Was ist Datensicherheit? Standards & Technologien
Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen Rahmen.
Beratung IT-Sicherheit Gütersloh
Vertrauenswürdige Experten für IT-Sicherheit Gütersloh
Unsere zertifizierten IT-Sicherheitsexperten prüfen Ihre IT-Systeme aus dem Blickwinkel eines Angreifers und Hackers. Ein IT-Security Audit ist einer der effektivsten Wege die eigene IT-Sicherheit gründlich zu prüfen und die aufgedeckten Sicherheitslücken zu beseitigen.
Sprechen Sie jetzt mit einem IT-Sicherheitsexperten!
Ihre Vorteile auf einen Blick
Mit unseren Penetration-Tests und Sicherheitsaudits identifiziert Redlings zuverlässig Sicherheitslücken, die unsere Kunden gefährden. Profitieren Sie von unseren praxiserfahrenen Penetration-Testern.
Zertifizierte
Spezialisten für IT-Security
Kostenlose
Erstberatung
Herstellerunabhängig
und individuell
Unsere IT-Security Experten
Über viele Jahre hinweg haben unsere Sicherheitsaudit-Experten Erfahrung in der Ausführung von technischen Sicherheitsaudits und IT-Security Audits gesammelt. Fortlaufende Trainings und Qualifizierungen stellen sicher, dass sie immer auf dem neuesten Stand der Angriffstechnik sind.
Wer wir sind
Redlings ist ein auf die Durchführung von IT-Security Audit spezialisertes Unternehmen mit Sitz in Deutschland.
Stellen Sie sicher, dass Ihre Verteidigung aktuellen Bedrohungen gewachsen ist. Mit unseren manuellen Deep-Dive-Engagements identifizieren wir Sicherheitsschwachstellen welche Kunden gefährden. Mit unserem Serviceangebot "Continuous Collaborative Testing" verfolgen wir einen langfristigen Sicherheitsansatz und arbeiten mit unseren Kunden zusammen, um sicherzustellen, dass sich ihre Sicherheitslage stetig verbessert.
Gründe
für einen
IT-Security Audit
Jeder Sicherheitsaudit von Redlings unterliegt strengen Richtlinien und ethischen Grundsätzen.
1
Umsetzung der Sicherheitsleitlinie
Fehlen wichtige Patches oder werden Anwendungen und Betriebssysteme nicht gehärtet? Wenn Ihre IT-Sicherheitsexperten zeigen können, dass Applikationen und Netzwerkbereiche mit guter Umsetzung weniger Sicherheitslücken aufweisen, motiviert dies die Sicherheitsleitlinien besser zu befolgen.
2
Aufdecken von Sicherheitslücken
IT-Security Audits greifen Ihr Netzwerk und Ihre Web-Applikationen wie ein Hacker an - allerdings ohne Schaden anzurichten. Damit könenn Sie Sicherheitslücken vor den Angreifern finden und beheben.
3
Schützen Sie Ihre wichtigsten Daten und das Vertrauen Ihrer Kunden
Unternehmens- und Kundendaten gelten als Lebenselixier eines Unternehmens und können in den falschen Händen äußerst schädlich sein. Mit einem Sicherheitsaudit kann Ihr Unternehmen die Datenbestände besser schützen und damit möglichst auch Angriffe verhindern.
4
Evidenzbasierte Investition
Investitionen in Sicherheitsmaßnahmen sollten immer mit konkreten Nachweisen unterstützt werden, um den Wert für das Unternehmen zu belegen. Wenn Sie Ihrem Führungsteam den Wert einer Investition zeigen, können Sie Ihren Bedarf nach mehr Ressourcen begründen.
5
Konsequenzen eines IT-Sicherheitsvorfalls verstehen
IT-Security Audits geben Ihnen eine ungeschminkte Rückmeldung über mögliche Konsequenzen eines IT-Sicherheitsvorfalls wie beispielsweise eines Ransomware-Angriffs.
6
Steigerung derEffektivität vorhandener Sicherheitstechnologien
Häufig werden von unseren IT-Security Auditern nicht genutzte Potentiale von vorhandenen Sicherheits-Technologien aufgedeckt. Die Leistungsfähigkeit der Sicherheitssysteme kann damit oft signifikant erhöht werden.
