Beratung IT-Sicherheit Erfurt

Vertrauenswürdige Experten für IT-Sicherheit Erfurt

Unsere zertifizierten IT-Sicherheitsexperten prüfen Ihre IT-Systeme aus dem Blickwinkel eines Angreifers und Hackers. Ein IT-Security Audit ist einer der effektivsten Wege die eigene IT-Sicherheit gründlich zu prüfen und die aufgedeckten Sicherheitslücken zu beseitigen.

  • Zertifizierte IT-Sicherheitsexperten (OSCP, OSCE, GPEN)
  • IT-Security Audits auf Netzwerke, Web-Anwendungen, APIs und IT-Systeme
  • Sicherheitsaudits auf Web-Anwendungen gemäß OWASP Web Security Testing Guide und OWASP TOP-10
  • Ausführlicher Bericht mit klarem Maßnahmenplan
  • Transparent & fair | Festpreisgarantie
  • Schützen Sie Kunden, Partner und Angestellte
  • Kostenlose Beratung
  • Herstellerunabhängige IT-Security Experten für Erfurt
  • Durchführung gemäß Standards des BSI, PTES
  • Durchführung von IT-Sicherheitsaudits
Bild eines IT-Security Auditors für Erfurt

(0800) 40 40 776

Wir sind telefonisch, per E-Mail oder über unser Kontaktformular erreichbar.

Ihre Vorteile auf einen Blick

Mit unseren Penetration-Tests und Sicherheitsaudits identifiziert Redlings zuverlässig Sicherheitslücken, die unsere Kunden gefährden. Profitieren Sie von unseren praxiserfahrenen Penetration-Testern.

Zertifizierte
Spezialisten für IT-Security

Kostenlose
Erstberatung

Herstellerunabhängig
und individuell


Unsere IT-Security Experten

Über viele Jahre hinweg haben unsere Sicherheitsaudit-Experten Erfahrung in der Ausführung von technischen Sicherheitsaudits und IT-Security Audits gesammelt. Fortlaufende Trainings und Qualifizierungen stellen sicher, dass sie immer auf dem neuesten Stand der Angriffstechnik sind.

Wer wir sind

Redlings ist ein auf die Durchführung von IT-Security Audit spezialisertes Unternehmen mit Sitz in Deutschland.

Stellen Sie sicher, dass Ihre Verteidigung aktuellen Bedrohungen gewachsen ist. Mit unseren manuellen Deep-Dive-Engagements identifizieren wir Sicherheitsschwachstellen welche Kunden gefährden. Mit unserem Serviceangebot "Continuous Collaborative Testing" verfolgen wir einen langfristigen Sicherheitsansatz und arbeiten mit unseren Kunden zusammen, um sicherzustellen, dass sich ihre Sicherheitslage stetig verbessert.

Gründe

für einen

IT-Security Audit

Jeder Sicherheitsaudit von Redlings unterliegt strengen Richtlinien und ethischen Grundsätzen.

1

Evidenzbasierte Investition

Investitionen in Sicherheitsmaßnahmen sollten immer mit konkreten Nachweisen unterstützt werden, um den Wert für das Unternehmen zu belegen. Wenn Sie Ihrem Führungsteam den Wert einer Investition zeigen, können Sie Ihren Bedarf nach mehr Ressourcen begründen.

2

Steigerung derEffektivität vorhandener Sicherheits­technologien

Häufig werden von unseren IT-Security Auditern nicht genutzte Potentiale von vorhandenen Sicherheits-Technologien aufgedeckt. Die Leistungsfähigkeit der Sicherheitssysteme kann damit oft signifikant erhöht werden.

3

Priorisierung von IT-Risiken

Mit einem IT-Security Audit können Sie feststellen, welche vorhandenen Sicherheitslücken die größten Auswirkungen auf Ihre Web-Applikationn und Ihr Netzwerk haben. Setzten Sie damit Ihre Ressourcen und Zeit effizienter ein.

4

Konsequenzen eines IT-Sicherheitsvorfalls verstehen

IT-Security Audits geben Ihnen eine ungeschminkte Rückmeldung über mögliche Konsequenzen eines IT-Sicherheitsvorfalls wie beispielsweise eines Ransomware-Angriffs.

