Security Quick Check - wie sicher ist meine IT?

1. Schritt: Security Quick Check - Durchführung

Kurzer Check auf die öffentlich erreichbaren Systeme.
In nur wenigen Tagen erhalten Sie eine erste Einschätzung Ihres Sicherheitsniveaus und die Ergebniss des Security Quick Checks:

  • Überblick über öffentlich zugängliche Systeme:
    Sie bekommen eine Auflistung von Systemen bzw.  Anwendungen, die unsere Experten im Internet  zu Ihrem Unternehmen entdeckt haben. Es kommt sehr oft vor, dass Systeme öffentlich zugänglich sind, die längst in Vergessenheit geraten sind und ein Einfallstor für Angriffe darstellen.
  • Erste Einschätzung des Sicherheitsniveaus:
    Die Einschätzung des aktuellen Sicherheitsniveaus ist hilfreich, um die nächsten erforderlichen Schritte ableiten zu können.
  • Identifizierte Sicherheitslücken:
    Oft werden schon während der ersten Analysephase Sicherheitslücken entdeckt. Dies können Konfigurationsfehler sein,  veraltete Systeme oder sogar Kundendaten, die öffentlich erreichbar im Internet stehen! Kritische Sicherheitslücken, die wir finden, werden wir Ihnen sofort melden.

2. Schritt:  Security Quick Check - Empfehlungen

In einem kurzem Review bei Ihnen vor Ort oder telefonisch erläutern wir unsere Ergebnisse. Zusätzlich werden die Ergebnisse in einem Bericht, den wir Ihnen zur Verfügung stellen, festgehalten.
Wir unterscheiden dabei grob in drei Kategorien:

  • Keine Sicherheitslücken identifiziert
  • Keine kritischen Sicherheitslücken identifiziert
  • Kritische Sicherheitslücken identifiziert

Basierend auf Ihrem Ergebnis und dem ermittelten Sicherheitsniveau empfehlen  wir die nächsten Schritte.
Sie sind nicht verpflichtet weitere Tests durchzuführen.

3. Schritt:  Beratung

Basierend auf Ihrem Security Quick Check Ergebnis empfehlen wir Ihnen folgende Vorgehensweisen:

  • Keine Securitylücken identifiziert:
    Wenn von uns keine Sicherheitslücken identifiziert wurden, können Sie sich zunächst freuen, aber noch nicht in Sicherheit wiegen. Der Security Quick Check bietet eine erste kurze Analyse Ihrer Systeme an. Weitere Security-Strategien sind  in jedem Fall zu empfehlen.
  • Keine kritischen Sicherheitslücken identifiziert:
    Wurden nur wenige unkritische Sicherheitslücken identifiziert, empfehlen wir unseren Security Expert Check . Innerhalb eines Workshoptages werden wir gemeinsam mit Ihrem Team Empfehlungen erarbeiten, wie Sie Ihr Sicherheitsniveau steigern können.
  • Kritischen Sicherheitslücken identifiziert:
    Wurden kritische Sicherheitslücken identifiziert, müssen diese schnell behoben werden. In unserem Bericht ist eine erste Empfehlung für diese Sicherheitslücken enthalten. Gerne stehen wir für weitere Beratung zur Verfügung, um kritische Sicherheitslücken in Zukunft zu vermeiden.

4. Schritt:  Vulnerabilitiv (Sicherheitslücken) Assessment

Bei unserem Security Quick Check werden bei weitem nicht alle Sicherheitslücken identifiziert. Durch die Informationen des Quick Checks können wir aber abschätzen, wie hoch der Aufwand für einen vollständigen Test all Ihrer Systeme ist.