7
Erfüllung von COMPLIANCE-Anforderungen
Vorschriften wie PCI-DSS, aber auch ISO 27001/2 u.a. können regelmäßige Penetrations-Tests erfordern. Auch manche vertragliche Regelung kann eine solche Anforderung enthalten.
8
Priorisierung von IT-Risiken
Mit einem IT-Security Audit können Sie feststellen, welche vorhandenen Sicherheitslücken die größten Auswirkungen auf Ihre Web-Applikationn und Ihr Netzwerk haben. Setzten Sie damit Ihre Ressourcen und Zeit effizienter ein.
9
Weiterbildung des internen IT-Teams
Die Resultate eines Sicherheitsaudits unterstützen das eigenen Team - z.B. System-Admins - manche Fehlerquellen in Zukunft zu vermeiden. Ein IT-Security Audit kann Fehler in der Konfiguration und Programmierung aufdecken.
Vorgehen bei einem IT-Security Audit
1
Kick-Off
Der Projektablauf wird im Rahmen des gemeinsamen Kick-Off Gespräches geplant und vorbereitet. Unter anderem folgen dabei Abstimmungen zu den folgenden Punkten:
- Austausch von Kontaktinformationen
- Start- und Enddatum, ggf. Testzeitfenster
- Bestätigung des genauen Projektumfangs
- Vorstellung des Testgegenstands
- Bereistellung von Informationen für die Tester (z.B. API-Dokumentation im Falle eines API-Tests)
- Abstimmung zur Testumgebung und den Vorgehensweisen
2
Durchführung des Sicherheitsaudits
Nun erfolgt die eigentliche Sicherheitsprüfung. Sie besteht dabei üblicherweise aus einem (oder mehreren) in Auftrag gegebenen Prüfmodulen.
- Interner NetzwerkIT-Security Audit
- Externer NetzwerkIT-Security Audit
- Web Application & Web-API IT-Security Audit
- Cloud Sicherheitsaudits
- Social Engineering
- Active Directory Security Assessment
- Red Team
- Wifi IT-Security Audit
3
Report
Die Testergebnisse werden in einem Bericht zusammengetragen. Darin enthalten sind unter anderen die nachfolgend aufgeführten Abschnitte:
- Zusammenfassung der Ergebnisse und Beschreibung der Rahmenbedingungen des Projekts
- Auflistung und Beschreibung der vorgefundenen Sicherheitslücken mit Risikobewertung und Maßnahmen zur Behebung
- Nachweisdokumentation zu den Sicherheitslücken, ggf. Screenshots
4
Abschlussgespräch
Der IT-Security Audit und dessen Ergebnis werden in einem Abschluss-Meeting mit allen Beteilgten besprochen. Wir verstehen sehr genau, dass die aufgedeckten und dokumentierten Sicherheitslücken nur der erste Schritt sind. Konkrete Maßnahmen zur Verbesserung der IT-Sicherheit müssen abgeleitet und auch umgesetzt werden.
Lassen Sie sich kostenlos beraten!
Prüfen Sie mit einem IT-Security Audit welchen Schaden Hacker bei Ihnen anrichten können.
Als IT-Sicherheitsexperten und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Gütersloh, Deutschland, Europa und weltweit durchführen.
So erreichen Sie uns
Häufige Fragen
Ein IT-Security Audit, kurz "Sicherheitsaudit", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.
Ein IT-Sicherheitsaudit untersucht die Sicherheit der IT-Systeme eines Unternehmens aus einer ganzheitlichen Perspektive. Sicherheitsbedrohungen können nicht nur durch Angriffe entstehen, sondern auch durch technische Vorfälle, organisatorische Mängel oder höhere Gewalt.
Sicherheitsaudits finden oft im Rahmen eines ISMS (Informationssicherheits-Managementsystems) und prüfen nicht nur technische Sicherheitselemente, sondern auch die Einhaltung der eigenen Standards und Richtlinien, Sicherheitsprozesse, Schulung der Mitarbeiter (Stichwort Information Security Awareness) und ähnliche Aspekte.
Manche Sicherheitsaudits beinhalten auch Elemente eines Schwachstellen-Scans.
Allerdings geht ein Sicherheitsaudit meist nicht so sehr ins technische Detail wie ein manueller IT-Security Audit.