5

Schützen Sie Ihre wichtigsten Daten und das Vertrauen Ihrer Kunden

Unternehmens- und Kundendaten gelten als Lebenselixier eines Unternehmens und können in den falschen Händen äußerst schädlich sein. Mit einem Sicherheitsaudit kann Ihr Unternehmen die Datenbestände besser schützen und damit möglichst auch Angriffe verhindern.

6

Aufdecken von Sicherheitslücken

IT-Security Audits greifen Ihr Netzwerk und Ihre Web-Applikationen wie ein Hacker an - allerdings ohne Schaden anzurichten. Damit könenn Sie Sicherheitslücken vor den Angreifern finden und beheben.

7

Weiterbildung des internen IT-Teams

Die Ergebnisse eines IT-Security Audits können Ihren Entwicklern und Administratoren helfen, weniger Fehler zu machen. Ein Sicherheitsaudit erkennt Fehlkonfigurationen, Programmierfehler und andere Schwachstellen.

8

Erfüllung von COMPLIANCE-Anforderungen

Vorschriften wie PCI-DSS, aber auch ISO 27001/2 u.a. können regelmäßige Penetrations-Tests erfordern. Auch manche vertragliche Regelung kann eine solche Anforderung enthalten.

9

Umsetzung der Sicherheitsleitlinie

Fehlen wichtige Patches oder werden Anwendungen und Betriebssysteme nicht gehärtet? Wenn Ihre IT-Sicherheitsexperten zeigen können, dass Applikationen und Netzwerkbereiche mit guter Umsetzung weniger Sicherheitslücken aufweisen, motiviert dies die Sicherheitsleitlinien besser zu befolgen.

Vorgehen bei einem IT-Security Audit

1

Kick-Off

Der Projektablauf wird im Rahmen des gemeinsamen Kick-Off Gespräches geplant und vorbereitet. Unter anderem folgen dabei Abstimmungen zu den folgenden Punkten:

  • Abstimmung der Kontaktdaten
  • Testzeitraum mit Startdatum und Enddatum
  • Review des genauen Umgangs des Sicherheitsaudits
  • Technische Präsentation durch den Kunden (Testsubjekt)
  • Verfügbarmachung von technischen Details (z.B. Dokumentation der Komponenten, Zugänge)
  • Absprache zur Umgebung des Sicherheitsaudit und der Methodik
2

Durchführung des Sicherheitsaudits

Nun erfolgt die eigentliche Sicherheitsprüfung. Sie besteht dabei üblicherweise aus einem (oder mehreren) in Auftrag gegebenen Prüfmodulen.

  • Interner NetzwerkIT-Security Audit
  • Externer NetzwerkIT-Security Audit
  • Web Application & Web-API IT-Security Audit
  • Wifi IT-Security Audit
  • Social Engineering
  • IoT/Hardware Security Assessment
  • Cloud Penetration Testing
  • Red Team
3

Report

Die Testergebnisse werden in einem Bericht zusammengetragen. Darin enthalten sind unter anderen die nachfolgend aufgeführten Abschnitte:

  • Kurzfassung der Resultate und Darstellunge der Rahmenparameter
  • Liste und Darstellung der aufgedeckten Sicherheitsprobleme mit Einschätzung des Risikos sowie Vorschlägen zur Korrektur
  • Detaillierte Dokumentation der aufgedeckten Sicherheitslücken
4

Abschlussgespräch

Die Resultate des durchgeführten Sicherheitsaudits werden in einem Abschlussgespräch besprochen. Dabei ist uns bewusst, dass die gefundenen Sicherheitsprobleme nur ein erster Schritt sind. Konkrete Folgemaßnahmen zur Erhöhung der Sicherheit sind zu definieren und auch umzusetzten.

Lassen Sie sich kostenlos beraten!

Prüfen Sie mit einem IT-Security Audit welchen Schaden Hacker bei Ihnen anrichten können.

Als IT-Sicherheitsexperten und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Erfurt, Deutschland, Europa und weltweit durchführen.

So erreichen Sie uns

  • Redlings Erfurt
    99089 Erfurt
  • (0800) 40 40 776
  • vertrieb@redlings.com
  • Werktags von 8 Uhr - 18 Uhr
  • In Notfällen 24/7

Häufige Fragen

Was ist ein IT-Security Audit?

Ein IT-Security Audit, kurz "Sicherheitsaudit", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.