Vorgehen des Vulnerability Assessment:

  • Systeme identifizieren:
    Bei jedem Start eines Vulnerability Assessment werden alle Systeme identifiziert die, aus unserer Sicht, Ihrem Unternehmen zugehörig sind.
  • Abgleichen der Daten:
    Die von uns identifizierten Systeme werden mit Ihnen abgeglichen und abgesprochen. Oft kommen in diesem Schritt schon veraltete Systeme zum Vorschein, die durch Abschalten nicht weiter berücksichtig werden müssen.
  • Aktiver Vulnerability Scan:
    Auf die Liste der abgeglichenen Systeme werden von uns aktive Security Tests durchgeführt. Überwiegend kommen dabei automatisierte Tests mit Hilfe von Open Source und kommerzieller Software zum Einsatz.
  • Verifizierung und Bewertung:
    Anders als bei einem reinen Vulnerability Scan werden von uns, wenn möglich, die identifizierten Sicherheitslücken verifiziert und individuell für Sie bewertet.
  • Bericht:
    Mit unserem Bericht erhalten Sie ein Management Summary inklusive Bewertung des aktuellen Sicherheitsniveaus. Zusätzlich erhalten Sie zu jeder identifizierten Sicherheitslücke eine Beschreibung sowie unsere Mitigations-Empfehlungen.

Mit einem Vulnerability Assessment erhalten Sie eine Bewertung des aktuellen Sicherheitsniveaus. Wir empfehlen, in regelmäßigen Abständen Security Tests durchzuführen, um das Sicherheitsniveau zu halten.

Sie erhalten dadurch einen bemerkbar steigenden Schutz Ihrer Systeme.

5. Penetration Test

Penetration Test empfehlen wir für Systeme mit kritischen und sensiblen Daten. Diese müssen besonders geschützt werden. Automatisierte Security Tests, die bekannte Sicherheitslücken identifizieren, reichen hier nicht aus.

Mit unserer Kombination aus überwiegend manuellen und angepassten automatisierten Tests, identifizieren wir auch unbekannte Konfiguration und Programmierfehler.

Vorgehen des Penetration-Tests:

  • Planung:
    Jeder Penetration Test ist individuell. Für unterschiedliche Szenarien gibt es Vorgehen, die von uns empfohlen werden können. Von Whitebox - bis Blackbox Test, Server und Applikationen können wir Ihnen Experten auf allen Gebieten zur Verfügung stellen.
  • Durchführung:
    Die Durchführung erfolgt von unseren erfahrenen Experten. Als Grundlage bauen die Tests auf anerkannten Security Standards auf, wie zum Beispiel dem OWASP Testing Guide oder dem Penetration Testing Execution Standard.
  • Bericht:
    Mit unsrem Bericht erhalten Sie ein Management Summary inklusive Bewertung des Sicherheitsniveaus. Zusätzlich erhalten Sie zu jeder identifizierten Sicherheitslücke eine Beschreibung sowie unsere Mitigations-Empfehlungen.
  • Nachbereitung:
    Wir sehen unsere Berichte als Input. Wir versuchen, mit Ihnen gemeinsam Lösungen zu finden, um die Erfahrungen aus dem Penetrationtest in automatisierte Tests umzusetzen. Diese können dann schon während der Entwicklung oder in der Designphase eines Produkts eingesetzt werden.

    Haben Sie Interesse an unseren Security Leistungen oder weitere Fragen? Kontaktieren Sie uns gerne per E-Mail.

imbus macht Testen einfach!

Tipp: Buchen Sie den imbus Expert Day Security und Sie erhalten eine Risiko-Bewertung und Handlungsempfehlungen kompakt in einem nur halbtägigen Workshop!

NEU: Nehmen Sie an einem der Security Test Webinare von imbus teil. Die Termine und die Anmeldung zu den Security Testing Days finden Sie hier.

Haben Sie Interesse an unseren Security Leistungen oder weitere Fragen? 

Anfrage Security Quick Check. 

Anmeldung imbus Newsletter

Wenn Sie keine Neuigkeiten rund um Softwaretest und Softwarequalitätssicherung verpassen wollen, abonnieren Sie den imbus-Newsletter unter https://www.imbus.de/newsletter.

Zum Newsletter anmelden

Kontakt ein-/ausblenden

Ihr Ansprechpartner bei imbus

Herr Tobias Esser