Sicherheitsüberprüfungen, Audits bzw. Penetrationstests

Kaum eine Sicherheitsüberprüfung ist beim näheren Hinsehen wie eine andere – dies macht es nicht selten spannend.

In der Angebotsphase werden Vorgespräche geführt und am besten ein näherer Blick auf die zu überprüfende Umgebung geworfen. Daraus resultiert dann unser Angebot mit einer Detailplanung. In der Regel ist dies ein Schätzpreis, der meistens so stimmt. So wissen Sie, welche Arbeitspositionen und welche Untersuchungstiefe Sie erwarten können und werden nicht mit einer geringen Anzahl von Beratertagen gelockt, die dann später revidiert werden muss.

Wir bieten Sicherheitsüberprüfungen für folgende Umgebungen an:

  • Jedwede Art von Webanwendungen
  • Unix- und Windows-Systeme
  • Mobile Anwendungen (Android/iOS)
  • Embedded Linux
  • Netzwerkinfrastruktur

Typischerweise können sie bei einer Sicherheitsüberprüfung folgendes erwarten:

  • Analyse der derzeitigen technischen Schwachstellen
  • Aufdecken konzeptioneller und administrativer Schwachpunkte
  • Optional: Penetration, d.h. simulierter Eindringversuch

Grundsätzlich ist für uns ist eine Sicherheitsüberprüfung egal in welcher Tiefe eine Beratungsleistung. Wir überlassen nichts "dem Tool", sondern unserer langjährigen Erfahrung und Expertenwissen, dem Mitdenken, kritischen Augen und der Kreativität. Vollautomatisierte Scans bieten wir auch an, allerdings sollte dies eher bei einer Masse von Applikationen eingesetzt oder als Lackmustest verstanden werden – automatisisert findet man bei einer Webapplikation je nach Tool und Lücke 20-60% der Sicherheitslücken. Eine Risikoabschätzung im Kontext oder eine Verifizierung muss wieder ein Mensch durchführen. Wir arbeiten mit einer Reihe von Werkzeugen. Dies sind freie Tools, wenige kommerzielle Programme, die als verlängerter Arm eingesetzt werden und viele im Laufe der Zeit selbstgeschriebene Helferlein, die entweder eigenständige Aufgaben erledigen (wie testssl.sh oder andere einzelne abzuprüfende Punkte eines Testplans automatisieren. Die Vorgehensweise orientiert sich am OWASP Testing Guide (Webapplikationen) sowie am Durchführungskonzept für Penetrationstests vom BSI.
  Nach Abschluss bekommen Sie von uns einen individuellen, umfassenden, klar strukturierten und manuell angefertigten Report

  • mit aufgedeckten technischen, konzeptionellen u.a. Schwachstellen
  • die nach technischem Risiko priorisiert sind
  • inklusive negativer Befunde, also Tests ohne identifiziertes Problem
  • ohne falsch-positive Befunde, da sorgsam überprüft und ausgesiebt
  • mit eindeutigen Klassifizierungen der Schwachstellen
  • inklusive Lösungsvorschläge zur Beseitigung identifizierter Sicherheitsprobleme

Der manuell angefertigte Report ist zweiteilig und wendet sich sowohl ans Management (Executive Summary: Risiken fürs Geschäft) und im Technical Summary natürlich an die technischen Mitarbeiter: Technische Details mit Erklärung des Befunds liefern Ihnen ein komplettes Bild über den Status Quo und somit die optimalen Voraussetzungen, um Ihr Sicherheitsniveau zu verbessern. Optional können wir die Befunde gerne im Rahmen einer Ergebnispräsentation mit den Technikern und oder dem Management diskutieren.

Gerne beantworten wir Ihnen weitere Fragen, oder kontaktieren Sie uns einfach für ein Angebot!

Seit Kurzem bieten wir für Sie auch Security-Monitoring an. Kontaktieren Sie uns gerne.