Was ist der Unterschied zwischen einem Penetration Test und einem Schwachstellen-Scan?

Sowohl IT-Security Audits als auch automatisierte Schwachstellenscans sind nützliche Werkzeuge zum Erkennen von technischen Risiken und Sicherheitslücken. Obwohl es sich um unterschiedliche Testmethoden handelt, ergänzen sie sich und sollten beide durchgeführt werden.

Ein Schwachstellen-Scan ist eine automatisierte, kostengünstige Methode zum Testen gängiger Netzwerk- und Server-Schwachstellen. Dies wird manchmal auch als automatisierter Pen-Test bezeichnet. Es gibt viele automatisierte Tools, und die meisten lassen sich vom Endbenutzer leicht so konfigurieren, dass sie zeitgesteuert nach veröffentlichten Schwachstellen scannen. Ein automatisierter Schwachstellen-Scan ist zwar sehr effizient und kostengünstig, wenn es darum geht, allgemeine Schwachstellen wie fehlende Patches, Fehlkonfigurationen von Diensten und andere bekannte Schwachstellen zu identifizieren, aber sie sind nicht so genau, wenn es darum geht, die Richtigkeit von Schwachstellen zu überprüfen, und sie bestimmen auch nicht vollständig die Auswirkungen durch Ausnutzung. Automatisierte Scanner sind anfälliger für die Meldung von False Positives (falsch gemeldete Schwachstellen) und False Negatives (nicht identifizierte Schwachstellen, insbesondere solche, die Webanwendungen betreffen). Automatisiertes Schwachstellen-Scanning wird durch den Payment Card Industry Data Security Standard (PCI DSS) vorgeschrieben.
Bekannte Schwachstellen-Scanner sind beispielweise und OpenVAS. Beispiele für Scanner, welche auf das Finden von Schwachstellen von Webapplikationen spezialisiert sind Netsparker Security Scanner und Acunetix Vulnerability Scanner.

Ein IT-Security Audit konzentriert sich auf die Umgebung als Ganzes. In vielerlei Hinsicht knüpft er dort an, wo die Scanner aufhören, um eine umfassende Analyse der gesamten Sicherheitslage zu liefern. Obwohl Skripte und Tools von einem IT-Security Auditer eingesetzt werden, ist ihre Verwendung weitgehend auf Erkundungsaktivitäten beschränkt. Der Großteil eines IT-Security Audits ist von Natur aus manuell. Ein IT-Security Audit identifiziert Schwachstellen, die Scanner nicht erkennen können, wie z. B. Schwachstellen in drahtlosen Systemen, Schwachstellen in Webanwendungen und noch nicht veröffentlichte Schwachstellen. Darüber hinaus beinhaltet ein IT-Security Audit Versuche, Schwachstellen sicher auszunutzen, Privilegien zu erweitern und letztendlich zu demonstrieren, wie ein Angreifer Zugang zu sensiblen Informationsbeständen erlangen könnte. Bei IT-Security Audits werden häufig auch unternehmensspezifische "Testszenarien" angewendet.

IT-Security Audits und automatisierte Schwachstellen-Scans erfüllen beide einen Zweck und beide Arten von Tests gehören in ein umfassendes Programm zur Schwachstellenbewertung. Automatisierte Schwachstellen-Scans sollten in regelmäßigen Abständen, idealerweise mindestens wöchentlich, durchgeführt werden, während IT-Security Audits für das Netzwerk vierteljährlich oder bei geplanten signifikanten Änderungen an der Umgebung geplant werden sollten.

Was ist ein Black-Box Test?

Beim Black-Box-Testing versucht der IT-Sicherheitsexperten, das Ziel ohne Vorkenntnisse über Adressen, Systeme, Anwendungen und Prozesse anzugreifen. Das Hauptargument für diesen Ansatz ist, dass dieses Szenario der realen Welt am nächsten kommt und somit ein reales Angriffsszenario simuliert. Dies ist jedoch nur zum Teil richtig, denn ein echter Angreifer hat nicht nur eine oder zwei Wochen Zeit wie ein beauftragter IT-Sicherheitsexperten, sondern hat die gesamte Zeit, auch Monate oder Jahre, um den Angriff vorzubereiten. In der Tat haben einige der erfolgreichsten Hackerangriffe über einen Zeitraum von bis zu 12 Monaten stattgefunden.
Diese Voreingenommenheit bedeutet, dass Black-Box-Tests oft nicht aussagekräftig sind und dem Kunden ein falsches Gefühl von Sicherheit vermitteln. Redlings empfiehlt Black-Box-Tests daher nur in Ausnahmefällen. Auch das Argument, dass Angreifer einen Black-Box Ansatz umsetzten (müssen) wirkt nur bedingt, da eine lange Vorbereitungszeit zu weitgehenden internen Informtionen führen kann.

