für Unternehmen der kritischen Infrastruktur, hochregulierte Branchen und besonders schutzwürdige Ziele in Unternehmen jeder Branche ist das Red Team Assessment der Sicherheitscheck der Wahl. 

Wie läuft das Assessment ab?

Unser Red Team schlüpft in die Rolle von potenziellen Angreifern, um sowohl Ihre technischen als auch menschlichen Verteidigungsmaßnahmen auf die Probe zu stellen. Wir nutzen modernste Methoden, um zu versuchen, die Sicherheits- und Verteidigungsmaßnahmen Ihrer Organisation zu umgehen. Ihre Mitarbeiter bilden ein Blue Team, das versucht, den Angriff abzuwehren bzw. den Schaden gering zu halten. Auf diese Weise werden nicht nur die technischen Detektions- und Abwehrmaßnahmen auf ihre Effektivität geprüft. Sie sehen auch, ob Ihre Mitarbeitenden Notfallpläne wie geplant aktivieren und ausführen.  

 Das Red Team Assessment ist wesentlich umfangreicher, intensiver und dynamischer als ein Pen-Test, der nach einem standardisierten Kriterienkatalog prüft. Lassen Sie sich beraten, ob eine Investition in ein Red Team Szenario für Ihre Unternehmenssituation angeraten ist.