Beim Black-Box-Testing versucht der IT-Sicherheitsexperten, das Ziel ohne Vorkenntnisse über Adressen, Systeme, Anwendungen und Prozesse anzugreifen. Das Hauptargument für diesen Ansatz ist, dass dieses Szenario der realen Welt am nächsten kommt und somit ein reales Angriffsszenario simuliert. Dies ist jedoch nur zum Teil richtig, denn ein echter Angreifer hat nicht nur eine oder zwei Wochen Zeit wie ein beauftragter IT-Sicherheitsexperten, sondern hat die gesamte Zeit, auch Monate oder Jahre, um den Angriff vorzubereiten. In der Tat haben einige der erfolgreichsten Hackerangriffe über einen Zeitraum von bis zu 12 Monaten stattgefunden.
Diese Voreingenommenheit bedeutet, dass Black-Box-Tests oft nicht aussagekräftig sind und dem Kunden ein falsches Gefühl von Sicherheit vermitteln. Redlings empfiehlt Black-Box-Tests daher nur in Ausnahmefällen. Auch das Argument, dass Angreifer einen Black-Box Ansatz umsetzten (müssen) wirkt nur bedingt, da eine lange Vorbereitungszeit zu weitgehenden internen Informtionen führen kann.
Im Gegensatz zu IT-Security Audits wird bei der Schwachstellenbewertung nicht im Detail ermittelt, ob die Schwachstelle tatsächlich ausgenutzt werden kann oder welche Auswirkungen sie hat. Ein Vulnerability Scan nutzt normalerweise automatisierten Schwachstellen-Scanner wie Nessus oder auch Nmap. Die Schwachstellen-Scanner decken nur Standardszenarien ab und berücksichtigen nicht die Besonderheiten der jeweiligen IT-Infrastruktur.
Vulnerability Scans sind daher eher ein erster Schritt in der technischen Analyse von Schwachstellen als ein vollständiger Prozess zur Absicherung von Systemen. Sie werden auch oft als Teil eines Sicherheitsaudits oder als einer der ersten Schritte bei IT-Security Audits eingesetzt. In allen Fällen geht der IT-Security Audit weiter und untersucht die entdeckten Schwachstellen im Detail.
Der IT-Sicherheitsexperten versucht, die Schwachstellen auszunutzen und die sich daraus ergebenden Möglichkeiten für den Angreifer zu bewerten. Dies hilft, die Auswirkungen einer Schwachstelle zu bestimmen. Aufgrund der manuellen Natur eines IT-Security Audits und der Kreativität des IT-Sicherheitsexpertens sind die Chancen, schwerwiegende Schwachstellen zu finden, bei professionell durchgeführten IT-Security Audits wesentlich höher als bei standardisierten Vulnerability Scans.
Der Umfang eines IT-Security Audits sollte gemeinsam immer an die Besonderheiten des Unternehmens sowie des zu prüfenden Systems angepasst werden.
Im Falle einer Web-Applikation besteht der Umfang häufig aus der Server- und Betriebslandschaft sowie die Benutzeroberflächen und APIs.
Oftmals gibt es Unternehmensanwendungen, die speziell für Ihre Informationen
geschrieben wurde und die Sie sich ansehen lassen möchten.
Bei einem Netzwerk-Sicherheitsaudit spielen auch andere Überlegungen eine Rolle.
Der gewählte Umfang sollte insbesondere unternehmenskritische Systeme umfassen, die
im Falle einer Kompromittierung die Sicherheit beeinträchtigen können, z.B.
weil sie sensible Daten speichern, wie beispielsweise Benutzerinformationen, Passwörter oder Kundendaten.
Eine Frage, die nicht oft genug gestellt wird, ist, wie viel von den Tests automatisiert
und wie viel manuell ist. Automatisierte Tools, insbesondere zu Beginn eines Projektes, können
einem IT-Sicherheitsexperten viel Zeit sparen und der Einsatz ist auch abhängig von Projekt zu Projekt.
Erfahrungsgemäß sind jedoch ca. 90-95% des Pentets "Handarbeit".
Das soll nicht heißen, dass automatisierte Schwachstellen-Scanner keinen Mehrwert bieten;
Schwachstellen-Scans sind schnelle und einfache Tools, die regelmäßig eingesetzt werden
sollten, um fehlende Patches oder veraltete Software in größeren Umgebungen zu identifizieren.
Aktuelle Beiträge
Authentifizierung: Unterschiede zur Authentisierung und Autorisierung
Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber völlig...
Angriffsvektor und Angriffsfläche
Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören ...,
Karriereguide Pentester
Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den ganzen Tag?...