Wie viel kostet ein Penetrationtest?

Wie bei jeder Unternehmensdienstleistung variieren auch die Kosten für einen IT-Security Audits in Abhängigkeit von mehreren Faktoren erheblich.

Scoping-Details wie Netzwerk-IP-Adressen, Komplexität und Anzahl der (Web-)Anwendungen und Mitarbeiter für Social Engineering sind Schlüsselfaktoren zur Bestimmung der Projektgröße. Unter Berücksichtigung dieser Variablen arbeitet unser Team sorgfältig daran, die Details des Umfangs mit den Sicherheitsanforderungen Ihrer Organisation abzustimmen.

Dennoch lassen sich einige Erfahrungswerte, die als erste Anhaltspunkte dienen können, nennen. Ein hochwertiger, professioneller und von Experten durchgeführter Sicherheitsaudit kostet üblicherweise ab etwa €8.000, kann aber bei großen Projekten auch deutlich über diesem Betrag liegen.

Redlings bietet auch Rabatte für Mehrjahresverträge an ("Continuous-Sicherheitsauditing"), um sicherzustellen, dass Ihr Unternehmen einen beständigen Sicherheitsauditing-Partner hat und das Sicherheitsbudget weiter strecken kann.

Wie wird der Umfang/Scope eines IT-Security Audit definiert?

Der Umfang eines IT-Security Audits sollte gemeinsam immer an die Besonderheiten des Unternehmens sowie des zu prüfenden Systems angepasst werden.

Im Falle einer Web-Applikation besteht der Umfang häufig aus der Server- und Betriebslandschaft sowie die Benutzeroberflächen und APIs. Oftmals gibt es Unternehmensanwendungen, die speziell für Ihre Informationen geschrieben wurde und die Sie sich ansehen lassen möchten.

Bei einem Netzwerk-Sicherheitsaudit spielen auch andere Überlegungen eine Rolle. Der gewählte Umfang sollte insbesondere unternehmenskritische Systeme umfassen, die im Falle einer Kompromittierung die Sicherheit beeinträchtigen können, z.B. weil sie sensible Daten speichern, wie beispielsweise Benutzerinformationen, Passwörter oder Kundendaten.

Inwiefern unterscheidet sich ein Schwachstellen-Scan von einem IT-Security Audit?

Im Gegensatz zu IT-Security Audits wird bei der Schwachstellenbewertung nicht im Detail ermittelt, ob die Schwachstelle tatsächlich ausgenutzt werden kann oder welche Auswirkungen sie hat. Ein Vulnerability Scan nutzt normalerweise automatisierten Schwachstellen-Scanner wie Nessus oder auch Nmap. Die Schwachstellen-Scanner decken nur Standardszenarien ab und berücksichtigen nicht die Besonderheiten der jeweiligen IT-Infrastruktur.

Vulnerability Scans sind daher eher ein erster Schritt in der technischen Analyse von Schwachstellen als ein vollständiger Prozess zur Absicherung von Systemen. Sie werden auch oft als Teil eines Sicherheitsaudits oder als einer der ersten Schritte bei IT-Security Audits eingesetzt. In allen Fällen geht der IT-Security Audit weiter und untersucht die entdeckten Schwachstellen im Detail.

Der IT-Sicherheitsexperten versucht, die Schwachstellen auszunutzen und die sich daraus ergebenden Möglichkeiten für den Angreifer zu bewerten. Dies hilft, die Auswirkungen einer Schwachstelle zu bestimmen. Aufgrund der manuellen Natur eines IT-Security Audits und der Kreativität des IT-Sicherheitsexpertens sind die Chancen, schwerwiegende Schwachstellen zu finden, bei professionell durchgeführten IT-Security Audits wesentlich höher als bei standardisierten Vulnerability Scans.

Aktuelle Beiträge

Benötigen Sie IT-Sicherheitsspezialisten?

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.